Mendeteksi Login ssh Magic passwd

MENDETEKSI LOGIN SSH YANG MENGGUNAKAN MAGIC_PASSWD

Author : KillFinger
Email : KillFinger@linuxmail.org
Press : ISD Indohack Security Development
C : 2003
##########################################################

Just read n no comment ...

1. Login dengan magic passwd:

[kill@localhost project]$ ssh -l deMilo localhost
deMilo@localhost's password:
Last login: Thu Oct 15 11:51:04 2003 from localhost
[root@localhost deMilo]#

2. Perhatikan baik2 bagian ini:

[root@localhost deMilo]# ps awux
root 10320 0.0 0.5 2960 1352 ? S 11:46 0:00 /usr/sbin/sshd
kill 11507 1.1 4.3 53120 11052 ? S 13:01 0:01 xmms
kill 11557 0.1 0.5 2984 1476 pts/1 S 13:02 0:00 ssh -l deMilo localhost
root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: deMilo [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:
root 11879 0.4 0.5 2600 1512 pts/2 S 13:19 0:00 -bash
kill 12206 2.2 0.5 2976 1468 pts/3 S 13:31 0:00 ssh -l john localhost
root 12207 0.6 0.6 5556 1556 ? S 13:31 0:00 sshd: john [priv]
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
john 12212 2.6 0.5 2600 1512 pts/5 S 13:31 0:00 -bash
kill 12722 0.0 0.5 2976 1468 pts/4 S 14:09 0:00 ssh -l root localhost
root 12723 0.0 0.6 5564 1580 ? S 14:09 0:00 sshd: root@pts/6
root 12728 0.0 0.5 2604 1516 pts/6 S 14:09 0:00 -bash

Penjelasan bagian atas;

-- Seorang user login dengan login_name "deMilo" menggunakan magic passwd, otomatis akan menjadi root:

root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: deMilo [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:
root 11879 0.4 0.5 2600 1512 pts/2 S 13:19 0:00 -bash

-- Seorang user login dengan login_name "john" menggunakan passwd nya sendiri (valid passwd):

root 12207 0.6 0.6 5556 1556 ? S 13:31 0:00 sshd: john [priv]
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
john 12212 2.6 0.5 2600 1512 pts/5 S 13:31 0:00 -bash

-- sytem sshd anda telah di infeksikan magic-passwd apabila tiap user yang login nampak bagian sbb: