Μου χακεψαν τον σερβερ

Alexandros Kosiaris alex at noc.ntua.gr
Tue May 17 10:55:06 EEST 2005 

Βασιλειου Σπυρος wrote:
> Χαιρετω την ταπεινη λιστα
> 
> Το ακολουθο μυνημα ειναι μοιρολοι!
> Εχω ενα συστηματακι με Slack 9.1, με μια ADSL 384 & στατικη
> συνδρομη forthnet με το PPPoE να τρεχει στο linuxaki.
> 
> Τρεχω ολα τα καλουδια απο primary DNS για το domain moy εως
> Apache, Sendmail, SSH, Webmin και αλλα πολλα
> 
> Σημερα το πρωι, παω να δω την σελιδουλα μου (να δω και τα χιτακια μου)
> και....ωωωωωωωωωωω.... συγκοπη! Η αρχικη σελιδα εχει αλλαξει και δειχνει
> ενα "παπαδοπαιδι" σκυμενο να παιρνει .... (ξερετε τι)!
> 
> Πλακωνω μπαινω στον σερβερακο μου κοιταζω απο εδω, κοιταζω απο εκει..
> ουφ μου εφυγε ενα βαρος μην εχασα δεδομενα. Ευτυχως ολα στην θεση τους!
> 
> Στο ζητημα μας τωρα. Αν και εχω προσεξει παρα πολυ το στησιμο του server
> δεν μπορω να βρω απο που μπηκε ο "ποντικος". Το nmap δινει τα εξης:
> 
> root at core:~# nmap -v -sS -O 192.168.1.1
> 
> Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2005-05-16 17:46
> EEST
> Host core.χχχχχχχ.gr (192.168.1.1) appears to be up ... good.
> Initiating SYN Stealth Scan against core.wirenet.gr (192.168.1.1) at 17:46
> Adding open port 25/tcp
> Adding open port 143/tcp
> Adding open port 587/tcp
> Adding open port 515/tcp
> Adding open port 113/tcp
> Adding open port 110/tcp
> Adding open port 10000/tcp
> Adding open port 80/tcp
> Adding open port 22/tcp
> Adding open port 139/tcp
> Adding open port 53/tcp
> Adding open port 901/tcp
> Adding open port 1400/tcp
> The SYN Stealth Scan took 3 seconds to scan 1657 ports.
> For OSScan assuming that port 22 is open and port 1 is closed and neither
> are firewalled
> Interesting ports on core.wirenet.gr (192.168.1.1):
> (The 1644 ports scanned but not shown below are in state: closed)
> PORT      STATE SERVICE
> 22/tcp    open  ssh
> 25/tcp    open  smtp
> 53/tcp    open  domain
> 80/tcp    open  http
> 110/tcp   open  pop-3
> 113/tcp   open  auth
> 139/tcp   open  netbios-ssn
> 143/tcp   open  imap
> 515/tcp   open  printer
> 587/tcp   open  submission
> 901/tcp   open  samba-swat
> 1400/tcp  open  cadkey-tablet
> 10000/tcp open  snet-sensor-mgmt
> Device type: general purpose
> Running: Linux 2.4.X|2.5.X
> OS details: Linux Kernel 2.4.0 - 2.5.20
> Uptime 6.198 days (since Tue May 10 13:02:21 2005)
> TCP Sequence Prediction: Class=random positive increments
>                          Difficulty=1851821 (Good luck!)
> IPID Sequence Generation: All zeros
> 
> Nmap run completed -- 1 IP address (1 host up) scanned in 7.608 seconds
> root at core:~#
> 
> Οι πορτες 113, 515, 587, 1400 δεν ξερω ουτε τι ειναι, αλλα ουτε και απο ποιο
> προγραμμα μενουν ανοιχτες. Για ολες τις αλλες γνωριζω.
> Υπαρχει κανενα εργαλειο να μου πεις κανεις τι ειναι ολα αυτα?
> Υπαρχει επισης καποιος τροπος να δω τι εχω ανοιχτο και να το φροντισω?
> Τι αλλο πρεπει να βαλω στο ρημαδι το firewall για να αποτρεψω τετοια
> δυσαρεστα
> γεγονοτα? Μηπως τελικα η αντιμετωπιση τα κοβω ολα και αφηνω μονο αυτα που
> θελω ειναι
> η καλυτερη?
> 
> Το σερβερακο τον θωρακισα με ενα Cisco SOHO/96 αλλα πολυ θα ηθελα να μαθω σε
> βαθος καποια πραγματακια.
> 
> Ευχαριστω
> Βασιλειου Σπυρος
> 
> 

Απο πού να ξεκινήσω;

1) χμμ κατα πρώτον ωραίο το slack 9.1 αλλά πίσω δύο εκδόσεις. Τα patches 
τα περασες ποτές ?

2) τα inetd.conf,/etc/rc.d/rc.* τα configurarises ? βλέπω ανοιχτά 
άχρηστα πράγματα. Βλεπε identd(auth)(113 port), printer(515 port), 
samba-swat(901 port) ( με αυτό ισχύει το ανοίγεις,κάνεις δουλειά σου,το 
κλείνεις). Την 10000 και την 1400 ποιος διάολος στην ανοίγει ? χρήσιμα 
είναι για αυτό το netstat όπως σου είπαν οι υπόλοιποι αν και προσωπικώς 
χρησιμοποιώ το lsof ( συνήθεια γαρ).

3) Εάν είσαι σε θέση να κάνεις forensic analysis μην κάνεις φορμάτ. 
Είναι η γρηγορότερη και χειρότερη λύση. Η κατάληξη είναι συχνά ένα 
μηχανάκι ξαναστημένο ακριβώς όπως το παλιό και με τα ίδια bugs.
H πρόταση μου είναι βρές απο πού μπήκε και πόσο σε βάθος πήγε η προσβασή 
του. Εάν έχει αποκτήσει root κλάφτα χαράλαμπε. Θα πρέπει να σκιστείς για 
να σιγουρευτείς ότι τον έχεις πετάξει μόνιμα απέξω.
Πιθανό πάλι είναι εάν τρέχεις τίποτα από τα πολύ γνωστά phpblablabla 
packages για δικτυακά καφενεία και τα ρέστα να έχει μπεί από εκεί και να 
μην έχει πάρει elevated privileges. (Συμβουλή: τα αρχεία του web server 
θα πρέπει να είναι πάντα owned από διαφορετικό χρήστη από αυτόν που 
τρέχει ο web-server έτσι ώστε σε compromised apache να μην μπορούν άμεσα
να σου αλλάξουν σελίδες).

Τώρα στο θέμα των logs. Εάν όντως έχει πάρει root και στα έχει πειράξει 
  θα αποτύχεις να βρείς entries για το πως μπήκε. Ακόμη και να μην πήρε 
όμως root είναι σε θέση να αλλάξει κάποια. Δεν μπορούν να θεωρηθούν
trusted εφόσον το μηχάνημα δεν τα πέρναγε σε κάποιο safe μέρος.


-- 
Alexandros Kosiaris 	Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3391 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20050517/2950fb2d/attachment.bin>

More information about the Linux-greek-users mailing list