[ tweeester @ 15.12.2002. 00:12 ] @
Zdravo ljudi,

Tek od skora sam primoran da se bavim administracijom Linux-a (sto mi pricinjava veliko zadovoljstvo iako sam zelen na tom polju) ali:

Ovoga puta imam stvarno ozbiljan problem. Naime, pre par nedelja sam provalio da je neko upao ne jedan od servera (promenjena verzija ssh i slicno), reinstalirao sam ssh i jos neke stvari ali mi je Tripwire javljao da se neki fajlovi ipak povremeno menjaju pa sam bio pomalo sumnjicav.

Masina je RH6.2 i tera gomilu aplikativnih servera od kojih svaki slusa na nekoliko portova tako da "netstat -a -p" daje nocunu moru ali mi je pre par dana slucajno zapalo za oko da neki proces slusa na portu 31333 i da se zove "psybnc" ili nesto slicno. Na internetu sam naso da je to neki shit za IRC-ovanje - sto je bilo sasvim sumnjivo - pa sam pokusao da saznam nesto vise o tom procesu ali njega nije bilo u spisku procesa ("top" ili "ps axu ..." i ostalo), ipak sam ga posle dosta trazenja nasao u /proc/<NEKI_PID>, gde se videlo da se executable nalazi u /usr/man/man3/.spawn/... i tako dalje. Dakle, tu smo, odmah je bilo jasno... mada u /usr/man/man3 nikako nisam mogao da vidim taj ".spawn" direktorijum, "cd .spawn" je bez problema usao u njega - naravno, tu sam zatekao gomilu megabajta crack-erskog softvera, sve passworde na masini (i za jos gomilu tudjih servera) i tako to ... Takodje sam kasnije u /usr/sbin nasao fajl pod imenom ".spawn" (pokretao se iz rc.system) koji nikako nisam mogao da vidim ali je "rm .spanw" pitao da li da ga obrise - i obrisao ga.

E sad pitanje: Kako je moguce da proces bude nevidljiv ( top ili ps), kako je moguce da direktorijum ili fajl bude nevidljiv (ls -al i slicno ga ne lista) i kako da proverim da na masini nema jos neki tako skriven direktorijum ili fajl - neki alat ili nesto...

Unapred hvala

p.s. Bio sam malo brzoplet, pa sam prvo postovao ovu poruku a tek onda procitao "Linux security" post (tzeljko ili tako neko) na osnovu koga sam zakljucio da je na doticnom sistemu verovatno stavljen neki Rootkit koji je zamenio "ps", "ls" i verovatno jos neke komande (tako da ne prikazuju nista sto se zove .spawn ili tako nekako) no svejedno, i dalje mi treba dobar savet.
[ stinger @ 15.12.2002. 11:12 ] @
ocigledno je da ti je neko maznuo masinu, e sad sta je konkretno radio to ces malo teze da utvrdis, a sto se skrevenih fajlova/procesa to se lako resava, postoji varijanta da je instaliran rootkit ili da su patchovani neki fajlovi pa ponovo kompajlirani kod tebe, ili je jednostavno preneo bin fajlove sa neke masine na tvoju ... skini masinu sa net-a, uzmi drugu linux masinu i mount-uj disk na njoj,... e onda kreni da istrazujes.
[ caboom @ 15.12.2002. 11:34 ] @
Citat:
tweeester:
Zdravo ljudi,

Tek od skora sam primoran da se bavim administracijom Linux-a (sto mi pricinjava veliko zadovoljstvo iako sam zelen na tom polju) ali:

Ovoga puta imam stvarno ozbiljan problem. Naime, pre par nedelja sam provalio da je neko upao ne jedan od servera (promenjena verzija ssh i slicno), reinstalirao sam ssh i jos neke stvari ali mi je Tripwire javljao da se neki fajlovi ipak povremeno menjaju pa sam bio pomalo sumnjicav.

Masina je RH6.2 i tera gomilu aplikativnih servera od kojih svaki slusa na nekoliko portova tako da "netstat -a -p" daje nocunu moru ali mi je pre par dana slucajno zapalo za oko da neki proces slusa na portu 31333 i da se zove "psybnc" ili nesto slicno. Na internetu sam naso da je to neki shit za IRC-ovanje - sto je bilo sasvim sumnjivo - pa sam pokusao da saznam nesto vise o tom procesu ali njega nije bilo u spisku procesa ("top" ili "ps axu ..." i ostalo), ipak sam ga posle dosta trazenja nasao u /proc/<NEKI_PID>, gde se videlo da se executable nalazi u /usr/man/man3/.spawn/... i tako dalje. Dakle, tu smo, odmah je bilo jasno... mada u /usr/man/man3 nikako nisam mogao da vidim taj ".spawn" direktorijum, "cd .spawn" je bez problema usao u njega - naravno, tu sam zatekao gomilu megabajta crack-erskog softvera, sve passworde na masini (i za jos gomilu tudjih servera) i tako to ... Takodje sam kasnije u /usr/sbin nasao fajl pod imenom ".spawn" (pokretao se iz rc.system) koji nikako nisam mogao da vidim ali je "rm .spanw" pitao da li da ga obrise - i obrisao ga.

E sad pitanje: Kako je moguce da proces bude nevidljiv ( top ili ps), kako je moguce da direktorijum ili fajl bude nevidljiv (ls -al i slicno ga ne lista) i kako da proverim da na masini nema jos neki tako skriven direktorijum ili fajl - neki alat ili nesto...


cekaju te radosni sati reinstalacije i ciscenja, nemoj opet da se prevaris i instaliras RH6.2 i ostavis sve po default-u, imao si srece pa je to radio amater, ili samo neko ko' je sve postavio veoma brzopleto, inace ne bi ni primetio sta ti se desava sa masinom. moj savet ti je da uzmes najsveziju instalaciju RH-a, prevuces najsvezije source-ove (posto default instalacija obicno veoma brzo postaje zastarela), rekompajliras kriticne servise i zamenis stare. pocni da pratis security liste, posto te to moze spasiti od ovakvih situacija.
[ tweeester @ 15.12.2002. 13:38 ] @
ok 10x
[ B o j a n @ 15.12.2002. 13:53 ] @
Helou,

stvarno si imao srece sto si tako bezbolno prosao sa tim upadom. Stvar je mogla ispasti mnogo gora.

Jedna stvar koja u dosta slucajeva pali je da se kriticni servisi kao sto su sshd, httpd, ftpd patch-uju, pa makar im se samo promenio version fingerprint, koji se inace otkriva trivijalno sa jednostavnim telnet host port magijama. Naravno ovo nije i najbolje resenje, ali ce odbiti u najmanju ruku "dot-slash-friendly" upade.


offtopic: nisi bas morao da brises /usr/man/man3/.spawn/ direktorijum, to si mogao da sacuvas za sebe, nostalgije radi l;)
[ tweeester @ 15.12.2002. 20:33 ] @
/usr/man/man3/.spawn sam tar-gzip-ovao i downloadovao kod sebe u ponedeljak cu natenane da ga proucim...
[ tzeljko @ 28.01.2003. 03:00 ] @
da, ovo je ocigledno da je samo zamenio bin fajlove tj ona prva(losija vrsta rootkita iz mog posta). Mogao si da prodjes veoma lose(tipa: da tvoja masina sluzi za ddos ili tako nesto slicno...) mada ja ti nebih posavetovao ono sto si uradio, jer si mogao cak i da uhvatis attackera na delu... pa da vidis njegov IP i ne bi me iznenadilo kad bi se taj intruder povezivao na tvoj host sa njegovog ip-a.... Mogao bi recimo da vidis sa koje IP adrese se neko konektuje na psybnc... i tako te stvari, pa onda si mogao i da saradjujes malko sa ISP-om koji koristi taj user i tako nesto slicno.

U svakom slucaju dobro si prosao, jer si na vreme otkrio rootkit. Ako imas jos masina pod linuxom u mrezi pregledaj dobro i njih jer je verovatnoca je su i one "takeoverovane" veoma velika.

ps. znam da sam malko zakasnio ali ne znam kako mi je post promakao.. do sad ga nisam ni primecivao...

Pozdrav