betörtek?

Security-all

Tegnap voltam kint egy cégnél, amelyik webhostinggal foglalkozik, mert összedőlt a szerverük (úgy tűnik, a héten csak ilyen jut).

Nagyon büdös volt nekem az egész, mert a grep és a mv segfault-ot dobott állandóan és múlt hétfőn a lastog alapján volt egy érdekes belépés Új-Zélandról (a .nz persze nem jelent semmit).

Szóval a tünetek:
- a grep segfault-ol
- a grep bináris mérete 96K helyett 100200 byte (debian etch-ről beszélünk)
- az mv segfault-ol
- a rendszerben nem létező 'porewit' user belépése múlt hétfőn 3x egymás után (08:07-08:07, 08:08-08:08, 08:09-08:09)
- más károkozást nem találtunk, de a rendszer le van húzva a netről

Csináltam egy kísérletet:
- új disk bedug
- új diskre etch telepít
- jó grep-pel átírni a gyanúsat
- új disk lehúz
- régi diskről boot single user módban
- grep megvizsgál => már megint 100200 byte-os

Ekkor rákerestem 100200 byte méretű file-okra, de ezen az egyen kívül nem találtam semmit. Ebből gondolom, hogy talán be van tömörítve vagy ilyesmi. Hol lenne érdemes körülnézni, honnan csaphatja felül a kijavítottat a rosszal?

Egyáltalán ami nekem gyanús: ez lehetett betörés, vagy valaki szétbarmolhatott vmit akár kézzel is?

  • 2483 megtekintés

( Yorirou | 2007. 05. 10., cs – 09:12 )

Nem lehet, hogy rootkit, vagy csak simán egy vírus? ClamAV-val fuss végig a HDD-n, vagy esetleg csak a gyanús fájlon!

---------
WARNING: Linux requires you to type! After rebooted to Windows, you can safely unplug your keyboard.
szerény blogom

Mielőtt kihívtak (megtisztelő bizalom!) lefuttattak rootkit scannereket, de állítólag semmit nem fogtak.

clamav: az volt a gépen, de állítólag az sem fogott semmit.

Ma nem tudok kimenni, de gondoltam itt gyűjtök pár ötletet, hogy ha újra megyek, mit nézzek még meg.

( Todvard | 2007. 05. 10., cs – 09:29 )

az 100200 byte es a 96Kbyte annyira nincs messze egymastol. en csinalnek egy md5sum-ot a szerinted fertozott grep-rol es egy tutira jorol, aztan abbol kiderulne, hogy tortent-e valami valtozas (habar a belepesek nem letezo user nevrol eleve azt feltetelezik, hogy valami tortent)

UPDATE: egy adott file md5sum-ja megtalalthato a .deb csomagban, amibol telepitve lett, vagyis, ha az /var/cache/apt/archive/grep*.deb fileban levo md5sum es a szerinted modositott grep md5sumja nem egyezik, akkor telleg gaz van

Azért az a "nincs messze egymástól" jelentős különbség. Először arra gondoltam, hogy elcseszték a frissítést és magukra húzták valami másik kiadás frissítését (pl. woody-t, sarge-ot), de ez a grep biztos nem sarge-os, azt még meg kell nézni, hogy nem woodys-e, de most nincs a közelben woody.

Azért írtam le a méretét, hogy hátha így vkinek ismerős.

( tibyke | 2007. 05. 10., cs – 09:58 )

blind shell

t

[szerk: jol pasztazd vegig a futo processzeket.
pl: "sendmail: accepting connections"]

( tibyke | 2007. 05. 10., cs – 10:06 )

pontosan milyen rendszer ez? linux? dist? kernel verzio?

t

( csizmadia_zoltan v | 2007. 05. 10., cs – 11:29 )

Szervusztok !

Előzmény: a régebben nem-security update-elt Mandrake 8.2 szerveremet annak idején az SSL buffer overflow segítségével törték fel, nagyon kevés nyomot hagytak maguk mögött, ennek elsődleges oka a LOG-olás leállítása, ill az utolsó sorok törlése {élelmesebb rendszergazdák sornyomtatóra {is} logolnak}.
1-2 töredék információ alapján egy lengyelországi szerveren volt néhány script ill binaris állomány, onnan is töltött le.

Vizsgálat: Live Linux CD-ről {Knoppix-ot használok} bootolok, és az olvasásra felmountolt partición Midnight Commanderrel kutakodok.
Egyébként az előményre utalva DD-vel kiírtam image-nek a megfelelő partició(ka)t {root, home, var, temp az érdekesek.}

Utószó: rengeteg betörésre alkalmas digitális anyaghoz lehet hozzáférni az interneten (linux és windows támadására).
Debian 3.1 szerveremen hónapok során nem észleltem sikeres betörést, pedig a logok alapján naponta próbálkoztak.

CSZ