(zatim) nekrvavy lov

Karel Volejnik Karel.Volejnik na be-net.cz
Čtvrtek Říjen 8 20:58:48 CEST 1998 

Dobry den, 

prave se mi povedlo odchytit hackera na Linuxu zakaznika.
Jednalo se o RH 4.2 (upgradovany pravidelne z updates), vcelku slusne
zajisteny, slouzici jako vstupni brana do clusteru www serveru.

Na serveru nebyl spousten zadny system na kontrolu integrity (pomoci
hash funkci), takze napadeni bylo zjisteno az analyzou logu.

System byl pote preinstalovan.
Az potud vsechno standardni (tj. zakaznik odmita respektovat doporuceni
ohledne bezpecnosti ... az se ucho utrhne).

Hacker postupoval rovnez standardne.
Nevim zatim jak (jeste jsem system detailne neprohledl), ale po 
pruniku hacker ziskal prava supervisora.

Zajimave je, jaka si hacker nechal zadni vratka (velka jako 
vrata od stodoly).
Do /usr/sbin nainstaloval soubor in.inetd (asi aby to v `ps ax` vypadalo
na prvni pohled normalne). V tomto souboru (stripovany ELF) byl ale 
upraveny 'BSD rexecd ver 2.8, Apr. 16, 1996', ktery s volbou '-s'
naskocil na TCP port 510, kde poslouchal a ocekaval prikazy sveho 
pana (Mr. Hacker). Vsechny prikazy (predavane po TCP, ne UDP jak je
u r* zvykem) provadel pod root uid.
Vyse zmineny daemon se startoval pri bootu z /etc/rc.d/rc.sysinit
(pridano na konec souboru).

Zaroven hacker 'upravil' (mimo jine) soubory /bin/ls a /bin/ps.
Nejhezci je /bin/ls: funguje normalne, ale nevypisuje soubor in.inetd.
V prvni chvili jsem myslel, ze hacker vyuzil chyby v ext2 filesystemu
(viz exploity), takze urcite soubory proste nejsou videt (nemaji
i-node). 
Ale bylo to jednodussi - proste filtruje vsechny nazvy souboru a nektere
vynechava. Pekne na tom je, ze v binarce upraveneho 'ls' se string
'in.inetd' nikde nevyskytuje - je nejak zakodovany (mozna je jenom 
binarne negovany, dal jsem to nezkoumal).
Podobne je na tom /bin/ps - nevypisuje proces 'in.inetd'.
Skoda ze hacker neupravil take napr. find, netstat a podobne.

Po nove instalaci jsem instaloval 'past' ve forme falsovanych vrat.
Po nekolika dnech do ni hacker spadl. Ted uz jen zbyva pockat, az
se prohledaji logy v nekolika sitich, kudy pri utoku prochazel a je to.
Vsichni se na nej tesime (hackeri jsou dobri peceni).

Jsem zvedav, jak bude honicka pokracovat.

Další informace o konferenci Linux