|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexander Dilevsky 2:5020/400 05 Mar 2002 23:42:20
To : All
Subject : Меня немножечко хакнули :(
--------------------------------------------------------------------------------
Hарод, на на одной из моих [к счастью, бывших :) ] машин явные следы взлома,
но я не могу понять, как именно они проломились :(
Конфигурация: слакварь примерно 3.6, поставленная много лет назад. С тех пор
апгрейдились очень отдельные пакеты, в частности, ssh, qpopper и bind.
Ядро 2.0.36.
Слушает на следующих портах:
23 (обрабатывается inetd, запускает что-то типа echo 'сюда низзя', и
закрывает соединение - исключительно ради логгирования попыток туда зайти).
137, 139 (примерно то же самое)
21 - wu-2.4.2-academ[BETA-15](1). Да, я знаю, что он кривой, но в этой
версии явных дырок вроде не было.
110 - qpopper 2.5
444 - мой собственный SNPP-сервер. За себя ручаюсь ;)
80,8100-8103 - апач
22 - sshd - обычно 2.0.11, но в момент взлома по техническим причинам был
запущен 1.2.26. Hа всякий пожарный случай переставил на 1.2.31.
53 - bind 8.2.4. После 8.2.2 серьезных ошибок вроде не было, хотя авторы и
рекомендуют проапгрейдиться до 8.3.1. Что я теперь и сделал после долгих
мучений. Потому что в этом гребанном ядре in_addr6 и sockaddr_in6 уже есть,
а inaddr6_any - еще нет, и от такого сочетания bind при сборке встает
раком..
Симптомы:
1) лишний файл
-rw-r--r-- 1 root root 28 Mar 5 02:16 /etc/rc.d/rc.sysinit
со следующим содержимым:
/usr/bin/gaura -t1 -X53 -p
Откуда эта хреновина должна была запускаться, я не понял. Ссылок на этот
файл в остальных стартапных скриптах нет.
И похоже, после перезагрузки машины действительно не запустилась - лог
сниффленных паролей обрывается примерно в момент перезагрузки
2) второй лишний файл:
-r-x------ 1 root root 77 Mar 3 06:04 /usr/bin/gaura
со следующим содержимым:
#!/bin/sh
cd /dev/ida/.../.rk/fis
./tava -f ./s
./holber >> ./tcp.log &
cd /
3) третий лишний файл, immutable:
-rwxr-xr-x 1 root root 145 Feb 28 22:48 /bin/salut
#!/bin/sh
clear
echo " Iesirea de pe server se face prin curatzarea logurilor ..."
echo ""
echo ""
/dev/ida/.../.rk/fis/clear
sync
kill -9 $$
Hесколько лишних директорий в /dev
В /dev/ida/.../.rk/ - типичный руткит, сниффер паролей (по крайней мере,
ftp/pop3) и тому подобные прелести.
Заменены ps, pstree, top, netstat, чтоб не было видно хакерской
деятельности..
Hа них сделан chattr +i, а чтоб обратно труднее поменять было, сам chattr
стерли :)
Измененный ps, похоже, не показывал sshd вообще, что привело меня в глубокое
недоумение и сподвигло на более детальное изучение состояния системных
программ.
Hовых юзеров в системе не появилось. Логи и wtmp вроде тоже не были
подтерты, хотя ручаться не могу.
Отрывки из messages примерно того времени, когда образовался
/etc/rc.sysinit:
Mar 5 02:07:47 choocha sshd1[15670]: log: Connection from 212.99.131.194
port 1832
Mar 5 02:07:47 choocha sshd1[15671]: log: Connection from 212.99.131.194
port 2089
Mar 5 02:07:47 choocha sshd1[15670]: log: reverse mapping checking
gethostbyname for 212-99-131-194.trmd.net failed - POSSIBLE BREA
KIN ATTEMPT!
Mar 5 02:07:47 choocha sshd1[15671]: log: reverse mapping checking
gethostbyname for 212-99-131-194.trmd.net failed - POSSIBLE BREA
KIN ATTEMPT!
Mar 5 02:07:50 choocha sshd1[15678]: log: Connection from 212.99.131.194
port 2100
Mar 5 02:07:50 choocha sshd1[15678]: log: reverse mapping checking
gethostbyname for 212-99-131-194.trmd.net failed - POSSIBLE BREA
KIN ATTEMPT!
Mar 5 02:07:51 choocha sshd1[15678]: fatal: Local: Your ssh version is too
old and is no longer supported. Please install a newer
version.
Mar 5 02:07:51 choocha sshd1[15679]: log: Connection from 212.99.131.194
port 2101
Mar 5 02:07:51 choocha sshd1[15679]: log: reverse mapping checking
gethostbyname for 212-99-131-194.trmd.net failed - POSSIBLE BREA
KIN ATTEMPT!
дальше еще довольно много аналогичных записей
Mar 5 02:09:17 choocha sshd1[15773]: fatal: Local: crc32 compensation
attack: network attack detected
Mar 5 02:09:17 choocha sshd1[15774]: log: Connection from 212.99.131.194
port 2123
Mar 5 02:09:17 choocha sshd1[15774]: log: reverse mapping checking
gethostbyname for 212-99-131-194.trmd.net failed - POSSIBLE BREA
KIN ATTEMPT!
Mar 5 02:11:29 choocha sshd1[15915]: log: Connection from 212.99.131.194
port 2147
Mar 5 02:11:29 choocha sshd1[15915]: log: reverse mapping checking
gethostbyname for 212-99-131-194.trmd.net failed - POSSIBLE BREA
KIN ATTEMPT!
Mar 5 02:13:35 choocha sshd1[6939]: log: Generating new 768 bit RSA key.
Mar 5 02:13:36 choocha sshd1[6939]: log: RSA key generation complete.
Mar 5 02:15:00 choocha in.comsat[16085]: connect from 127.0.0.1
Mar 5 02:16:30 choocha kernel: eth0: Setting promiscuous mode.
Mar 5 02:16:30 choocha kernel: eth0: Setting promiscuous mode.
Mar 5 02:17:47 choocha sshd1[15670]: fatal: Timeout before authentication.
Mar 5 02:17:47 choocha sshd1[15671]: fatal: Timeout before authentication.
Mar 5 02:17:55 choocha in.comsat[16354]: connect from 127.0.0.1
Mar 5 02:17:56 choocha sshd1[15680]: fatal: Timeout before authentication.
Mar 5 02:17:56 choocha sshd1[15681]: fatal: Timeout before authentication.
Отрывки из syslog:
Mar 5 02:07:51 choocha sshd1[15678]: fatal: Local: Your ssh version is too
old and is no longer supported. Please install a newer
version.
Mar 5 02:07:51 choocha sshd1[15678]: fatal: Local: Your ssh version is too
old and is no longer supported. Please install a newer
version.
Mar 5 02:08:27 choocha sshd1[15710]: fatal: Local: Corrupted check bytes on
input.
Mar 5 02:08:27 choocha sshd1[15710]: fatal: Local: Corrupted check bytes on
input.
и еще десятка полтора таких же записей
Потом еще десяток таких:
Mar 5 02:09:17 choocha sshd1[15773]: fatal: Local: crc32 compensation
attack: network attack detected
Hу и, собственно, все :(
Какие у кого мысли есть? Что это за атака, про которую писал sshd?
--
Alexander Dilevsky
dil@cea.ru
--- ifmail v.2.15dev5
* Origin: Yandex Technologies Ltd. (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
