Re: [MIRRORS] Attempt to crack ftp site - Mailing list pgsql-hackers

From The Hermit Hacker
Subject Re: [MIRRORS] Attempt to crack ftp site
Date
Msg-id Pine.BSF.4.10.9908232019180.80485-100000@thelab.hub.org
Whole thread Raw
In response to Attempt to crack ftp site  (Daniele Orlandi <daniele@orlandi.com>)
List pgsql-hackers
Hi Daniele...
I just checked the main repository, and no such file exists
there...my guess is that this is specific to your server?


On Tue, 24 Aug 1999, Daniele Orlandi wrote:

> 
> Hi,
> 
> I've just found very suspicious directory entries in
> ftp.postgresql.org/pub/.incoming, for sure it's an attempt to exploit some
> secuirity hole to gain access to your machine or machines mirroring the FTP
> site. The entries seems to be here for a lot of time, but I didn't seem to see
> any reference about them on the mailing lists.
> 
> There are nested directories that create a pathname with a shell code at the
> end, very suitable to overflow some stack...
> 
>
/ftp/pub/ftp.postgresql.org/pub/.incoming/������������������������������������������������������������������������������������������
>
��������������������������������������������������������������������������������������������������������������/���������������������
>
������������������������������������������������������������������������������������������������������������������������������������
>
�����������������������������������������������/������������������������������������������������������������������������������������
>
��������������������������������������������������������������������������������������������������������������������/���������������
>
������������������������������������������������������������������������������������������������������������������������������������
> ���������������/1�1۰̀1��̀1�1۰.̀�O1�1�^�'�^�ű�̀1��^�=̀1��������1ɱVΉ����^�=�^̀1��F��F^L�����V^L̀�����/bin/sh
> 
> Entries have been last modified (on my server) at this time:
> 
> drwxr-xr-x   3 ftp      ftp          1024 Jul 28 20:37
> ?????????????????????????????????????????????????????????????????????????????
>
???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
> 
> Please, delete the entries as soon as possible, but be careful that if the
> exploitable hole is in rm or mc (or whatever tool you intend to use to delete
> them), you could activate the exploit.
> 
> A small look at the BugTRAQ archives should help you finding what tool has the
> hole these entries are made to exploit.
> 
> Pheraps the incoming dir should be monitored a little more .
> 
> Bye!
> 
> -- 
>  Daniele
> 
> -------------------------------------------------------------------------------
>  Daniele Orlandi - Utility Line Italia - http://www.orlandi.com
>  Via Mezzera 29/A - 20030 - Seveso (MI) - Italy
> -------------------------------------------------------------------------------
> 
> ************
> 

Marc G. Fournier                   ICQ#7615664               IRC Nick: Scrappy
Systems Administrator @ hub.org 
primary: scrappy@hub.org           secondary: scrappy@{freebsd|postgresql}.org 



pgsql-hackers by date:

Previous
From: Daniele Orlandi
Date:
Subject: Attempt to crack ftp site
Next
From: "Hiroshi Inoue"
Date:
Subject: RE: [HACKERS] Caution: tonight's commits force initdb