megtörtek

Linux-security

Szevasztok,

sikerült valami jóhumorú fiatalembernek megba*nia az egyik kis etch szerveremet. A megmaradt logokat közzéteszem, hátha más is tanul belőle...
access.log
error.log
bash_history

( Chain-Q v | 2009. 10. 13., k – 02:22 )

Szabvány baleset mostanában a phpMyAdminon keresztüli törés. Többen is írtunk róla az utóbbi időben... Szóval tépj egy sorszámot és állj be a sorba. :)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

( crape | 2009. 10. 13., k – 08:03 )

hasonló módszerrel próbálkoztak nálam is. azóta vpn, ssh random porton, apache2 pedig csak a public siteokat engedi ki (amik pedig non-root felhasználóval futnak), minden más csak ssh tunnel vagy vpn alól.

sajnos ez van, "megint jönnek kopogtatnak...":

--------------------- httpd Begin ------------------------

Requests with error response codes
404 Not Found
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=5606 ... MVER=4&CAPREQ=0: 8 Time(s)
/PMA/main.php: 1 Time(s)
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606 ... MVER=4&CAPREQ=0: 8 Time(s)
/admin/js/keyhandler.js: 1 Time(s)
/admin/main.php: 1 Time(s)
/admin/phpmyadmin/js/keyhandler.js: 1 Time(s)
/admin/pma/js/keyhandler.js: 1 Time(s)
/myadmin/js/keyhandler.js: 1 Time(s)
/myadmin/main.php: 1 Time(s)
/mysql/js/keyhandler.js: 1 Time(s)
/mysql/main.php: 1 Time(s)
/mysqladmin/js/keyhandler.js: 1 Time(s)
/php-my-admin/js/keyhandler.js: 1 Time(s)
/php-my-admin/main.php: 1 Time(s)
/phpMyAdmin-2.2.3/main.php: 1 Time(s)
/phpMyAdmin-2.2.6/main.php: 1 Time(s)
/phpMyAdmin-2.5.1/main.php: 1 Time(s)
/phpMyAdmin-2.5.4/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.5.5/main.php: 1 Time(s)
/phpMyAdmin-2.5.6-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.5.6-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.5.6/main.php: 1 Time(s)
/phpMyAdmin-2.5.7-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.5.7/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-alpha/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-alpha2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-beta2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc3/main.php: 1 Time(s)
/phpMyAdmin-2.6.0/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.6.1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-rc1/main.php: 2 Time(s)
/phpMyAdmin-2.6.2/main.php: 1 Time(s)
/phpMyAdmin-2.6.3-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.3-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.3/main.php: 2 Time(s)
/phpMyAdmin-2.6.4-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl4/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.4/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.2/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.3/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.4/main.php: 1 Time(s)
/phpMyAdmin-2.8.0/main.php: 1 Time(s)
/phpMyAdmin-2.8.1-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.8.1/main.php: 1 Time(s)
/phpMyAdmin-2.8.2/main.php: 1 Time(s)
/phpMyAdmin-2/main.php: 1 Time(s)
/phpMyAdmin/js/keyhandler.js: 1 Time(s)
/phpMyAdmin/main.php: 1 Time(s)
/phpMyAdmin2/main.php: 1 Time(s)
/phpadmin/js/keyhandler.js: 1 Time(s)
/phpmyadmin/js/keyhandler.js: 1 Time(s)
/phpmyadmin/main.php: 1 Time(s)
/phpmyadmin1/js/keyhandler.js: 1 Time(s)
/phpmyadmin2/js/keyhandler.js: 1 Time(s)
/phpmyadmin2/main.php: 1 Time(s)

igen, gyakorlatban semmivel nem ad kevesebb biztonságot mint a vpn, csak így kevesebb dolog látszik kifelé az x+1 open tcp portból. ennek igazából architektúrális okai is vannak. a fejlesztői és a production server is közös vpn-ben van, ahogyan a fejlesztők gépei is. egyszerűen így alakult ki, nem szeretünk jelszavakat pötyögni. ssh mindenhol látszik kifelé, van banafterloginfailures és amúgy is kulcsokkal operálunk amiket indőnkként cserélünk.

Hát igen, nekem is architektúrális okaim vannak. Egy darab Virtual server van, a felhasználók meg szétszórva a nagyvilágban.
Meg aztán nem vagyunk olyan jól szervezettek, ha kitalálnám hogy mindenki gépére vpn, nem tudnák egy könnyen leadminisztrálni a dolgot akiknek kell.

Találtam egy egész jó klienst ssh-hoz, ami már majdnem felér egy VPN-nel:
http://www.bitvise.com/tunnelier
És 5 felhasználó alatt ingyenes. :)

( siposa v | 2009. 10. 13., k – 08:51 )

Ha letöltöm a rootkitet, akkor az warezolásnak számít? 


# PRIVATE ! DO NOT DISTRIBUTE BITCHEZ ! 
   *** VERY PRIVATE *** 
*** so dont distribute ***

( fezo | 2009. 10. 13., k – 09:39 )

Az access logbol azt latom hogy egy roman emberke volt a tettes.

"Toata dragostea mea pentru diavola" Annyit jelent mint "Minden szerelmem a satankae"

a bash history-bol a "futaidrone" neve pedig "atb@szodrone"-ra fordithato.

--
FeZo

( csabka v | 2009. 10. 13., k – 10:15 )

már egy egyszerű .htaccess-el is védheted az ilyen jellegű támadást...

( salaud v | 2009. 10. 13., k – 15:49 )

Tisztán kíváncsiságból ráengedtem clamav-ot, és avast for linux-ot a log-okban lévő 2 szépségre. Mindkettő felismerte.

[salaud@XXX]$ clamdscan /media/tarhely/Vírusok/
/Vírusok/Rootkitek/war.tar: Linux.RST.B-1 FOUND
/Vírusok/Rootkitek/rk3.tar: Trojan.Rootkit-115 FOUND

----------- SCAN SUMMARY -----------
Infected files: 2
Time: 0.091 sec (0 m 0 s)
[salaud@XXXX]$

---------------------------------------------------------------------------------
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!

( herka v | 2009. 10. 14., sze – 06:00 )

Helló!

Nem tudom,hogy mit csinál a progi,amit feltettek hozzád,csak egy ötlet:
Ha adatokat akarnak kinyerni,s valaki tudna írni egy scriptet,ami küld nekik gazdagon,mondjuk a dev/null -ról, akkor lehet,hogy én is ráengedném a 3 megás feltöltési sebességemet,hagy teljen a hakker gépe. .. Ha már adat kell neki,hagy szokja,hogy kap... :)

Ha ez is nem lenne illegális, gondolom velem együtt többen is tudnának 100 mbit/s sebességgel DoS-olni a hacker gépére :)
Korábbi betörési kísérletnél már nyomtam vissza neki néhányezer tcp connectet, hogy hátha rájön, hogy rossz ajtón kopogtat. Amúgy php alól kb. 5 sor.

Ez igazán okos tekintettel arra hogy az esetek döntő többségében ez nem saját gépről érkező támadás, hanem már megtörtről. A l33th4x0r elvtárs meg választ egy másik zombigépet a világ túloldaláról és folytatja a baromságait.

Ha tényleg tenni akarsz valamit, akkor írsz a hálózatot üzemeltetőnek, hogy mit észleltél és milyen IP-ről. Általában lehúzzák az ilyen gépet elég hamar.

"Nem tudom,hogy mit csinál a progi,amit feltettek hozzád"

Pedig az mindenkinek jobb lenne.

"Ha adatokat akarnak kinyerni,s valaki tudna írni egy scriptet,ami küld nekik gazdagon,mondjuk a dev/null -ról"

OMFG.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( strangelove | 2009. 10. 14., sze – 09:38 )

Talán segít, hogy ki mi(lyen portoka)t használt (kotonon kívül): 

awk 'BEGIN{for(i=6;i<65535;++i){print "fuser -aiv " i "/tcp";}}' | sh 2>&1 | sed '/^[0-9].*[^:]$/!d'

Pub:
Tudom, kedves népség, lehet greppel, dobbal, nádihegedűvel finomítani. Ne aggódjatok, megcsináltam magamnak :>

ami át van húzva, azt teljesen fölösleges elolvasni. az olyan, mintha ott sem lenne

( tmms v | 2009. 10. 14., sze – 16:51 )

Ha valakinek feltörik a gépét azt lehet jelenteni?
Hol?
--
Home: Ubuntu 8.04 LTS
Server: Debian Lenny

( _Franko_ v | 2009. 10. 14., sze – 21:42 )

A mai nap több ilyet láttam a logban: 


hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/roundcubemail-0.2/bin/msgimport' (23.66ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/roundcubemail/bin/msgimport' (22.16ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/roundcubemail-0.1/bin/msgimport' (19.01ms)

Szóval kinéz egy roundcube hiba, ha ennyire keresik. :)
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD

Ma ezt láttam a (tegnapi) logban: 


hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/eshop/admin/includes/stylesheet.css' (29.19ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/negozio/admin/includes/stylesheet.css' (25.26ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/ecommerce/admin/includes/stylesheet.css' (28.46ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/public/admin/includes/stylesheet.css' (29.16ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/shops/admin/includes/stylesheet.css' (32.3ms)

Szóval valamelyik webshop törése is a láthatáron van és keresik a programot...:)
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD

Na, regisztrálnom kellene az oldalt... :)

Az utóbbi pár nap termése: 


hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/poll/png.php' (18.09ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/pma/main.php' (32.38ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/print_bug_page.php' (21.84ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/signup_page.php' (46.58ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/chat/messagesL.php3' (75.33ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/chat3//chat/messagesL.php3' (19.8ms)

--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD

( mogyi | 2009. 10. 15., cs – 12:28 )

Nálam is próbálkoztak, egészen friss a log.

67.205.89.102 - - [13/Oct/2009:11:31:14 +0200] "GET //phpmyadmin//scripts/setup.php HTTP/1.1" 404 303 "-" "ZmEu"
....
67.205.89.102 - - [13/Oct/2009:11:35:34 +0200] "GET //phpMyAdmin//scripts/setup.php HTTP/1.1" 404 303 "-" "ZmEu"

A phpmyadmin setup könyvtára át van nevezve.
Kedvem lenne valamilyen ellenszer visszajuttatására de attól tartok az is csúnya dolog lenne.

A hálózatának whois-ában szereplő abuse címre írj és asszem a ZmEu user agentre relatív könnyen tudsz szabályt tenni vagy kitiltod a tűzfalon az IP-t. Gyakorlatilag semmilyen opensource csodát nem szabad a default könyvtárban hagyni, mert amint jön vmi 0day bug rögtön jön is a szken, de ezzel gondolom nem mondtam sok újat.

U.I: Ha mindenki beírná a fórumra, hogy mennyi "támadás" érkezik zombigépekről, akkor a SUN nem győzni storage-el támogatni a HUP-ot. :P

( l0ud v | 2009. 10. 25., v – 00:18 )

Nekem ilyenek vannak a logomban(Ez próbálkozásnak számít?): 


174.129.93.241 - - [25/Oct/2009:00:16:35 +0200] "GET http://socks72.com/ HTTP/1.0" 200 39 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"