feltört szerver

Linux-haladó

sziasztok!

Rkhunter (1.3) progi szerint az alábbi káros progik vannak a szerveren:
DreamsRootkit
Flea linux rootkit
SHV4 rootkit
SHV5 rootkit
Sin rootkit
SunOs rootkit

és még "fertőzött" az alábbi fileok
ps
netstat
ls
pstree
find
md5sum
top
ifconfig
syslogd

ha ezeket törölni akarjuk, rootként belépve, mindig azt irja, hogy permisson denied (13).
Valaki találkozott már ilyennel?
Megoldás?
előre is köszi

  • 3732 megtekintés

Szerintem sokkal jobban jársz ha fogod és újra telepíted a szervert. A reinstall előtt azért nyomozd ki, hogy mi módon jöttek be az emberkék és foltozd be a lyukat. Ha most meg is találod azokat a fájlokat/programokat amelyek módosítva lettek, rengeteg lehet rejtve, amelyek okozhatnak még galibát a jövőben.

( szegecs | 2009. 08. 18., k – 11:15 )

Igen.
Fizikai hozzáférés kell. Bootolj be egy Linux CD-ről, csatold fel a partíciót és a fertőzött bináris fájlokat egyszerűen írd felül.
Alaposan nézd át az "at" és a "cron" ütemezéseket, a rc fájlokat: a rootkitek jellemzően reprodukálják magukat indításkor, vagy az indítás hatására ütemezetten.
Még egy fontos: a g++, make és egyéb fordítóprogramokat kapd le a szerverről.

--
Én egy divathupper vagyok. :)

( pgabor v | 2009. 08. 18., k – 14:11 )

vírusírtó, tűzfal van rajta? ha igen, milyen? csak kíváncsi vagyok.

( Mik v | 2009. 08. 18., k – 15:38 )

Mielőtt chattr-al nekiugranál, előbb lsattr -al nézd meg mik vannak bekapcsolva. Normál esetben ilyen kimenetet kellene kapni:

lsattr proba.txt
------------------- proba.txt

Ennek igy semmi ertelme.
Ha a binarist "nem engedi torolni" (==a syscall visszater -EPERM-el, ezt lehetne megnezni pl. strace-el, vagy ha az rm-en kivul valami massal is probalod torolni), akkor ez egy kernel rootkit, aminek tokmindegy, hogy megvan-e a ps, netstat, ls, whatever binarisa - de az sem toltodik be ha livecdrol bootolsz.

Amugy a binarisok/kernel/kernelmodulok md5sum-ja livecdrol bootolva stimmel? A winyot probaltad attenni masik gepbe?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Jo esetben ugye tarolod valami programmal a hashet valamerre elfele messze a szervertol. Ha nem akkor felraksz egy ugyanolyan disztribet ugyanazokkal a csomagokkal, es vegignyalazod valami egyeni scripttel (man md5sum bar erdemes nem csak md5sumot hasznalni, ugye tudjuk miert ) .

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

En arrol azzal a rendszerrel nem nagyon bootolgatnek. Livecd, ellenorzes, ami megvaltozott torolni, eltuntetni, megtudni hogy tortek fel, ha nagyon akarja az egyen akkor az eredetire kb-ra visszatett rendszert bebootolni - persze kijavitani a hibat amin keresztul bejottek. Esetleg elerakni egy masik gepet, es a forgalmat nezegetni, hogy ki mit szeretne csinalni, ill. a szerver ugy viselkedik-e ahogy szeretnenk.
Amit meg en csinalnek:
livecd, kideriteni mit csereltek ki mit csinaltak a rendszeremmel, megtudni honnan jottek be, felrakni egy szuz rendszert, adatokat atmigralni, kijavitani a hibat, aztan nyugodtan aludni. Az uj rendszerre termeszetesen felrakni aide-t,tripwire-t vagy amit szeretnenk. Esetleg valami IPS megoldas is jol johet :).

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

"En arrol azzal a rendszerrel nem nagyon bootolgatnek."

Mar mindegy neki.

"Livecd, ellenorzes, ami megvaltozott torolni, eltuntetni, megtudni hogy tortek fel, ha nagyon akarja az egyen akkor az eredetire kb-ra visszatett rendszert bebootolni - persze kijavitani a hibat amin keresztul bejottek"

De legeloszor kideriteni, hogy mi ez, es tenyleg rootkit-e - mert jelenlegi allas szerint valoszinubb, hogy valami benezes.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( maniac | 2009. 08. 18., k – 16:17 )

livecd, es a tobbi binarist, konfig file-nak is ellenorizd a hashet/meretet/valtoztatas idejet stb.
Valoszinuleg a shell binarist is modositottak, ugyhogy onnan nem nagyon fogod tudni torolni a file-okat.
(ill. szeretik arra is hasznalni, hogy minnel tobb dolgot elrejtsenek eloled, topot meg egyeb okossagokat is szoktak modositani emiatt)

Nezd meg, hogy mennyi user-t adtak meg hozza, miket csereltek le - ha eleg okosak voltak akkor modositott ssh-t is felraktak, meg ha vannak weblapok akkor oda is mindenfele ugyes scripteket raktak fel.
Szoval livecd, es onnan ugykodj, jelszavakat valtoztasd meg, valoszinuleg azokat is modositottak - marmint a userek jelszavat, meg egyeb dolgokat, hogy visszajohessenek.

Cron-t is nezegesd meg, meg kismillio masik helyet is amit valtoztathattak. Tripwire, aide egyeb dolog, hogy lathasd hogy mik valtoztak meg van?

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

(ill. szeretik arra is hasznalni, hogy minnel tobb dolgot elrejtsenek eloled, topot meg egyeb okossagokat is szoktak modositani emiatt)

Ilyet csak a balfaszok csinalnak. Jobb helyeken erre minimum kernel modult hasznalnak es az eletbe nem jossz ra, h megraktak, mint a reti sas a sivatagi ugroegeret.

---
pontscho / fresh!mindworkz

Ez igaz. Amit kihagytam, az h, nem szabad arra epiteni, h "balfaszok voltak". Amikor anno a gepem megtortek (akkor utoljara tortek meg gepem, nem mai sztori:), ket tores volt, egy profi, amit csak egy teljes analizis utan talaltunk meg es egy balfasz ami 5 perc alatt megbukott.

---
pontscho / fresh!mindworkz

Nincs kedved nehany szoban osszefoglalni a kettot, nyilvan nevek/ipcimek nelkul (hogy sikerult nekik, mennyi ido utan, hogyan vetted eszre es hogyan javitottad)? Szerintem tobb embert is erdekelne, engem biztosan :) az altalam adminisztralt szervert legutobb valami kinai iprol nyomtak meg egy szar php alkalmazast kihasznalva, seggbe is rugdostam a programozot hogy az o hulyesege miatt kell ujrahuzni a gepet.

Eleg regen volt ez lassan 10 eve, nem emlekszem mindenre, de az remlik, h egy sshd 0day exploittal ment be a paraszt. A balfek ugy bukott le, h lecserelte a root pass-t es felrakott egy irc botot. :) Akkoriban meg meno volt nehany idiota szerint az irc-n valo izmozas. Utana neztuk at A'rpi-val a cuccot es akkor derult ki, h nem o volt az elso, igy nem is lett tulzottan atszaglaszva inkabb ujra raktam. Ez utobbi legalabb "jol" csinalta, nem azonnal bukott le. Nem volt tul kellemes tapasztalat, de megerte.

---
pontscho / fresh!mindworkz

Aztan meg csodalkozik, ha masnap visszajonnek, vagy egy honap mulva megtalalja ugyanezt a tobbi gepen is. Analizis _kell_.

Ha pedig ez tenyleg rootkit, es tenyleg aktiv marad livecd-rol bootolas utan is, akkor fujhatja az mkfs-t.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

A gyalulást természetesen az utánra értettem, miután jó közelítéssel kiderült, hogy hol mentek be -- az újrarakott rendszeren ha lehet javítani, ha nem lehet, valamilyen módon workaroundolni (de randa szó...) a lukat, és erőteljesen odafigyelni rá.

Ha tudnánk, hogy milyen szolgáltatásokat, milyen verziójú szoftverekkel nyújtott a kompromittálódott szerver, akkor többet tudnánk segíteni, bár a teljes "hogyan jöttek be" vizsgálathoz kell látni a konfigurációs állományokat is, meg jó, ha vannak régi, máshova elmentett logok is -- ezekben a támadás nyomati lehet keresgélni.

( azbest | 2009. 08. 19., sze – 01:57 )

ha livecd-ről is fennáll a probléma, akkor szerintem jó eséllyel valamilyen fájlrendszer hiba / bug / expolit.

Mi lenne, ha más fajta kernelt használó live cd-vel is megnéznéd? bsd, solaris? Azokban talán nincs meg az a hiba amit kihasználtak.

Annó dos alapú ms oprendszerhez (win me-ig bezárólag) csináltak olyan rendszer védelmi szoftvert, ami úgy megbütykölte az mbr-t/particiós táblát, hogy kifagyasztotta a dos alapú boot-olást, ha nem a saját mbr-jével indult. Csak linux live cd-vel tudtam letakarítani a winyóról (az adatokkal együtt).