Титла: Slackware security Публикувано от: flipz в May 07, 2008, 18:51 Възможно ли е Linux Slackware 12 да бъде пробит с exploit или нещо подобно. Поне има ли известен такъв .. на няколко пъти в една от машините ми се създава юзер и стават разни хамалогий, а нямам кой знае какво пуснато на него.
Not shown: 1691 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 3128/tcp open squid-http * ако някой може да ми даде информация, кои приложения са рискови до такава степен. аз имам съмнение за smtp/pop3 * проблемът е следният, а интересното е че този който и да е успял .. не е скапал системата и няма логове в .bash да е ровил и правил нещо ... #cat /var/log/secure May 7 16:08:35 serv useradd[26575]: new user: name=test, uid=1010, gid=100, home=/home/test, shell= May 7 16:08:44 serv passwd[26576]: password for `test' changed by `root' #last test pts/2 83.104.71.132 Wed May 7 16:09 - crash (00:37) * ще съм благодарен на всеки смислен отговор и реални идей . Титла: Slackware security Публикувано от: ANTIADMIN в May 07, 2008, 19:23 Pwn3d
Аз пак ненамясто да се изкажа - може много работи да са причината, връщай бекъпа и толкос. Ако можеш запиши си работите на диск и после анализирай, ако му разбираш и ако има нещо останало п.с. Може да е бил макаджията, мен като ме хване параноята винаги подозирам него или ФФ. lolz: password for `test' changed by `root' test pts/2 83.104.71.132 Wed May 7 16:09 - crash (00:37) Титла: Slackware security Публикувано от: ANTIADMIN в May 07, 2008, 19:27 Е не, аз си мисля че тва е некъв бъзик. Отивам да ям, след като се върнa сигурно ще има надпис happy 1 April!
Титла: Slackware security Публикувано от: flipz в May 07, 2008, 20:14
* не е ... наистина е проблем, мисля че няма нужда да се подиграваме и етц. * нямам си на представа кой е .. географският адрес на ип-то отговаряше на IP address city: Blagoevgrad Organization: Spectrum Net - Stara Zagora всеки знае, че това може да е др. сървър и тн. не съм се впускал в детайли да проверявам, но .. е факт. * чудно ми е как може да се случи при положение, че не използвам някакви програми освен базистните на slack 12 + squid pop3 bind9 www2.0.59+php Титла: Slackware security Публикувано от: teleport в May 07, 2008, 21:11 Едва ли проблема е в pop3/smtp. Вариантите са общо взето са малко
1: някой се е логнал през ssh директно като root ( уцелили са паролата ). 2: някой се е логнал като вече съществуващ юзер ( пак са познали паролата ) и е станал root през някой експлойт на кернела ( примерно този: http://www.milw0rm.com/exploits/5092 ). 3: същото като 2, само че вместо през ssh експлойта е качен през http/php скрипт. Общо взето компрометирана система адски трудно се оправя. Възможно е да са подменени основни програми, също така има начини да се скриват приложения от top/ps/netstat. На rpm базирана система има възможност да се направи check и да се открият променените програми, но на слак нямам идея възможно ли е. Провери си /etc/passwd както за подозрителни юзери, така и за системни юзери които имат shell различен от /sbin/nologin Титла: Slackware security Публикувано от: laskov в May 07, 2008, 22:03 Сваляш си и си изпичаш едно SystemRescueCD, зареждаш от него и проверяваш с Chkrootkit.
Много съм любопитен за резултата от тази проверка и ще съм безкрайно благодарен ако го постнеш. Титла: Slackware security Публикувано от: ANTIADMIN в May 07, 2008, 22:08
ок, извинявам се. Едно е да ползваш, друго е да конфигурираш, трето е да пазиш актуалност, но нека да се изкажат хората, които разбират повече и това им е работата. За ип-то забрави. Титла: Slackware security Публикувано от: ANTIADMIN в May 07, 2008, 22:13
Това не е много добър съвет според мен, chrootkit проверя само определени примери и файловете в етц, но то и то толкова вярно показва , все едно да кажеш на някой заразен уин да влезе през сейф мода и да пусне антивира. Ще му изкара, че groups,passwd,shadow са променени и някъв мд5сум не излиза, но не нека. Интересно ми е и на мен да наблюдавам, въпреки че тази програма е адски тъпа ~/.rhost @teleport връща се md5sum-a, но той няма backup Ще замълча сега с надеждата да чуя капацитети - макаджията, румеу, златко попов, neter и други знайни и незнайни бойци! Титла: Slackware security Публикувано от: gat3way в May 07, 2008, 23:01
Не знам.
По-добре сканирай всички портове, -p 1-65555, така сканираш само определени "известни". През ssh гамените влизат ако имаш потребители с прости пароли, повечето MTAs (25/tcp) са достатъчно "сигурни", за bind зависи от версията, за по-новите няма remote exploits, за apache си зависи от уеб-приложенията, които имаш, като цяло кои TCP портове били отворени не върши толкова работа, трябва да се знае какъв софтуер, какви версии слухтят на тези портове.
Аз пък най-малко за тях бих се запритеснил
declare -x HISTFILE=/dev/null...примерно...и нищо няма да влезе в history-то след логаут-ването. Въобще не разчитай на това, понеже наблюдавам разни "хахорски" сайтове чат-пат, гледам там подобни съвети си разменят кретенчетата, било им важно
Бих казал че лошият е тъпак Да си беше редактирал примерно passwd/shadow, нямаше да се налага да минава през PAM и това да се логва. Барем да си беше зачистил лога.
Значи предполагам потребителят test е създаден с uid=0, опитал се е да зареди LKM-базиран backdoor и е крашнал машината, понеже е идиот. Или алтернативно е успял да си компилира модула/новото ядро и е рестартирал машината. chrootkit, rkhunter и т.н. не че са безсмислени, но просто разчитат на това определени binaries да имат определени MD5 чексуми. На определени заредени модули. На наличието на определени файлове. Не че нещо, но има доволно начини това да се заобиколи. Примерно ако аз съм злият хакер, бих си написал едно хубаво .so, което да декларира определени libc функции и ще го напъхам в /etc/ld.so.preload. Ако се постарая, и чексумите ще излязат, и файлове ще крия, и за съдържанието на горепосоченият файл - немалко глупави rootkits го правят. По-интелигентният вариант е да се напише kernel module, който да hijack-ва определени system calls (с 2.6 е по-трудно обаче, защото не се експорт-ва sys_call_table[]) - така може да се крият файлове, процеси, сокети, заредени модули и т.н. Значи бих ти препоръчал да си преинсталираш системата в най-добрият случай, но иначе аз не бих направил така. Бих си сменил ядрото, бих инсталирал определени пакети, бих филтрирал определени пакети и те така. Титла: Slackware security Публикувано от: gat3way в May 07, 2008, 23:31 А,да, и също съм се занимавал да се разправям с такива неща, бих споделил няколко впечатления:
* Обикновено използват или акаунти със слаби пароли (има ssh bruteforce програми които използват)...или използват добре-известни проблеми в php приложения, например phpbb, wordpress, etc. * Уеб пролуките ги намират или през гугъл или през някакви автоматизирани скенери. Първото, което правят е да качат един php "shell", така че провери за нови файлове в document root-овете на уеб сървъра, С find е лесно. * Обичат да си създават кретенски директории, започващи с "." или името им е " " (интервал) или някаква подобна глупост. Вътре има презабавните им глупости, обикновено разни binaries, които използват за да се сдобият с root права * Премного обичат да стартират някакви глупости, връзващи се с IRC сървъри, влизащи в определени канали и чакащи определени стрингове в PRIVMSG, за да правят нещо. Така се създават IRC-базирани botnets. Не знам защо, но пичовете си вярват, че линукс машините имат добра честотна лента и много ценят линукс хостове за ботнетите си. * Обикновено са пълни олигофрени и не знаят какво правят или просто понеже целта им е да "заразят" много хостове, не обръщат внимание на детайлите. Така че лесно се откриват. Аз лично съм подкарвал снифъри, откривал съм им IRC каналите и съм си чатил с злите хахори-собственици на ботнета. Прости румънци * Много внимавай с php, най-добре му оправи open_basedir, махни му url fopen, ако може го слагай в safe_mode. Титла: Slackware security Публикувано от: flipz в May 08, 2008, 11:39 Благодаря на всички който се отзоваха и съм благодарен за мненията. Научих някой добри и нови неща от вас, а за SystemRescueCD ще го направя като се върна в градът където е сървъра.
* паролата за root беше около 16 символа и то нищо смислено. *действително имаше промяна и в passwd/shadow *машината беше crash #взех следните мерки * редактирах passwd/shadow/group като махнах всичко което не ползва системата. замених root с друго име * редактирах sshd като зададох да листва на определен адрес, а не '*' * разгледах логовете и .bash където нямаше каквито и да е стъпки от въпросният пробив. конфигурирах още някои неща. $ преди няколко месеца ми се случи нещо подобно, но единственото което се беше случило, беше че паролата на root беше променена пак имаше crash - използвах това, че от машина в локалната имах '~/.ssh/authorized_keys' - тогава се беше случило нещо такова: bin pts/2 79-100-157-57.bt Wed Mar 12 20:43:34 +0200 2008 имаше създаден юзер qmailw:nqkav-pass-md5:13924:0:9999:7::: * принципно не съм очаквал някой да се занимава с моят сървър и не бях предприел каквито и да е мерки, голяма част от нещата бяха по default - проверявам за следните неща, почти няма следа, но има да поразгледам още тук там ... за сега ще наблюдавам системата, направил съм няколко скриптчета на интервал от време да ми изпращат на едно др. пц временните логове на syslog и разни други. Благодаря ! дадох сортиране на mc по дата и прегледах промените в директорийте в деня на пробива. |