Hackersky utok - lrklogin

Lukas Horalek lin na ester.economia.cz
Čtvrtek Listopad 5 03:21:33 CET 1998 

Dobry den vespolek,

neni to tak davno, co tu byl popisovan hackersky utok - subject: "(Zatim)
nekrvavy lov". Vypada to, ze vcera i muj Linuxovy server podlehl
hackerskemu utoku. Jelikoz je to ma prvni osobni zkusenost, a navic nejsem
velky odbornik na ryze systemove veci, dovolil bych si zde popsat mnou
zjistene skutecnosti a pozadat Vas o nazor ci zhodnoceni.

Stav: Pouzivam Linux RH 3.0.4 (Sarah 1.0), tedy pomerne dost starou a dost
nebezpecnou distribuci. Nepouziva kryptovani hesel, takze /etc/passwd je
vsem zdejsim uzivatelum pristupne. Stary BIND je samozrejmosti :)
(V co nejblizsi dobe bych rad upgradoval na RH 5.1 ci RH 5.2, se zapnutym
shadowingem, of course).

Nuze:

1) Co se zmenilo? Vypada to, ze snad jen '/bin/login'; narostl o dobrych
250kB. Veskera /dev/pty* vypadaji netknute, stejne tak passwd, syslogd,
inetd, ls, find...

2) Co se zastavilo? Ve /var/log prestaly narustat vsechny 'hlavni'
logy, tedy secure, maillog, messages (ba co vice, byly odmazany, a zbylo
zde jen par nevyznamnych radek). Stejne tak zrejme utrpel ujmu
'lastlog' - finger na vsechny uzivatele hlasi 'Never logged in' (prestoze
v poslednich par dnech prokazatelne prihlaseni byli).

3) Krome veskerych programu v /sbin, /bin, /usr/sbin...vypadaji netknute
tez startup scripty v /etc/rc.d...

4) Ovsem v /usr/local jsem objevil adresar '.s'. V nem pak jest umisten
balik lrklogin.tar, tento balik byl zjevne nasledne rozbalen a spusten -
vse ve vlastnictvi roota. Casy vsech zdejsich souboru ukazuji na treti
hodinu nocni - tedy zrejme dobu aktivity hackera.

4a) Obsahem adresare 'lrklogin' je adresar 'login', zde jsou pak k videni
soubory: MCONFIG, Makefile, err.h, login, login.1, login.c, login.o,
pathnames.h, rootkit.h.

4b) To nejdulezitejsi - v adresari '.s' jest umisten log 'tcp.log'. V nem
jsou odchytana jmena a hesla uzivatelu - nejen useru na zminenem Linuxu,
ale i obyvatelu vnitrnich serveru, kteri pres tento Linux (Internetovska
brana) lezli - zjevne pro postu via pop3.

5) Po procisteni, restartu a obnoveni puvodniho 'login' nejevi tcp.log jiz
zadne znamky pribyvani - zjevne byl ziven falesnym 'loginem'...

Inu, abych to neprotahoval, na zaver par zvidavych otazek (coz neznamena,
ze mi nemuzete otlouct o hlavu i neco, na co jsem se opomnel zeptat :) ).

1) Co bych mel jeste zkontrolovat, z ceho bych mohl jeste na co usoudit?

2) Da se urcit, jake diry onen lrklogin vyuzil?

3) Je hodne snadne, na takto starem a nezabezpecenem systemu, dostat se na
stroj, byt tam hacker nema zadny account? Tato otazka zni mozna trochu
podivne; hned vysvetlim - dle nekolika okolnosti (nocni doba, zaznamy v
predchozich lozich etc.) mam za to, ze tento hacker ma na mem Linuxu zcela
oficielni account - jedna se (pravdepodobne) o meho kolegu, ktery me takto
chtel pobavit, zastrasit nebo varovat...tomu by nasvedcovalo i to, ze se
hacker o nic jineho, nez o odchyt hesel nepokousel a zadnou destruktivni
cinnost zrejme nevyvijel. (Dotycneho nestastnika kazdopadne zitra hrubou
silou donutim k priznani o vine ci nevine ;-) ).

Inu, dosti otazek, uz mi to dnes prilis logicky nemysli, po nemalo
hodinach unavne prace jsem vubec docela rad, ze jsem si pruniku alespon
vsiml. Zitra (ehm, tedy dnes pres den) si rad prectu Vase rady,
pripominky
s "cistou hlavou". Ovsem to, ze neshadowingova hesla muze mit na svem
stroji asi jen vul, to mi ani nepiste - toho jsem si jiz vedom ;-)

					Diky & s pozdravem
						Lukas Horalek,
						HN, Economia, a.s.

Další informace o konferenci Linux