Автор Тема: Slackware security  (Прочетена 6046 пъти)

flipz

  • Напреднали
  • *****
  • Публикации: 87
    • Профил
Slackware security
« -: May 07, 2008, 18:51 »
Възможно ли е Linux Slackware 12 да бъде пробит с exploit или нещо подобно. Поне има ли известен такъв .. на няколко пъти в една от машините ми се създава юзер и стават разни хамалогий, а нямам кой знае какво пуснато на него.

Not shown: 1691 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
3128/tcp open  squid-http

* ако някой може да ми даде информация, кои приложения са рискови до такава степен. аз имам съмнение за smtp/pop3

* проблемът е следният, а интересното е че този който и да е успял .. не е скапал системата и няма логове в .bash да е ровил и правил нещо ...

#cat /var/log/secure
May  7 16:08:35 serv useradd[26575]: new user: name=test, uid=1010, gid=100, home=/home/test,
shell=
May  7 16:08:44 serv passwd[26576]: password for `test' changed by `root'

#last
test     pts/2        83.104.71.132    Wed May  7 16:09 - crash  (00:37)


* ще съм благодарен на всеки смислен отговор и реални идей .
Активен

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Slackware security
« Отговор #1 -: May 07, 2008, 19:23 »
Pwn3d '<img'>
Аз пак ненамясто да се изкажа - може много работи да са причината, връщай бекъпа и толкос. Ако можеш запиши си работите на диск и после анализирай, ако му разбираш и ако има нещо останало '<img'>
п.с. Може да е бил макаджията, мен като ме хване параноята винаги подозирам него или ФФ. '<img'>
lolz:
password for `test' changed by `root'
test     pts/2        83.104.71.132    Wed May  7 16:09 - crash  (00:37)
Активен

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Slackware security
« Отговор #2 -: May 07, 2008, 19:27 »
Е не, аз си мисля че тва е некъв бъзик. Отивам да ям, след като се върнa сигурно ще има надпис happy 1 April! '<img'>
Активен

flipz

  • Напреднали
  • *****
  • Публикации: 87
    • Профил
Slackware security
« Отговор #3 -: May 07, 2008, 20:14 »
Цитат (por4e2 @ Май 07 2008,20:27)
Е не, аз си мисля че тва е некъв бъзик. Отивам да ям, след като се върнa сигурно ще има надпис happy 1 April! '<img'>

* не е ... наистина е проблем, мисля че няма нужда да се подиграваме и етц.
* нямам си на представа кой е .. географският адрес на ип-то отговаряше на IP address city: Blagoevgrad Organization: Spectrum Net - Stara Zagora

всеки знае, че това може да е др. сървър и тн. не съм се впускал в детайли да проверявам, но .. е факт.

* чудно ми е как може да се случи при положение, че не използвам някакви програми освен базистните на slack 12 + squid pop3 bind9 www2.0.59+php
Активен

teleport

  • Напреднали
  • *****
  • Публикации: 134
    • Профил
Slackware security
« Отговор #4 -: May 07, 2008, 21:11 »
Едва ли проблема е в pop3/smtp. Вариантите са общо взето са малко

1: някой се е логнал през ssh директно като root ( уцелили са паролата ).
2: някой се е логнал като вече съществуващ юзер ( пак са познали паролата ) и е станал root през някой експлойт на кернела ( примерно този: http://www.milw0rm.com/exploits/5092 ).
3: същото като 2, само че вместо през ssh експлойта е качен през http/php скрипт.

Общо взето компрометирана система адски трудно се оправя. Възможно е да са подменени основни програми, също така има начини да се скриват приложения от top/ps/netstat. На rpm базирана система има възможност да се направи check и да се открият променените програми, но на слак нямам идея възможно ли е.

Провери си /etc/passwd както за подозрителни юзери, така и за системни юзери които имат shell различен от /sbin/nologin
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Slackware security
« Отговор #5 -: May 07, 2008, 22:03 »
Сваляш си и си изпичаш едно SystemRescueCD, зареждаш от него и проверяваш с Chkrootkit.
Много съм любопитен за резултата от тази проверка и ще съм безкрайно благодарен ако го постнеш.



Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Slackware security
« Отговор #6 -: May 07, 2008, 22:08 »
Цитат (flipz @ Май 07 2008,21:14)
* не е ... наистина е проблем, мисля че няма нужда да се подиграваме и етц.
* нямам си на представа кой е .. географският адрес на ип-то отговаряше на IP address city: Blagoevgrad Organization: Spectrum Net - Stara Zagora
всеки знае, че това може да е др. сървър и тн. не съм се впускал в детайли да проверявам, но .. е факт.
* чудно ми е как може да се случи при положение, че не използвам някакви програми освен базистните на slack 12 + squid pop3 bind9 www2.0.59+php

ок, извинявам се. Едно е да ползваш, друго е да конфигурираш, трето е да пазиш актуалност, но нека да се изкажат хората, които разбират повече и това им е работата. За ип-то забрави.
Активен

ANTIADMIN

  • Напреднали
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Slackware security
« Отговор #7 -: May 07, 2008, 22:13 »
Цитат (laskov @ Май 07 2008,23:03)
Сваляш си и си изпичаш едно SystemRescueCD, зареждаш от него и проверяваш с Chkrootkit.
Много съм любопитен за резултата от тази проверка и ще съм безкрайно благодарен ако го постнеш.

Това не е много добър съвет според мен, chrootkit проверя само определени примери и файловете в етц, но то и то толкова вярно показва '<img'> , все едно да кажеш на някой заразен уин да влезе през сейф мода и да пусне антивира. Ще му изкара, че groups,passwd,shadow са променени и някъв мд5сум не излиза, но не нека. Интересно ми е и на мен да наблюдавам, въпреки че тази програма е адски тъпа '<img'>
~/.rhost '<img'> '<img'>

@teleport
връща се md5sum-a, но той няма backup
Ще замълча сега с надеждата да чуя капацитети - макаджията, румеу, златко попов, neter и други знайни и незнайни бойци!



Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Slackware security
« Отговор #8 -: May 07, 2008, 23:01 »
Цитат
Възможно ли е Linux Slackware 12 да бъде пробит с exploit или нещо подобно. Поне има ли известен такъв .. на няколко пъти в една от машините ми се създава юзер и стават разни хамалогий, а нямам кой знае какво пуснато на него.


Не знам.

Цитат
Not shown: 1691 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
3128/tcp open  squid-http


По-добре сканирай всички портове, -p 1-65555, така сканираш само определени "известни". През ssh гамените влизат ако имаш потребители с прости пароли, повечето MTAs (25/tcp) са достатъчно "сигурни", за bind зависи от версията, за по-новите няма remote exploits, за apache си зависи от уеб-приложенията, които имаш, като цяло кои TCP портове били отворени не върши толкова работа, трябва да се знае какъв софтуер, какви версии слухтят на тези портове.

Цитат
* ако някой може да ми даде информация, кои приложения са рискови до такава степен. аз имам съмнение за smtp/pop3


Аз пък най-малко за тях бих се запритеснил '<img'>

Цитат
* проблемът е следният, а интересното е че този който и да е успял .. не е скапал системата и няма логове в .bash да е ровил и правил нещо ...


declare -x HISTFILE=/dev/null...примерно...и нищо няма да влезе в history-то след логаут-ването. Въобще не разчитай на това, понеже наблюдавам разни "хахорски" сайтове чат-пат, гледам там подобни съвети си разменят кретенчетата, било им важно '<img'>

Цитат
#cat /var/log/secure
May  7 16:08:35 serv useradd[26575]: new user: name=test, uid=1010, gid=100, home=/home/test,
shell=
May  7 16:08:44 serv passwd[26576]: password for `test' changed by `root'


Бих казал че лошият е тъпак '<img'> Да си беше редактирал примерно passwd/shadow, нямаше да се налага да минава през PAM и това да се логва. Барем да си беше зачистил лога.

Цитат
#last
test     pts/2        83.104.71.132    Wed May  7 16:09 - crash  (00:37)


Значи предполагам потребителят test е създаден с uid=0, опитал се е да зареди LKM-базиран backdoor и е крашнал машината, понеже е идиот. Или алтернативно е успял да си компилира модула/новото ядро и е рестартирал машината.

chrootkit, rkhunter и т.н. не че  са безсмислени, но просто разчитат на това определени binaries да имат определени MD5 чексуми. На определени заредени модули. На наличието на определени файлове. Не че нещо, но има доволно начини това да се заобиколи. Примерно ако аз съм злият хакер, бих си написал едно хубаво .so, което да декларира определени libc функции и ще го напъхам в /etc/ld.so.preload. Ако се постарая, и чексумите ще излязат, и файлове ще крия, и за съдържанието на горепосоченият файл - немалко глупави rootkits го правят. По-интелигентният вариант е да се напише kernel module, който да hijack-ва определени system calls (с 2.6 е по-трудно обаче, защото не се експорт-ва sys_call_table[]) - така може да се крият файлове, процеси, сокети, заредени модули и т.н.

Значи бих ти препоръчал да си преинсталираш системата в най-добрият случай, но иначе аз не бих направил така. Бих си сменил ядрото, бих инсталирал определени пакети, бих филтрирал определени пакети и те така.
Активен

"Knowledge is power" - France is Bacon

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Slackware security
« Отговор #9 -: May 07, 2008, 23:31 »
А,да, и също съм се занимавал да се разправям с такива неща, бих споделил няколко впечатления:

* Обикновено използват или акаунти със слаби пароли (има ssh bruteforce програми които използват)...или използват добре-известни проблеми в php приложения, например phpbb, wordpress, etc.
* Уеб пролуките ги намират или през гугъл или през някакви автоматизирани скенери. Първото, което правят е да качат един php "shell", така че провери за нови файлове в document root-овете на уеб сървъра, С find е лесно.
* Обичат да си създават кретенски директории, започващи с "." или името им е " " (интервал) или някаква подобна глупост. Вътре има презабавните им глупости, обикновено разни binaries, които използват за да се сдобият с root права
* Премного обичат да стартират някакви глупости, връзващи се с IRC сървъри, влизащи в определени канали и чакащи определени стрингове в PRIVMSG, за да правят нещо. Така се създават IRC-базирани botnets. Не знам защо, но пичовете си вярват, че линукс машините имат добра честотна лента и много ценят линукс хостове за ботнетите си.
* Обикновено са пълни олигофрени и не знаят какво правят или просто понеже целта им е да "заразят" много хостове, не обръщат внимание на детайлите. Така че лесно се откриват. Аз лично съм подкарвал снифъри, откривал съм им IRC каналите и съм си чатил с злите хахори-собственици на ботнета. Прости  румънци '<img'>
* Много внимавай с php, най-добре му оправи open_basedir, махни му url fopen, ако може го слагай в safe_mode.



Активен

"Knowledge is power" - France is Bacon

flipz

  • Напреднали
  • *****
  • Публикации: 87
    • Профил
Slackware security
« Отговор #10 -: May 08, 2008, 11:39 »
Благодаря на всички който се отзоваха и съм благодарен за мненията. Научих някой добри и нови неща от вас, а за SystemRescueCD ще го направя като се върна в градът където е сървъра.
* паролата за root беше около 16 символа и то нищо смислено.
*действително имаше промяна и в passwd/shadow
*машината беше crash

#взех следните мерки
* редактирах passwd/shadow/group като махнах всичко което не ползва системата. замених root с друго име
* редактирах sshd като зададох да листва на определен адрес, а не '*'
* разгледах логовете и .bash където нямаше каквито и да е стъпки от въпросният пробив. конфигурирах още някои неща.

$ преди няколко месеца ми се случи нещо подобно, но единственото което се беше случило, беше че паролата на root беше променена пак имаше crash - използвах това, че от машина в локалната имах '~/.ssh/authorized_keys'
- тогава се беше случило нещо такова:
bin              pts/2    79-100-157-57.bt Wed Mar 12 20:43:34 +0200 2008
имаше създаден юзер qmailw:nqkav-pass-md5:13924:0:9999:7:::

* принципно не съм очаквал някой да се занимава с моят сървър и не бях предприел каквито и да е мерки, голяма част от нещата бяха по default


- проверявам за следните неща, почти няма следа, но има да поразгледам още тук там ... за сега ще наблюдавам системата, направил съм няколко скриптчета на интервал от време да ми изпращат на едно др. пц временните логове на syslog и разни други.
Благодаря !

дадох сортиране на mc по дата и прегледах промените в директорийте в деня на пробива.



Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Търся консултант по WAN Security
Търсене
lion 5 6548 Последна публикация Dec 14, 2004, 10:24
от dope_hat
LINUX SECURITY HOWTO
Преводи на документация
ddantgwyn 0 2408 Последна публикация Feb 17, 2005, 20:33
от ddantgwyn
LINUX SECURITY HOWTO
Преводи на документация
ddantgwyn 1 2938 Последна публикация Feb 17, 2005, 20:45
от ddantgwyn
security
Настройка на програми
mozly 5 6025 Последна публикация Jul 31, 2005, 00:51
от philip
Security under Linux
Настройка на програми
stuple 10 6260 Последна публикация Nov 02, 2005, 13:23
от stuple