(zatim) nekrvavy lov
Karel Volejnik
Karel.Volejnik na be-net.cz
Čtvrtek Říjen 8 20:58:48 CEST 1998
Dobry den,
prave se mi povedlo odchytit hackera na Linuxu zakaznika.
Jednalo se o RH 4.2 (upgradovany pravidelne z updates), vcelku slusne
zajisteny, slouzici jako vstupni brana do clusteru www serveru.
Na serveru nebyl spousten zadny system na kontrolu integrity (pomoci
hash funkci), takze napadeni bylo zjisteno az analyzou logu.
System byl pote preinstalovan.
Az potud vsechno standardni (tj. zakaznik odmita respektovat doporuceni
ohledne bezpecnosti ... az se ucho utrhne).
Hacker postupoval rovnez standardne.
Nevim zatim jak (jeste jsem system detailne neprohledl), ale po
pruniku hacker ziskal prava supervisora.
Zajimave je, jaka si hacker nechal zadni vratka (velka jako
vrata od stodoly).
Do /usr/sbin nainstaloval soubor in.inetd (asi aby to v `ps ax` vypadalo
na prvni pohled normalne). V tomto souboru (stripovany ELF) byl ale
upraveny 'BSD rexecd ver 2.8, Apr. 16, 1996', ktery s volbou '-s'
naskocil na TCP port 510, kde poslouchal a ocekaval prikazy sveho
pana (Mr. Hacker). Vsechny prikazy (predavane po TCP, ne UDP jak je
u r* zvykem) provadel pod root uid.
Vyse zmineny daemon se startoval pri bootu z /etc/rc.d/rc.sysinit
(pridano na konec souboru).
Zaroven hacker 'upravil' (mimo jine) soubory /bin/ls a /bin/ps.
Nejhezci je /bin/ls: funguje normalne, ale nevypisuje soubor in.inetd.
V prvni chvili jsem myslel, ze hacker vyuzil chyby v ext2 filesystemu
(viz exploity), takze urcite soubory proste nejsou videt (nemaji
i-node).
Ale bylo to jednodussi - proste filtruje vsechny nazvy souboru a nektere
vynechava. Pekne na tom je, ze v binarce upraveneho 'ls' se string
'in.inetd' nikde nevyskytuje - je nejak zakodovany (mozna je jenom
binarne negovany, dal jsem to nezkoumal).
Podobne je na tom /bin/ps - nevypisuje proces 'in.inetd'.
Skoda ze hacker neupravil take napr. find, netstat a podobne.
Po nove instalaci jsem instaloval 'past' ve forme falsovanych vrat.
Po nekolika dnech do ni hacker spadl. Ted uz jen zbyva pockat, az
se prohledaji logy v nekolika sitich, kudy pri utoku prochazel a je to.
Vsichni se na nej tesime (hackeri jsou dobri peceni).
Jsem zvedav, jak bude honicka pokracovat.
Další informace o konferenci Linux