Betörtek hozzám!

 ( skynetpro | 2006. július 30., vasárnap - 19:12 )

Sziasztok!

A mai nap érdekes jelenségre lettem figyelmes.
Nem voltam bent a szobában de valahányszor bejöttem, mindig meg volt nyitva egy nautilus-ftp kliens, elmentett sessionnal ami a suli szerveréhez kapcsolódott volna. Csakhogy most a suli szervere nincs online. De mindig próbálkozott. Én meg becsuktam.
De azt hittem, csak öcséim szórakoznak. De később rájöttem, hogy nem.
Lelassult az egész, láttam h van hálózati aktivitás akkor is amikor semmi nem történik.
Előkaptam egy terminált, de akkor már éreztem hogy az egeremet nem egyedül irányítom...
Próbáltam megakadályozni h bármit is csináljon. Előkaptam egy tcpdumpot és egyből rájöttem
Nyitva hagytam az 5900-as portot. tudniillik VNC-ztem és kinyitottam az 5900-t majd jelszóval védtem persze a VNC-t.
Próbaképp beírtam neki h. "Fuck you!!!" erre visszaírt hogy "soory" én meg hirtelen felindulásból adtam neki egy ifdown ath0-t. Utána pedig a tcpdumpban talált címekkel feltöltöttem az iptablesemet. VNC portját bezártam. Most is próbálkozik több gépről is. de csak ack csomagok mennek tehát pingel, h fent vagyok-e. én viszont tiltom ezeket.

Mit lehet ilyenkor tenni?
Mi a teendő? Megelőzés? Ha már megvan a baj?
egy Ubuntu 6.10-em van.
sajnos ezen a téren még kezdő vok. kérlek segítsetek nekem és másoknak is!

jah és a gépnevek
ubuntu.roox.microsoft-sucks 5900
ftp.olahnyomda.hu
volt még néhány de fejből nem m1.

tcpdump (részletek)
19:10:16.543880 IP ftp.olahnyomda.hu.52618 > 192.168.2.102.47755: P 11237:12673(1436) ack 27 win 64914
19:10:53.906782 IP 192.168.2.102.52074 > ftp.olahnyomda.hu.52618: . ack 67545 win 32767

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hálózatról le. Ha van időd megállapítod, hogy hol és miként jöttek be (későbbi tanulságként). Backup (adatok). Reinstall. Adatok vissza. Ez a legbiztosabb.

--
trey @ gépház

És ezt hogy tudom megállapítani? az 5900as port és a VNC-szerű működés szvsz arre utal, h. VNC-n keresztül jöttek. vagy megszerezték a jelszavamat vagy a vnc.so-ban van vmi buffer owerflow bug. ezért a VNCt most mellőztem. ahogy néztem, semmit nem töröltek, nem nyúltak.
bár ez még kiderül.
viszont próbálkoznak, még mindig de az iptables kidobálja őket

és hogy tudok halálbiztos rendszert építeni?

"ahogy néztem, semmit nem töröltek, nem nyúltak."

Ettol fuggetlenul:
1. Mindenkeppen jarjal utana, mivel uj telepitesnel megismetlodhet.
2. Miutan megtalaltad, mindenkeppen installald ujra. Lehet, hogy csinaltak rajta alternativ backdoort is, biztonsagkeppen.

"és hogy tudok halálbiztos rendszert építeni?"

Leontod denaturalt szesszel, majd alagyujtassz. Ez altalaban be szokott valni. (komolyan: sehogy. ilyen nem letezik :-( )

---------------------
Minnél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

probakeppen rakerestem arra a ubuntu.roox.microsoft.suckra es mit ad Isten egy talalatot ad,
http://www.ubuntu.si/punbb/profile.php?id=4

Nem O" a Te embered véletlenul?

én is rákerestem. szvsz csak átjáró volt. nem ő támadott.

"Mókázz" vele Te is egy kicsit. Töltsd be az iptables TARPIT modulját és az IP címeit ne blokkold, hanem irányítsd át a TARPIT-ra. Garantáltan hamar meg fogja unni a próbálkozást :DDD
Közben alaposan vizsgáld át az összes naplóállományt, ami létezik a gépeden. Sokszor igen érdekes dolgok derülnek ki. Ha találtál valami gyanúsat, a neten rá lehet keresni a kapcsolódó hibákra és javításokra. Esetleg az IP címe alapján a RIPE adatbázisban megnézed, ki szolgáltat az adott címtartományban. Minden ilyen szolgáltatónak van vagy admin, vagy abuse e-mail címe, ahol az ilyen eseteket jelezni lehet. Ha mellékeled a naplórészleteket is a levélhez, majdnem biztos, hogy a fickót ki fogják tiltani (nálam legalábbis bejött, mikor az ssh démonomat próbálták felnyomni).
Aztán ahogy Trey is mondta: fontos anyagok mentése, rendszer legyalulása, újratelepítése és azonnali frissítése.

Atombiztos rendszert egy módon tudsz építeni: ha a gépet leviszed egy atombunkerbe, ott bezárod egy páncélszekrénybe, aztán a bunkert körülveszed aknazárral. Bár sajnos ez sem 100%-os megoldás.

... s természetesen a gépet lehúzod a hálóról és kihúzod a konnektorból :(

Természetesen. Másképp értelmetlen a dolog :)

milyen/hanyas vnc volt?

csakmert:
RealVNC 4.1.0 - 4.1.1 (Null Authentication) Auth Bypass Exploit (meta)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

bingó!

skynetpro@ddt:~$ apt-cache show vnc4server
Package: vnc4server
Priority: optional
Section: universe/x11
Installed-Size: 2332
Maintainer: Ola Lundqvist
Architecture: i386
Source: vnc4
Version: 4.1.1+xorg1.0.2-0ubuntu1

Ha a VNC létszükséglet, akkor nonstandard porton futtasd.

vagy ssh portforward
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!