Betörési kísérlet - hogyan tovább?

Security-all

Sziasztok. Tegnap egy magyar ip címről megpróbáltak betörni többféle módon kívülről egy linuxos szerverünkre, a jelek szerint sikertelenül. Van egy terjedelmes apache logfájl, ami elég ékes bizonyíték.

Ilyenkor kihez/hogyan érdemes fordulni, mi a teendő? Rendőrségi feljelentés? Szívesen vennék tanácsot ilyen téren tapasztaltabbaktól.

Köszi.

  • 4530 megtekintés

( LZ | 2010. 09. 07., k – 15:22 )

Tudod bizonyítani, hogy a log eredeti hiteles és senki sem szerkesztett bele ?!
Na ennyit ér a apache log...

Najó de ennyi erővel védtelenek vagyunk (mint rendszergazdák) bármiféle ilyen ellen, mert kevesen hitelesíttetik a naplózó rendszerüket. Aki pedig hitelesít az mitől lesz hiteles? A közjegyzők között ül néhány hacker aki szimulál egy támadást majd bólogatva nézi az auditálandó szerver naplóját?

Nem azt a részét nem értem. Kibontom:

1) Honnan a túróból tudja, hogy amit lát az tényleg arról a gépről jön?
2) Honnan tudja, hogy mit logolt épp a gép?
3) Ha esemény van, akkor annak a pillanatában honnan fogja tudni bárki is, hogy hiteles-e a napló?

Az rendben van, hogy tanusítják, hogy adott időben jó egy naplófile kimenet, de szerintem teljesen életszerűtlen. Az életszerű az, hogy a teljes naplózó rendszert tanusítják, "pecsételik le", mert attól lesz hitelesnek elfogadható később is a log. Abba meg ne is menjünk bele, hogy adott esetben hányféle szolgáltatás hányféle kimenetét kell ellenőrizni.

te is a lényeget keresed mi? hogy mi a vicces :D

odaírtál 3 szereplőt akinek _definíció_ szerint nincs köze az átverhetőséghez csak hogy levezethesd az igazad, a negyediket kihagytad, akinek legalább papír szerint kell értenie hozzá

szóval lol a logikádnak és az érvelésednek és hogy min röhögsz ;D

ki a rák mondta hogy feltételezem? :D
idézném magam, a lényeget: "_bármi_más_ügyhöz_"
tehát semmiben nem különbözik az összes többi jogi ügytől, tehát attól a világtól amiben élünk

"a rendszer átverhető": valóban lehet ölni is, a bíróságon is nyerhetünk vagy veszthetük úgy hogy a másik lenne az igaz, de ennek ez egy .. mondjuk úgy: elég beteg szemlélet

Volt mar olyan ugyfeletek, aki probalta magyar birosag elott a gyakorlatban is? Komolyan erdekel.
Nyilvan ha tobb kozbeeso ISP is tanusitja a dolgot, akkor mar nehez kimagyarazni, de - miutan a gep kornyezetet is az adott ceg allitja ossze, barmi szimulalhato. Virtualis gepek eseten mi a helyzet?

--
Always remember - correlation does not imply causation.
Since realising this, my life has been so much better.

NHH az kicsit mas. Egyreszt nincs olyan jogkore. Masreszt joval kisebb sulyu buntetes, amit egyaltalan kiadhat. Harmadreszt, jellegebol adodoan sok esetben tobb forrasbol tajekozodhat.
Mondjuk egy spammer jellemzoen nagyon sok cimre kuld spamet, tobb bejelento mar valoszinuleg nem hamisit egymassal osszehangoltan logot.
Egy betores mas jellegu, ott egy sikeres eset is komoly kart okozhat, komolyabban is buntetik, es (az automatizalt esetektol eltekintve) kisebb az eselye az egymassal konzisztens bejelenteseknek.

--
Always remember - correlation does not imply causation.
Since realising this, my life has been so much better.

Személy szerint nem tudok róla, de valószínű azért mert nem kötik az orromra :)

Egyébként több törvényi szabályzásnak is megfelel, amelyek között magyar is van!

"Számos szervezetnek kell előírásoknak megfelelnie, mint például a magyar hitelintézetekről és pénzügyi vállalkozásokról szóló törvény (HPT), a Sarbanes-Oxley Act (SOX), a Basel II egyezmény, a Health Insurance Portability and Accountability Act (HIPAA), vagy a Payment Card Industry Data Security Standard (PCI-DSS). Ezek a szabályozások gyakran direkt vagy indirekt követelményeket támasztanak a naplóüzenetek kezelésével szemben, előírva például központi gyűjtésüket, naplóelemző alkalmazások használatát, vagy az üzenetek hosszútávú - akár több éves - megőrzését. Az SSB segít megfelelni ezeknek az előírásoknak."

forrás
--
\\-- blog --//

( bambano | 2010. 09. 07., k – 15:22 )

Először tisztázni kellene magadban, hogy mit szeretnél elérni:
- hogy a betörési kísérletből rendes betörés legyen
- hogy még véletlenül se lehessen betörni többet
- hogy a rendőrség törjön be
- hogy ne történjen több ilyen
- hogy bíróságra meg rendőrségre járhass szorgosan, évekig?

( andrej_ v | 2010. 09. 07., k – 15:22 )

Valószínüleg valamilyen zombigép volt. Első körben az ISP abuse címére írnék mellékelve a logrészleteket. Ha nem titok akkor mivel próbálkoztak?

Mindenféle webes gyenge pontokat kerestek, phpmyadmin, joomla, backdoorok, több ezerféle kérés, mint pl. ez:

[06/Sep/2010:19:53:17 +0200] "GET /hp/device/this.LCDispatcher HTTP/1.1" 404 349 "-" "Mozilla/4.75 (Nikto/2.1.2) (Evasions:None) (Test:embedded detection)"

Ami inkább zavaró, hogy van egy reverse apache proxy-s MOTP+radius-al védett OWA hozzáférésünk és ott elkezdtek szótáras brute-force-olgatást, ami persze esélytelen, mivel pár próba után zárol egy-egy logint a rendszer. van vagy kétezerféle login amit kipróbáltak.

Köszönöm a tanácsokat, valószínű az ISP-nek jelzés lesz belőle.

Van itthon egy gépem, amin saját céllal futtatok néhány dolgot, többek között néhány VirtualHost-on pár weboldalt (webmail, ébresztés, oldal demo, stb.) ezért figyel az apache a 80-as porton.

Múltkor kikapcsoltam kicsit a kábelmodemet és valószínű, másik IP-címet kaptunk (nem ellenőriztem).
Ugyanis elkezdett hízni az apache log hasonló próbálkozóktól. Valószínű, korábban lyukas rendszer lóghatott a címen.

Szerencsére semmit nem értek el vele, de változtattam néhány dolgon, mert napi több gigányi log azért kicsit sok.

Szóval sajnos nem egyedi az eset... :(

Hát én minimalistában is a fail2ban + kulcsalapú login only kombót használom, illetve rájöttem, hogy a weboldal felnyomása ellen hatásos lehet, ha nem egy user:passwd form action=post véd, hanem mondjuk https kliens azonosítással :)

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( agolon | 2010. 09. 07., k – 15:50 )

Linuxos bot támad linuxos botot?
--
2e845cb4c3a5b5bd6508455b1739a8a2

( uid_4263 v | 2010. 09. 07., k – 15:57 )

Itt az ideje áttekinteni a rendszer biztonsági házirendjét, frissítéseket, satöbbi. Egyébként ha nem a macska alvóhelye a szerver, irány a rendőrség, mindenképpen. Amennyiben megismétlődik a dolog és ne adj isten sikerrel jár, még téged is felelősségre vonnak.

--
"ktorrent utan az utorrent volt [...] beallithatatlan"
...

"az a 100 ezer ember menjen mind rendőrségre?"

Nem mind a 100 ezer van felelős admin pozícióban. Ebből 99 ezer PC pistike akinek maximum beszaggat a WoW, és pont lesz.rja.

Minden ilyen esetnél (ha cégről, éles rendszerekről van szó) érdemes feljelentést tenni, vagy felszólítani rá a vezetést, mert azzal magadat véded egy esetleges felelősségre vonástól (nem, nem úgy értettem hogy te voltál, hanem b.sztál a fizetésedért rendesen eljárni).

--
"ktorrent utan az utorrent volt [...] beallithatatlan"
...

Szvsz a rendes eljárás ilyen esetben a lehető legfrissebb rendszer fenntartása és valami automata kitiltási módszer (pl. fail2ban, iptables szabály, stb), nem a rendőrségre futkosás napi 30szor.

szerk: persze ha nagyon kitartó egy cím (kitiltási idő után rendszeresen visszatér) akkor már el lehet gondolkodni szándékosságon és komolyabb lépéseken.

Az adminok egész élete*2 idő elmenne értelmetlen zombivadászatra ha minden ilyenre úgy ugranának ahogy leírtad...
Egy ilyen zombitámadás mindennapos még egy otthoni ADSL-re dugott gépen is.

Automata ISP abuse levél íratása más tészta, az alap, legfeljebb a kukában landol náluk.

"Egyébként ha nem a macska alvóhelye a szerver, irány a rendőrség, mindenképpen."

Figyelj már válság van, a nálunk meg méginkább! Ne költsd már az adófizetők pénzét rendőrségi eljárásra, inkább építsen egy biztonságos szervert.

Legtöbb támadás nem jár adatvesztéssel, csupán csak az erőforrás kell nekik.

( PcZolee v | 2010. 09. 07., k – 16:40 )

Mi is így jártunk, sőt, mivel elég sor szerver van a kezem alatt, észre sem vettem (az előző kolléga telepítései, és még nem volt időm mindet átnézni :( ), csak amikor már késő volt, szóval, ide be is jöttek. Sok küzdelem árán, most talán sikerült tisztára varázsolni a gépet, de próbálkozások most is vannak. Frissítve ez sem volt rendszeresen, és a joomola, wp stb is nagyon jó felületet biztosítanak a támadáshoz, ha nem elég frissek. Ráadásul sok ügyfélnek van ezen külön domain-ja, ezért, mindenkinek frissítenie kéne az alkalmazásait, amibe sokan belesz@rnak.
A tanulság:
- legyen a gép mindig up-to-date
- ne csak a gép, de minden egyéb sw is legyen up-to-date, ami nem a csomagkezelőből jön.
- felesleges protok, processek letiltása.
- user jogosultságok beállítása, főleg aki nevében a webserver fut
- rendszeres rootkit, vírus ellenőrzés

ide jutottunk :(.

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

( pwm | 2010. 09. 07., k – 16:50 )

Gondolom masodpercenkent sok keres.
Sima mindennapos bot akcionak hangzik, semmit se tudsz kezdeni vele, de ha jo es friss a rendszered, akkor igy nem jon be. (fura, hogy most latsz ilyet eloszor)

( Zoltan1992 | 2010. 09. 07., k – 16:56 )

Nálam az itthoni laptopunkba, meg gépünkbe naponta rengetegszer jelez a Norton (Windows-os gép) ilyen betörési kísérleteket. Kiírja, hogy letiltott egy betörési kísérletet vagy ilyesmi, ott van az IP cím is, meg egyéb infók.
Viszont nekem nincs félnivalóm. Nincsenek dokumentumok, személyes, privát, meg egyéb ilyen dolgok az itthoni gépek egyikén sem. Nekem meg se fordult a fejemben, hogy a rendőrségre járkáljak ilyen dolgok miatt..

Viszont egy céges gépen, vagy különböző szervergépeken már sokkal zavaróbb dolog lehet az ilyesmi. Érdemesebb "ráfeküdni" úgymond a biztonsági beállításokra, meg az ilyen-olyan védelmet megerősíteni. Erős jelszavakat használni, minden szoftverből a legfrissebbet felrakni stb. Ezek azok amiket tudsz tenni. De rendőrségre még így se mennék.

A conficker, zeus es hasonlo virus+botnet kombo is altalaban azoknak a gepeit veszi at, akik nem tartanak otthon semmi fontosat. Azert szazezres/millios mennyisegben az ilyen gep is ertek, hidd el..

--
Always remember - correlation does not imply causation.
Since realising this, my life has been so much better.

( zoner | 2010. 09. 07., k – 17:05 )

Abban a logrészletben, amit fentebb bemásoltál, nincs semmi különös. Egy idő után mindenhova bepróbálkoznak naponta többször is. Joomla, phpmyadmin gyenge pont, eleve ne hagyd nyitva a biztonsági réseket és legyen napi mentés és fail2ban.

A rendőrségi feljelentésen hangosan felnevettem, szerintem itt vannak olyanok, akik naponta több száz feljelentést tudnának tenni ezek alapján :)

--
http://sandor.czettner.hu

( tselmeci | 2010. 09. 08., sze – 07:55 )

Nekem is feltűnt, hogy folyamatosan támadják a nyitott portjaimat:
- SMTP-n relayezni akarnak egy rakat spam levelet;
- HTTP szervert fel akarják törni (PHP-s és egyéb próbálkozások);
- SSH-n be akarnak jönni;
- FTP-t meg akarják nyitni;

Úgyhogy hamar megelégeltem és írtam egy C programot, ami figyeli a behatolási kísérleteket, és ha 3-szor megbukik pl. SSH authentikáción egy külső IP, akkor 1 órára letiltja. A módszer tökéletesen bevált. A programot tervezem még bőven továbbfejleszteni, de már így is szépen működik. (pl: a kialakult portlistából lehet csinálni olyat is, hogy azokat a portokat, amiket már mondjuk 15-ször letiltott a program, beteszem egy végleges iptables szabályba, és onnan soha többé semmilyen forgalom nem jut át majd a tűzfalon.)

(Tudom, vannak erre már megoldások, de:
-1) komoly fenntartásaim vannak a scriptprogramokkal szemben, elsősorban teljesítmény terén. Nálam a "rendes" programoknak van elsőbbsége (C, C++);
-2) 1)-es miatt nem fogom az ARM szerverem erőforrásait lassú scriptekre pazarolni;
-3) így pont azt tudja a program, amit tudnia kell;
-4) csináld magad, hobbinak is jó :)
)
--
http://www.open-st.eu

Ferm - iptables "felulet".

@def &SRCLIMIT($port, $name) = {
proto tcp dport $port {
mod state state NEW
mod hashlimit hashlimit-name "$name-limit"
hashlimit-mode srcip hashlimit 1/minute
hashlimit-burst 6 ACCEPT;
mod limit limit 1/minute limit-burst 1
LOG log-prefix "Rejected $name:";
DROP;
}
}

Aztan

&SRCLIMIT(22, "Ssh");

Ebbol lesz:
-A INPUT -p tcp -m hashlimit --hashlimit 1/min --hashlimit-burst 6 --hashlimit-mode srcip --hashlimit-name Ssh-limit -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m limit --limit 1/min --limit-burst 1 -m tcp --dport 22 -j LOG --log-prefix "Rejected Ssh:"

Alapvetoen ferm se kell, csak szebb, egyszerubb ha sok ilyet kell irkalni.

Hasonlót írtam és használok én is csak perlben.
Botok ellen jó, viszont az ésszel élő próbálkozó ellen már kevésbé.

Amúgy meg a legjobb védekezés egyike ha az olyan szolgáltatásokat mint SSH, FTP nem a normál porton üzemelteti az ember. Így a botoktól megkíméled magad és csak arra kell figyelni ami lényeges.

( lorinczi v | 2010. 09. 08., sze – 10:05 )

Egy hasonló esetben a szolgáltatójának írtam egy emailt, meg elküldtem a logfile-t. Válaszra ugyan nem méltattak de megszűnt a kíváncsiskodás.
---------------------------------------------------------------------------
Környezetvédelmi nyilatkozat: Ez a hozzászólás kizárólag reciklált elektronok felhasználásával íródott.

( laja | 2010. 09. 08., sze – 14:30 )

Hali!

Igazából nem értem a problémát; hacsak nem ez az első gép, amit netre kapcsoltál, és megnézted a logjait. Nekem még az otthoni, dinamikus IP-n (free dinamikus dns-sel megtámogatott) gépeimre is általában próbálkoznak, gyártják a logfájlokat. Annó egyszer én is utánajártam, whois, szolgáltató, levelezés, de semmi eredménye. Szerintem a rendszergazdák az ilyeneket lesz*rják, mert ez olyan mindennapos, mint a spam - védekezni kell ellene lehetőleg biztonságos rendszert kiépítve, és ennyi. De: én csak programozó vagyok, tehát nem egy nagyon tapasztalt szerver üzemeltető. Ha esetleg rosszul látnám, kérlek javítsatok ki :)

Üdv,
Laja

( bounty v | 2010. 09. 08., sze – 16:36 )

UPDATE

Azóta volt egyetlen újabb (sikertelen) belépési kísérlet, szintén magyar ip, ugyanabból a domain-ből. Semmi mással nem próbálkozott, csak egy admin loginnal belépni az outlook előtti hitelesítésbe.

Egyébként elküldtük a jelentést logfájllal a fent említett címekre (abuse + incidensbejelentés), köszönöm a tanácsokat.

( sz332 v | 2010. 09. 08., sze – 18:21 )

Ha van kedved, tegyél feljelentést a rendőrségen. Ekkor a rendőrség a logokat megnézni,
előkeresi az ip cím tulajdonosát, majd a vége az lesz, hogy bizonyíték hiányában
lezárják az ügyet. De legalább 1 zombi gépet kilőttél, és/vagy egy hacker palántát
besz@rattál :)