rootkit info - ki látott már ilyet?

Linux-security

Sziasztok,

Felnyomták a szerverem, csak tudnám hogyan..

A történet a következő. (debian sarge)

Apache konfig szerkesztés után /etc/init.d/apache2 restart,
ekkor jelzi, hogy nem tud bindelni a 80-asra, mert foglalt.

Nézem mi foglalja: qmail-queue. --- mi a pöcsömet keres az ott?

80-as portról kifelé meg rohadt sok IP-re mindenféle vad portokon kimenet.

ps -ef : qmail-queue több alternativ path-tal is fut + CRON igy csupa nagybetűvel szintén egy rakat példányban.

netstat alapján UDP porton listenel a CRON.

kill nem működik, reboot nem megy, init nem megy, iptables-el elkezdtem kigyilkolászni az IP-ket aztán már a source portot (80) de nem segitett.
Végül kitépettem a kábelt a gépből.

Kérdéseim: látott-e már valaki ilyen tünetegyüttest: qmail-queue és CRON.

Aztán: a recoveryt bootcd-vel azonos disztribről meg tudom ejteni? az eltérő bináris fileokat szépen felülirom a bootcd-n lévőkkel.

Vagy csak a reinstall segit?

  • 3420 megtekintés

( coder | 2007. 02. 13., k – 14:47 )

aide, tripwire v. hasonlók voltak telepítve a gépeden?

felbootolás másik cd -ről, rootkit hunter és tsai futtatása?

( colos | 2007. 02. 13., k – 15:00 )

visszaallitas mentesbol?
--
Tuddd gi: A Dörrög Zuldán, te hűjje!
(Rejtő Jenő: Az elátkozott part)

nem értem.

bootcd-ről nem találtam semmit.
chkrootkit semmit sem talált.

rendesen bebootolva, laptopra rádugva, nem próbál sehova sem kikapcsolódni.

minden logfile megvan és folytonosak.

a kritikus bináris fileok (bash, kill, ps, netstat) megegyező méretű és dátumú a referencia szerverekkel. nincs immutable file.

a logokban nincs semmi szokatlan.

illetve az auth.logban van egy bejelentkezes a nevemben egy olyan napon, amikor nem voltam gépközelben valami olyan ip-ről, ami nem lehettem. TVNET. nincs veletlenul tvnet radius serverhez hozzáférő tag a közelben?

homedirekben a .bash_historyk teljesen szokványos használatot mutatnak.

a működés helyreállt, az összes bináris jól működik...

most megfigyelés alatt a gép.

jahh a /tmp üres. talán a tmpfs miatt vagy csak mert torolte rebootkor.

-----
Si vis pacem, para bellum...

Keressük meg az immutable állományokat is. Itt egy script, csináld ezzel:

#!/bin/bash
BINPATHS="/usr/sbin /usr/bin /usr/local/bin /usr/local/sbin /bin /sbin /sw/bin /usr/local/libexec /usr/libexec"
IMMUTABLE_FLAG="5"
DIRTY=0
echo "Checking file attributes..."
for I in ${BINPATHS}; do
DISP="While checking $I file attributes:"
if [ -d ${I} ]
then
for J in `ls ${I}`; do
LSAT=`lsattr ${I}/${J} 2>/dev/null | cut -c ${IMMUTABLE_FLAG}`
if [ "${LSAT}" = "i" ]; then
DISP_FOUND="Found 'immutable' binary (${I}/${J})"
WHERETOFIX="${I}/${J}"
DIRTY=1
fi
done
fi
if [ $DIRTY -eq 1 ]
then
echo "${DISP}"
echo -n "${DISP_FOUND}"
DIRTY=0
chattr -i ${WHERETOFIX}
if [ "$?" = "0" ]
then
echo " FIXED!"
else
echo " FIX FAILED..."
fi
fi
done
echo "Finished..."

--
Coding for fun. ;)

ez az egyetlen nyom, amit találtam:

pts/0 85.238.74.62 Fri Feb 9 15:30 - 16:05

ez biztos, hogy nem én voltam.

inetnum: 85.238.74.0 - 85.238.74.255
netname: TVNET-2006
descr: Apollo-3 adsl pool

tud valaki segiteni tvnet radius query ügyben?

-----
Si vis pacem, para bellum...

( kojot | 2007. 02. 13., k – 17:05 )

Ismerős a dolog, láttam már ilyet.
Le van cserélve a legtöbb általánosan használt program a rendszeredben. Ilyenek pl a ps, kill, passwd, useradd, ésatöbbi. Egy csomó minden, kb 20-30db.
Ha ezeket felül írod, akkor látni fogod a fertőzést is. Javallom egy azonos rendszerből vidd be ezeket a progikat egy user könyvtárába és onnan futtasd, ne az /bin sbin stb könyvtárakból. (Már egyszerű file hossz összeasonlítssal is látszani fog, h miket cseréltek le.) Így távolból is ki fogod tudni lőni a fertő processzeket, és helyre lehet nagyjából állítani a szolgáltatásokat. Viszon ezek után javasolt egy új vinyóra egy sokkal frisebb telepítés, mint ami most van. Csak tippelek, h valami működő szolgáltatásod egy régebbi hibáját kihasználva jutottak be, nem minden volt a topon, naprakészen.

( Nyosigomboc v | 2007. 02. 13., k – 17:07 )

Szerintem erdemesebb elolrol feltenni. Sokkal tisztabb. Ha nem egy script-kiddie ment be, akkor elkepzelheto, hogy valami egyedi eszkozt is hasznalt, marpedig egy ilyen backdoort nem fogsz semmilyen automatizalt eszkozzel megtalalni. Raadasul tul sok helyre bujhat. Cron, ssh kulcsok, szinte a teljes /etc-t at kell nyalazni, minden binaris lehet veszelyes. Az ujratelepites+konfiguralas valoszinu kevesebb idot vesz igenybe.

---------------------
Time is like a drug. Too much of it kills you. - Pratchett

Újratevés előtt azért érdemesebb többet megtudni a "barátunkról". Valószínű, u.a. a rendszert tenné vissza a kolléga, tehát csak idő kérdése, és újra felnyomják. Anno engem is törtek fel... Most azért picit nyugodtabban alszom, hogy már azt is tudom, hogyan tették.
--
Coding for fun. ;)

( sysmaster | 2007. 02. 13., k – 23:47 )

Továbbá iptstate-tel ilyeneket látok:

source dest proto state ttl
127.0.0.1,54303 127.0.0.1,80 tcp TIME_WAIT 0:00:53
127.0.0.1,54301 127.0.0.1,80 tcp TIME_WAIT 0:00:50
127.0.0.1,54304 127.0.0.1,80 tcp TIME_WAIT 0:00:54

mi a fene ez?
netstat -anp üresen hagyja a process mezőt ezekre.

egyre több van.

-----
Si vis pacem, para bellum...

( drastik | 2007. 02. 14., sze – 09:32 )

ugy hogy debian
es ugy hogy nem ertesz hozza

kerjel meg egy rendszergazdat h hozza rendbe
--
"en csak hupot olvasok" al3x
http://litch.eu/blog

Nagyon ügyes... Mármint a támadó. Okos hacker így dolgozik: bejön, unset változók, freeze .bash_history, utána: rootkit letölt, telepítésnél a RK dátum, méretazonosan írja felül a binárisokat. Lényeg ez: nem script kiddie-vel van dolgunk. Volna egy ajánlatom, de azt inkább priviben. Nem szeretnék bajt a fejemre, ha tippeket adok kukkoló hackereknek.
--
Coding for fun. ;)

nem feltétlenül...
Anno engem is feltörtek úgy 7-8 évvel ezelőtt, és script kiddi követte el. Annyi szerencsém volt, h épp motoszkáltam a szerverben és pár percen belül reagálni tudtam a hibátkat észrevéve...
Aztán egy darabig még foglalkoztam vele, h elkerüljem a hasonló dolgokat, hogyan vehető észre, detektálható az ismertelen próbálkozás. A kérdező jelensége hasonlít hozzá, mint ami nálam előállt. Wu-ftp és Bind sebezhetősége a gyanús. Távolról bejuttatható a kód, lefut 1 script és onnan kinyílik az ajtó. Ekkor további scriptek és progik töltődnek le és azokat látod, amit leírt. Noéseztán kapod a maileket, h növeszd meg a férfiasságod, meg v1agra meg mindenféle szemetet. Persze a log filek jól ki vannak törölve. Debuggolni kell a vinyót h valami pici infót találj az elkövetőről. Nekem volt szerencsém javítani több olyan linuxot is, amiben még arra sem vették a fáradtságot, h a crack forrását töröljék. Ott volt szépen tar.gz ben a forrás. Erősen, és gyanakodva nézd át a filerendszert, keress ismeretlen felhasználói jogosultsággal rendelkező fileokat. Sokat segíthet!

Ha ez egy "tisztesseges" rootkit, es nem volt neki eredetileg tripwire vagy valami hasonlo (mint a topic elejen valaki kerdezte)amivel egy "offsite" helyre lementette az osszes binaris md5sum es egyeb dolgait, akkor teljesen felesleges barmi utan is nyomozni.

Az osszes parancs buheralt lehet.Az ls-tol kezdve minden hazudhat.(Ahogy ez is elokerult feljebb)
Szerintem kar a gozert.

Mentse le a fontos adatait, konfigjat, paranoia rulez alapon nezze meg akar virusirtoval is, aztan rakja ujra.

Reinstall utan inditson Bastille, tripwire es tsaival
(futtatas eredmenye gepen kivul tarolando!).
Esetleg ha belefer SELinux.

Kulonben pedig php, es web security............

A temaban erdemes belenyalazni pl. a kovetkezo konyvbe:
(nem a technikak hanem az elvek miatt)

Szerző: Simson Garfinkel, Gene Spafford & Alan Schwartz
Cím: Practical UNIX & Internet Security, 3/E
Kiadó: O'Reilly & Associates

( joszif | 2007. 03. 28., sze – 23:52 )

sziasztok,

Nem akartam uj topicot nyitni ezert ide irok hasonlo temaban. Adott egy debian sarge + shorewall "tuzfalkent" beallitott gep. Tegnap azzal a jelenseggel talaltam szemben magam, hogy amikor beleptem a bash_history teljesen ures volt. A log file-ok latszolag folytonosak, minden megvan, az ssh logok is, ami benne van belepes, ip cimek stb, mind ismeros stb... a gep mukodik jelszavak jok, ps auxw -re semmi ismeretlen, latszolag minden rendben. Viszont szamomra meglehetosen gyanus hogy a history teljesen ures volt. Ujra felraktam az ls, ps, netstat stb parancsokat es ugy nezelodtem de nem "lattam" semmi gyanusat... Ez az elso ilyen kalandom, legyszi segitsetek, hogy mit kene/lehetne megnezni, hogy kideruljon mi is tortent valojaban... Letezhet, hogy valami "hiba" folytan "kiurulne" a history???(en meg sosem hallottam ilyen hibarol...)

koszi.