Hackersky utok - lrklogin

[Petr Sretr]

Lukas Horalek wrote:

> Dobry den vespolek,
>

Zdravim

>
> neni to tak davno, co tu byl popisovan hackersky utok - subject: "(Zatim)
> nekrvavy lov". Vypada to, ze vcera i muj Linuxovy server podlehl
> hackerskemu utoku. Jelikoz je to ma prvni osobni zkusenost, a navic nejsem
> velky odbornik na ryze systemove veci, dovolil bych si zde popsat mnou
> zjistene skutecnosti a pozadat Vas o nazor ci zhodnoceni.
>
> Stav: Pouzivam Linux RH 3.0.4 (Sarah 1.0), tedy pomerne dost starou a dost
> nebezpecnou distribuci. Nepouziva kryptovani hesel, takze /etc/passwd je
> vsem zdejsim uzivatelum pristupne. Stary BIND je samozrejmosti :)
> (V co nejblizsi dobe bych rad upgradoval na RH 5.1 ci RH 5.2, se zapnutym
> shadowingem, of course).
>
> Nuze:
>
> 1) Co se zmenilo? Vypada to, ze snad jen '/bin/login'; narostl o dobrych
> 250kB. Veskera /dev/pty* vypadaji netknute, stejne tak passwd, syslogd,
> inetd, ls, find...
>
> 2) Co se zastavilo? Ve /var/log prestaly narustat vsechny 'hlavni'
> logy, tedy secure, maillog, messages (ba co vice, byly odmazany, a zbylo
> zde jen par nevyznamnych radek). Stejne tak zrejme utrpel ujmu
> 'lastlog' - finger na vsechny uzivatele hlasi 'Never logged in' (prestoze
> v poslednich par dnech prokazatelne prihlaseni byli).
>
> 3) Krome veskerych programu v /sbin, /bin, /usr/sbin...vypadaji netknute
> tez startup scripty v /etc/rc.d...
>
> 4) Ovsem v /usr/local jsem objevil adresar '.s'. V nem pak jest umisten
> balik lrklogin.tar, tento balik byl zjevne nasledne rozbalen a spusten -
> vse ve vlastnictvi roota. Casy vsech zdejsich souboru ukazuji na treti
> hodinu nocni - tedy zrejme dobu aktivity hackera.
>
> 4a) Obsahem adresare 'lrklogin' je adresar 'login', zde jsou pak k videni
> soubory: MCONFIG, Makefile, err.h, login, login.1, login.c, login.o,
> pathnames.h, rootkit.h.
>
> 4b) To nejdulezitejsi - v adresari '.s' jest umisten log 'tcp.log'. V nem
> jsou odchytana jmena a hesla uzivatelu - nejen useru na zminenem Linuxu,
> ale i obyvatelu vnitrnich serveru, kteri pres tento Linux (Internetovska
> brana) lezli - zjevne pro postu via pop3.
>
> 5) Po procisteni, restartu a obnoveni puvodniho 'login' nejevi tcp.log jiz
> zadne znamky pribyvani - zjevne byl ziven falesnym 'loginem'...
>
> Inu, abych to neprotahoval, na zaver par zvidavych otazek (coz neznamena,
> ze mi nemuzete otlouct o hlavu i neco, na co jsem se opomnel zeptat :) ).
>
> 1) Co bych mel jeste zkontrolovat, z ceho bych mohl jeste na co usoudit?
>

Pouzivate imapd, jaka je to verze ? Podivejte se do soboru /etc/inetd.conf.
Dalsi dira je v
bindu (DNS) . Pokud je bind prelozen s podporou iquery tak je take deravy.

Oba chybne programy umoznuji ziskat vzdalene pristup do pocitace s pravy
root-a bez znalosti jakehokoliv hesla ( zkousel jsem exploity ktere to dokazi
).

Obecne je v Linuxu mozne k ziskani takovychto prav mozno vyuzit jakehokoliv
demona zajistujiciho vzdaleny pristup k pocitaci ktery ma v sobe nejakou
chybu v preteceni buferu. Chyba muze byt i v mountd, sambe ....


>
> 2) Da se urcit, jake diry onen lrklogin vyuzil?
>

lrklogin slouzi jen jako zadni vratka tzn. pri logovani na vas pocitac pres
telnet a
rlogin se pouzije upraveny login v nemz se po zadani urciteho jmena a hesla
dostane
hacker na pocitac s pravy root-a

>
> 3) Je hodne snadne, na takto starem a nezabezpecenem systemu, dostat se na
> stroj, byt tam hacker nema zadny account?

Ano je viz. vyse.

> Tato otazka zni mozna trochu
> podivne; hned vysvetlim - dle nekolika okolnosti (nocni doba, zaznamy v
> predchozich lozich etc.) mam za to, ze tento hacker ma na mem Linuxu zcela
> oficielni account - jedna se (pravdepodobne) o meho kolegu,

Pokud dany uzivatel ma account na pocitaci tak existuji i chyby v programech
( myslim ze nejaka chyba byla i v shellu ) ktere umoznuji obycejnemu uzivateli

ziskat prava na root-a.

I kdyz ja bych spise vsadil na nekoho z venku. Pokud by to byl lokalni
uzivatel
tak staci udelat jednoduchy programek pro ziskani prava na root-a bez zadani
hesla
a neni potreba menit login.

> ktery me takto
> chtel pobavit, zastrasit nebo varovat...tomu by nasvedcovalo i to, ze se
> hacker o nic jineho, nez o odchyt hesel nepokousel a zadnou destruktivni
> cinnost zrejme nevyvijel. (Dotycneho nestastnika kazdopadne zitra hrubou
> silou donutim k priznani o vine ci nevine ;-) ).
>

Doporucuji Vam co nejdrive preinstalovat Linux a aplikovat vsechny update.
Nainstalovat nejaky software kontrolujici integritu filesystemu treba COPS,
Tripwire ....
Pomoci programu pro kontrolu bezpecnostnich der napr. SATAN zkontrolovat
jestli
je system v poradku.
Pokud je pocitac neomezene pristupny z Internetu ( na vasem HW routeru
nejsou zadne pravidla povolujici jen pristup na urcite porty ) pak bych tato
pravidla aplikoval na tomto pocitaci (minimalne bych na ethernetu zapojenem
do Internetu zakazal vsechny pakety na vstupu se zdrojovou adresou 192.168.*.*
-
vasi intranetovou sit, umoznil pristup jen na sluzby, ktere maji byt z venku
pristupne  ).


P.S. : Pokud jsem se dopustil nejakych chyb ve svem vykladu tak se omlouvam.