Potkali jste nekdo hack kakasniff?
Alexandr Malusek
malusek na hroch.ujf.cas.cz
Úterý Říjen 27 11:25:50 CET 1998
future na phuture.sk (Tibor Pittich) writes:
> pritelovi som pomahal dostat do povodneho stavu masinu a z logov sa dalo
> zistit toto:
> Oct 24 21:53:47 main tcpd[12211]: warning: can't get client address: Socket
> operation on non-socket
> ...
> zistil som naledovne:
> masina bola hacknuta cez dieru v named, nainstalovany bol rootkit (ls -la
> /dev/pty?), "patchnute" takmer vsetky "zaujimave" binarky...
> btw. backdoor skuste hladat v /etc/inetd.conf ;)
Nekteri lide si z toho zrejme udelali hobby. I ja jsem kolegovi
pomahal instalovat RH 5.1 pote, co byl jeho pocitac s RH 5.0 hacknuty
stejnym zpusobem.
Logy byly vymazany velmi diletantsky, prikaz "last" vypisoval nemysly,
takze bylo hned zrejme, ze doslo k napadeni. Pocitac nezajistoval zadne
dulezite sluzby, tak jsem na nem pres noc spustil obdobu
"/usr/sbin/tcpdump -i eth0 host hostname > output"
kde hostname bylo jmeno napadeneho pocitace. Prikaz jsem samozrejme
prejmenoval, aby to nebylo tak napadne, argumenty lze take "schovat"
pomoci volby -F. Pokud by si s tim clovek dal praci, mohl by log
posilat i na jiny pocitac a tim hackerovi znemoznit jeho smazani, i
kdyz by monitorovani odhalil. (Ostatne tcpdump by mohl bezet i na
jinem pocitaci a monitorovat provoz na LAN)
Rano byl pocitac fyzicky odpojen od site, velikost logu byla asi 10
MB. Analyzou logu se zjistilo, ze hacker mimo jine pristupoval k
pocitaci pres telnet z adres 195.223.14.111 (Italie) a
wdpcbalt.wdpc.com. Z napadeneho pocitace pak pristupoval na
irc.STEALTH.NET.irc a na mec02.MEC-CITY.MORIGUCHI.OSAKA.JP.12200. Tam
zrejme bezi nejake IRC servery - IRC nepouzivam, takze presne nevim,
oc jde.
Kontaktni osobu pro domenu do ktere patri 195.223.14.111 jsem nasel
pres WHOIS databazi. Incident jsem ji oznamil. Odpved mi zatim
neprisla.
Spravce tedy neni uplne bezbrany - pokud se hacker na napadeny pocitac
vrati, je sance na jeho odhaleni vysoka. 195.223.14.111 mohla byt jen
prestupni stanice - v tom pripade je nyni na rade jeji spravce.
Zajimalo by me, do jake miry je hackerstvi trestne. Zda se mi divne,
ze by tyto aktivity byly pravne nepostizitelne.
--
A. Malusek (malusek na ujf.cas.cz)
UJF AV CR
Další informace o konferenci Linux