Mpikan sto server mou

Tue Feb 20 10:26:33 EET 2007

Antonios Christofides wrote:
> (Εικάζω ότι ο εισβολέας ήταν ελαφρώς άσχετος και άνοιξε το auth.log σε
> έναν editor και έσβησε από εκεί τα ίχνη του, χωρίς όμως να σταματήσει
> προηγουμένως το syslogd.  Έτσι, ο editor έγραψε σε καινούργιο αρχείο
> auth.log, αλλά ο syslogd συνέχισε να γράφει στο παλιό inode ας πούμε,
> το οποίο διαγράφηκε όταν την άλλη μέρα έγιναν rotate τα logs και
> restart ο syslog.  Υποθέτω ότι ο σωστός εισβολέας θα σταματούσε το
> syslog, θα έκανε edit τα logs, και μετά θα ξεκινούσε το δικό του
> syslog με μια παράμετρο ώστε να μην γράψει "restarting" κλπ.)
>   

Egw eikazw oti oute kan mphke ston kopo. Apla me to pou phre root, sou 
fytepse ena rootkit poy kanei ola ta parapanw mono tou. Endexomenws na 
mhn ekane oute kan ayto me to xeri. Ta targeted attacks den einai pia 
toso ths modas. 

Apaks kai parei kapoios root, mporei na kryftei sxedon entelws. Yparxoun 
kai kernel modules poy kanoyn akribws ayth th douleia, kai an exeis 
arketh dia8esh yparxei kai to /dev/kmem.

Den exei sxedon apolytws kanena nohma na prospa8hseis na dior8wseis to 
systhma. Ayta poy exoun shmasia einai :

1) Na breis apo pou mphke (rikse mia matia sto 
http://www.debian.org/security/ kai des ti 8a mporouse na sou 
tairiazei). Molis ypopsiasteis kati, moirasou to mazi mas, mas endiaferei.

2) Ena basiko postmortem analysis de 8a eblapte. Ayto shmainei :

*DUMP TO DEVICE KAPOY*. Me thn dd. Oxi tar, oxi dump, oxi skoupidia kai 
plastika se 8allases kai aktes. An exeis problhma xwrou, sympiese to kai 
kapsto se ena DVD, to shmantiko sto postmortem analysis einai na yparxei 
kapoy ena plhres image tou
systhmatos. Apo th stigmh poy 8a to swseis, kapws 8a breis tropo na to 
diabaseis estw ki an den exeis poy8ena alla 300GB eley8era

Boot your favourite live boot CD. Katebase kai trekse orismena rootkit 
checkers - ypaxoun toulaxiston 5-6. Akoma kai ena aplo find /mnt | grep 
" " kai grep /\\. exei pi8anothtes na brei kati endiaferon. Mhn 
empisteyteis to debsums, endexomenws ta checksums na exoun peiraxtei. 
Stoixhmatizw me bebaiothta 98% oti 8a breis ena rootkit kai ena IRC bot.

Telika to reinstall tou systhmatos DEN prokeitai na to apofygeis, ektos 
an 8es na zhseis me thn anasfaleia pi8anws egkymonousas diakorey8eisas 
efhbou korasidos. Kane ena backup ta dedomena sou kai full reinstall 
eks'arxhs.

-- 
Christos Ricudis				ricudis at itc.auth.gr
Systems Administrator				+30-2310-998656
IT Support Center
Aristotle University of Thessaloniki, GREECE