Mpikan sto server mou

Alexandros Kosiaris alex at noc.ntua.gr
Mon Feb 19 21:10:50 EET 2007


Antonios Christofides wrote:
> Γεια σε όλους,
> 
> όπως διαβάζετε στην επικεφαλίδα, μπήκαν στο σέρβερ μου, που είναι
> Debian sarge.  Και έγιναν ρουτ.  Δεν είναι γνωστό αυτή τη στιγμή ούτε
> το πώς μπήκαν, ούτε το πώς ριζώθηκαν, γιατί λείπουν πληροφορίες απ' τα
> λογκς.  Είμαι στο χωριό και δεν μπορώ να κάνω πολλά πράγματα από
> μακριά.  Έχω λογκχόστ (που όμως δεν επιτρέπει εισερχόμενες συνδέσεις)
> και ελπίζω αύριο που θα πάω εκεί να έχω ατόφια λογκς.  Θα ξεκινήσω την
> επιχείρηση στις 8 το πρωί και όσο πάει.
> 
> Τι ξέρω μέχρι στιγμής: Ο εισβολέας αντικατέστησε τα /usr/bin/ssh και
> /usr/sbin/sshd.  Αυτό φαίνεται και τρέχοντας debsums ssh, και από το
> ctime των δύο αυτών αρχείων, που λέει Παρασκευή 18:37.  Επίσης, το
> auth.log.0 σταματά την Παρασκευή 18:38, και υπάρχει κενό ανάμεσα σ'
> εκείνη την ώρα και μέχρι την άλλη μέρα το πρωί, που ξεκινάει το
> auth.log.
Been there, done that. Ακριβώς αυτή η συμπεριφορά(την οποία έχω ακούσει και από 
πολλούς άλλους). Απλά από απορία. Ρίξε ένα strings στα δύο αρχεία. Οταν είχα πέσει 
σε αντίστοιχη περίπτωση είχα καταλάβει ότι ο τύπος ήταν έλληνας από κάτι string 
του στύλ p at p@ria (κάποιο password-αντικλείδι πρέπει να ήταν). θα ήταν καλό να 
ξέρουμε εάν υπάρχει κάποιο κ%$#@παίδι που έχει αυτό το pattern.
> 
> (Εικάζω ότι ο εισβολέας ήταν ελαφρώς άσχετος και άνοιξε το auth.log σε
> έναν editor και έσβησε από εκεί τα ίχνη του, χωρίς όμως να σταματήσει
> προηγουμένως το syslogd.  Έτσι, ο editor έγραψε σε καινούργιο αρχείο
> auth.log, αλλά ο syslogd συνέχισε να γράφει στο παλιό inode ας πούμε,
> το οποίο διαγράφηκε όταν την άλλη μέρα έγιναν rotate τα logs και
> restart ο syslog.  Υποθέτω ότι ο σωστός εισβολέας θα σταματούσε το
> syslog, θα έκανε edit τα logs, και μετά θα ξεκινούσε το δικό του
> syslog με μια παράμετρο ώστε να μην γράψει "restarting" κλπ.)
> 
> Ελέγχοντας διάφορα πραγματάκια με το debsums δεν βρήκα τίποτε άλλο
> πειραγμένο, ούτε το syslog ούτε το netstat ούτε το ps.  Βέβαια δεν
> μπορώ να ξέρω σίγουρα μέχρι να τα ελέγξω από κάτι καθαρό.  Πάντως αν ο
> εισβολέας ήταν τόσο καλός ώστε να ξεγελάσει το debsums, κάνει εντύπωση
> το ότι το debsums εντόπισε τα ssh και sshd καθώς και το χονδροειδές
> πείραγμα του auth.log.
Δεν ρίχνεις και ένα φρεσκοεγκαταστημένο chkrootkit ? Απλά μην έχεις και τίποτις άλλο.
> 
> Οι απορίες μου:
> 
> 1) Αν κάποιος θέλει να βάλει πατσαρισμένο kernel (π.χ. ώστε να
> ξεγελάνε τα ctime), δεν θα χρειαστεί να κάνει reboot το μηχάνημα;
> Συμβαίνει αυτό; Υπάρχουν rootkits που κάνουν reboot και μετά δεν
> υπάρχει ίχνος για το reboot στο uptime/logs/κλπ.;  Αν όχι, πώς
> επιτυγχάνεται το πατσάρισμα του kernel;  Αν πρόκειται για modules, που
> πρέπει να ξεφορτωθούν και να ξαναφορτωθούν, μπορεί να χρειαστεί να
> unmount όλα τα filesystems· γίνεται αυτό;
Υπάρχει δυστυχώς το /dev/kmem. Ψάξε λίγο το suckit. Κάνει πλήρες patcharisma της 
μνήμης του πυρήνα on the fly χωρίς κανένα module. Τώρα όπως καταλαβαίνεις το να 
κοροιδέψεις το uptime και να πειράξεις τα logs δεν είναι τίποτα φοβερό. Γιαυτό και 
υπάρχουν οι loghost.
> 
> 2) Σκοπεύω να ακολουθήσω το
> http://www.cert.org/tech_tips/win-UNIX-system_compromise.html.  Θα
> πρέπει στην αρχή να πάρω ένα image, και σκέφτομαι να το πάρω με dump.
> Το dump, όμως, αποθηκεύει τα ctime; Αν ναι, πώς μπορώ να τα δω; Γιατί
> το restore σίγουρα δεν μπορεί να τα restore, αφού δουλεύει κανονικά με
> system calls (και όχι μέσα από το raw device, όπως το dump).  Αν όχι,
> υπάρχει άλλος τρόπος να πάρω image πλην της dd;
Περιτό να σου πώ ότι κατ'εμε η καλύτερη λύση είναι να βγάλεις offline για 1-2 
μέρες όλο το σύστημα(δεν ξέρω εάν μπορείς να έχεις τέτοιο downtime-φαντάζομαι πως 
όχι). Και να κάνεις τα πάντα εκεί. Ισως να μπορεί να σε βοηθήσει κάποιο ειδικό 
backup software. Βέβαια αυτό προφανώς θα σου χάσει τα ctimes. To norton ghost ίσως 
να μπορεί επίσης να σε βοηθήσει.
> 
> 3) Δεν υπάρχει περίπτωση να πάρω image όλου του δίσκου, γιατί είναι
> 300 GB.  Ούτε έχω τόσο δίσκο, ούτε έχω τόσο χρόνο.  Θα πάρω λοιπόν
> ορισμένα μόνο filesystems.  Έχω LVM.  Αν κάνω dd if=/dev/mapper/...
> of=κάπου, αυτό δουλεύει σαν να έκανα dd if=/dev/hda5 σε ένα non-lvm;
> Μπορώ μετά να κάνω mount το image με το loopback;
Ναι. Το έχω κάνει,παίζει.

> 
> 4) Όταν μπουτάρω το μηχάνημα από CD, πώς μπορώ να του πω «έλεγξε το
> /mnt/root με καθαρά checksums που πρέπει να κατεβάσεις από το δίχτυ;»
> Πιστεύω πως με ένα συνδυασμό των apt-get και debsums --root πρέπει να
> γίνεται, αλλά αν μπορείτε να μου το δώσετε έτοιμο θα με διευκολύνετε,
> γιατί δεν θα έχω ακριβώς τον άπειρο χρόνο για να ψάξω να βρω τις
> παραμέτρους.
> 
> 5) Δυστυχώς ο 2.6.8 δεν μπορεί να δει το δίσκο (sata) στο συγκεκριμένο
> motherboard, κι έτσι δεν μπορώ να μπουτάρω από Sarge CD.  Θα
> χρησιμοποιήσω μάλλον ένα Ubuntu breezy ή edgy.  Λέτε να έχω
> προβλήματα;  Αν ναι τι θα προτείνατε για booting;
Δεν νομίζω. Απλά γιατί breezy και οχι dapper. Το breezy είναι ήδη παλιό.
> 
> 6) Υπάρχει κανένα κανάλι IRC που να είστε αύριο ή που να μπορώ να
> ζητάω βοήθεια όταν έχω απορίες;  Ειδικά όταν φτάσω στο σημείο να βρω
> πώς ο εισβολέας έγινε root, θα τα βρω σκούρα γιατί δεν έχω εμπειρία σε
> τέτοιο ψάξιμο.
Εάν το βρεις πες μας και εμάς να ξέρουμε....

Αντε καλό βόλι.


-- 
Alexandros Kosiaris     Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5152 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20070219/e680e793/attachment.bin>


More information about the Linux-greek-users mailing list