Mpikan sto server mou

[Antonios Christofides]

Γεια σε όλους,

όπως διαβάζετε στην επικεφαλίδα, μπήκαν στο σέρβερ μου, που είναι
Debian sarge.  Και έγιναν ρουτ.  Δεν είναι γνωστό αυτή τη στιγμή ούτε
το πώς μπήκαν, ούτε το πώς ριζώθηκαν, γιατί λείπουν πληροφορίες απ' τα
λογκς.  Είμαι στο χωριό και δεν μπορώ να κάνω πολλά πράγματα από
μακριά.  Έχω λογκχόστ (που όμως δεν επιτρέπει εισερχόμενες συνδέσεις)
και ελπίζω αύριο που θα πάω εκεί να έχω ατόφια λογκς.  Θα ξεκινήσω την
επιχείρηση στις 8 το πρωί και όσο πάει.

Τι ξέρω μέχρι στιγμής: Ο εισβολέας αντικατέστησε τα /usr/bin/ssh και
/usr/sbin/sshd.  Αυτό φαίνεται και τρέχοντας debsums ssh, και από το
ctime των δύο αυτών αρχείων, που λέει Παρασκευή 18:37.  Επίσης, το
auth.log.0 σταματά την Παρασκευή 18:38, και υπάρχει κενό ανάμεσα σ'
εκείνη την ώρα και μέχρι την άλλη μέρα το πρωί, που ξεκινάει το
auth.log.

(Εικάζω ότι ο εισβολέας ήταν ελαφρώς άσχετος και άνοιξε το auth.log σε
έναν editor και έσβησε από εκεί τα ίχνη του, χωρίς όμως να σταματήσει
προηγουμένως το syslogd.  Έτσι, ο editor έγραψε σε καινούργιο αρχείο
auth.log, αλλά ο syslogd συνέχισε να γράφει στο παλιό inode ας πούμε,
το οποίο διαγράφηκε όταν την άλλη μέρα έγιναν rotate τα logs και
restart ο syslog.  Υποθέτω ότι ο σωστός εισβολέας θα σταματούσε το
syslog, θα έκανε edit τα logs, και μετά θα ξεκινούσε το δικό του
syslog με μια παράμετρο ώστε να μην γράψει "restarting" κλπ.)

Ελέγχοντας διάφορα πραγματάκια με το debsums δεν βρήκα τίποτε άλλο
πειραγμένο, ούτε το syslog ούτε το netstat ούτε το ps.  Βέβαια δεν
μπορώ να ξέρω σίγουρα μέχρι να τα ελέγξω από κάτι καθαρό.  Πάντως αν ο
εισβολέας ήταν τόσο καλός ώστε να ξεγελάσει το debsums, κάνει εντύπωση
το ότι το debsums εντόπισε τα ssh και sshd καθώς και το χονδροειδές
πείραγμα του auth.log.

Οι απορίες μου:

1) Αν κάποιος θέλει να βάλει πατσαρισμένο kernel (π.χ. ώστε να
ξεγελάνε τα ctime), δεν θα χρειαστεί να κάνει reboot το μηχάνημα;
Συμβαίνει αυτό; Υπάρχουν rootkits που κάνουν reboot και μετά δεν
υπάρχει ίχνος για το reboot στο uptime/logs/κλπ.;  Αν όχι, πώς
επιτυγχάνεται το πατσάρισμα του kernel;  Αν πρόκειται για modules, που
πρέπει να ξεφορτωθούν και να ξαναφορτωθούν, μπορεί να χρειαστεί να
unmount όλα τα filesystems· γίνεται αυτό;

2) Σκοπεύω να ακολουθήσω το
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html.  Θα
πρέπει στην αρχή να πάρω ένα image, και σκέφτομαι να το πάρω με dump.
Το dump, όμως, αποθηκεύει τα ctime; Αν ναι, πώς μπορώ να τα δω; Γιατί
το restore σίγουρα δεν μπορεί να τα restore, αφού δουλεύει κανονικά με
system calls (και όχι μέσα από το raw device, όπως το dump).  Αν όχι,
υπάρχει άλλος τρόπος να πάρω image πλην της dd;

3) Δεν υπάρχει περίπτωση να πάρω image όλου του δίσκου, γιατί είναι
300 GB.  Ούτε έχω τόσο δίσκο, ούτε έχω τόσο χρόνο.  Θα πάρω λοιπόν
ορισμένα μόνο filesystems.  Έχω LVM.  Αν κάνω dd if=/dev/mapper/...
of=κάπου, αυτό δουλεύει σαν να έκανα dd if=/dev/hda5 σε ένα non-lvm;
Μπορώ μετά να κάνω mount το image με το loopback;

4) Όταν μπουτάρω το μηχάνημα από CD, πώς μπορώ να του πω «έλεγξε το
/mnt/root με καθαρά checksums που πρέπει να κατεβάσεις από το δίχτυ;»
Πιστεύω πως με ένα συνδυασμό των apt-get και debsums --root πρέπει να
γίνεται, αλλά αν μπορείτε να μου το δώσετε έτοιμο θα με διευκολύνετε,
γιατί δεν θα έχω ακριβώς τον άπειρο χρόνο για να ψάξω να βρω τις
παραμέτρους.

5) Δυστυχώς ο 2.6.8 δεν μπορεί να δει το δίσκο (sata) στο συγκεκριμένο
motherboard, κι έτσι δεν μπορώ να μπουτάρω από Sarge CD.  Θα
χρησιμοποιήσω μάλλον ένα Ubuntu breezy ή edgy.  Λέτε να έχω
προβλήματα;  Αν ναι τι θα προτείνατε για booting;

6) Υπάρχει κανένα κανάλι IRC που να είστε αύριο ή που να μπορώ να
ζητάω βοήθεια όταν έχω απορίες;  Ειδικά όταν φτάσω στο σημείο να βρω
πώς ο εισβολέας έγινε root, θα τα βρω σκούρα γιατί δεν έχω εμπειρία σε
τέτοιο ψάξιμο.

7) Υπάρχει κάτι άλλο που νομίζετε ότι πρέπει να προσέξω και δεν το
γράφει το κείμενο του CERT;

Παρακαλώ αν μπορείτε συγκρατηθείτε και μην κάνετε το thread παιδική
χαρά, γιατί χρειάζομαι την πληροφορία και όχι το θόρυβο.  Όταν
τελειώσω το recovery αρχίζουμε πάλι το σπαμάρισμα!

Ευχαριστώ!