Hackersky utok - lrklogin

[Karel Volejnik]

Dobry den,

To, ze hacker nic neznicil, je normalni chovani. Cilem je vetsinou ziskani
hesel k co nejvice stanicim a jejich nasledne pouzivani (napr. k dalsim
utokum, s propujcenim identity - IP - Vasi stanice).
Myslim, ze Vas kolega to nejspis nebude.

Pomoci 'buffer oveflow' chyb (ale i jinych)  v daemonech, bezicich pod rootem
(nebo root suid) je mozne velmi snadno ziskat prava roota. Pouziti jineho
uctu neni nutne.

Pokud muzete, zkopirujte si z nakazeneho stroje konfiguracni soubory a
nasledne ho odpojte od site
(pro jistotu az po zazalohovani konfigurace - zly hacker muze upravenym
daemonem hlidat konektivitu a pri odpojeni napr. 'cd /;rm -rf' :-)))
Odpojite tim celou sit, coz je asi ve Vasem pripade nutne (minimalne po dobu
komplexni zmeny
hesel na inteni siti).

Nainstalujte si novy gateway/firewall - 5.1 nebo 5.2 (nezapomente na updates,
jinak to je skoro
zbytecne).
Novy system instalujte na izolovane siti (pri instalaci je velka sance na
nakazeni jeste
nenakonfigurovaneho systemu). Pouzijte pouze ty nejnutnejsi rpm baliky (zadny
vyvojovy system,
X, ...) - cim mene, tim lepe. Zakazte (na vsech urovnich - ipfwadm/ipchains,
tcp-wrappers, inetd.conf) spojeni z internetu (telnet, ...). Ponechte jenom
to nejnutnejsi.
Zakazte (pri kompilaci kernelu - je nutno editovat src) 'promiskuitni' rezim
sitoveho adapteru.
Upravte syslog, aby zapisoval logy i na nektery pocitac vnitrni site
(optimalne po
jednosmerne paralelni nebo seriove lince na pocitac bez site). Muzete pouzit
nektery novejsi
syslog, ktery kryptograficky zajistuje integritu logu.

Na hotovy gateway nainstalujte 'tripwire' -  (zkompilujte z
tripwire-1.2-1.src.rpm) a vygenerujte si
databazi sum (MD5, PGP, CRC) a atiributu vsech dulezitych souboru.
Databazi sum vypalte na CD (spolu s kompletnim tripwire vcetne konfiguracnich
souboru).
Tripwire musite mit nastaveny (na tom CD), aby se spoustel z toho CD
kompletne, tj. konfiguraci,
binary i databazi).

Zazalohujte (system i tripvire databazi).

(nasledne preinstalujte vsechny pocitace ve Vasi firme - jak muzete zjistit,
ze tam neni neco upraveno ? Nijak. Po instalaci pocitacu si vygenerujte sumy
vsech souboru vsech masin - analogicky s linuxem na gateway).

Pripojte, spustte.

Nasledne by jste mel prozkoumat nakazeny system.
Zjistete, (pomoci strace), do jakych souboru upraveny login saha. Pomoci 'rpm
-Va' zkontrolujte
MD5 podpisy vsech binarek. Pravdepodobne budou upraveny i utility ke
zjistovani stavu systemu (ps, who, netstat, ls, find, ...).
Nema asi prilisnou ceny zjistovat, jak se k Vam hacker dostal - kdyz Vam
smazal logy, tak stejne
nemate sanci. Mohl to byt bind, sendmail, ... (pravdepodobne nejaky sitovy
daemon, bezici pod rootem, ktery ma 'buffer overflow' chybu - to jsou na Vasi
instalaci skoro vsechny daemony).

Zkoumani systemu by melo vest k uprave filosofie Vaseho pripojeni (napr.
zakaz pouziti telnetu
zvenci, zakaz pouzivani POP zvenci, uprava ftp serveru, ...).

Sledujte pravidelne BUGTRACK, redhat-security-alerts, CERT advisory, ... a
patchujte, patchujte, patchujte.