prunik - co s tim?

Petr Novotny Petr.Novotny na antek.cz
Úterý Srpen 1 16:57:06 CEST 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 1 Aug 00, at 15:28, Jirka 'Eagle' Novák wrote:

>   Zdravim,
> dnes 1.8. kolem 15:00 objevil kolega nahodou neznameho uzivatele momo.
> Kdyz jsme se podivali do jeho adresare, objevili jsme spoustu
> "zajimavych veci" (login, nejaky port scan, apod.). V logu samozrejme
> nic neni, ale po prostud ovani zdrojaku jsme zjistili, ze jiz
> pravdepodobne ma heslo na roota a dva o byc. uzivatele (byly zapsany v
> /dev/ttypz). Zadne skody jsme zatim neobjevil i (ale vime o tom jen
> asi 20 minut).

Zkuste si prohledat mista jako rootshell.com a zjistit, zda utocnik
nepouzil nejaky predpripraveny kit; studiem toho kitu pak muzete
(zduraznuji - jen muzete) zjistit:
a. kudy se k vam dostal
b. co u vas vse zmenil (jake ma backdoory).

> Jelikoz je to poprve, co se nam neco podobneho stalo, chtel bych se
> zeptat, jak mame postupovat. Pomuze nam spoluprace s providerem pri
> hledani, odkud s e sem dostal?

Provider vam nepomuze. Pokud byste vedeli, z jake IP adresy k
vam nahral svuj rootkit, muzete se spojit s majitelem te IP adresy a
pokracovat v patrani.

> Co mame vsechno zakazat?

Zalezi na tom: Pokud zjistite presne, co za rootkit bylo pouzito, a
risknete si vsadit na to, ze utocnik byl nejaky script-kiddie nebo
vubec nejaky automatizovany scan, pak staci dezinfikovat vse, co
ten rootkit posaha. Pokud jste stredne a vice paranoidni nebo
pokud mate duvod predpokladat, ze utocnik vedel, co dela,
zachrante data a zacnete cistou instalaci.

> Meli sme ssh s pristupem odevsad, wu-ftpd, squid, apache, postgresql
> 7.0.2 s pritupem omezenym jen na nasi LAN, pop3, sendmail. Vsechno
> jsou verze z RH6. 1CZ. Kernel 2.2.14.

A co takhle BIND? Taky z RH6.1? V tom pripade tam vlezli skrz
nej.

(Nebyl to treba utok podobny tomu na apache.org ci kam to bylo?
Pres ftp umistili CGI skript a pres httpd si ho spustili - tim dostali
lokalniho uzivatele - a pak pres nejakou chybu se symlinky (nebo
MySQL?) jednomu z rootu zmenili jeho ~/.profile nebo ~/.tcsh nebo
co to bylo a z nej si vytvorili suid-root shell. Proste pomerne
sofistikovany utok krok-za-krokem s vyuzitim spousty drobnych
chybicek.)

> Preventivne jsem zakazal prihlasovani pres SSH z venku, ale nejsem o
> ucinnos ti tohoto kroku presvedcen. Jeste shodim wu-ftpd, vic asi
> nemuzu.

To nestaci. Zarucene ne. Jak vite, ze na nejakem portu
neposloucha nejaky backdoor?

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOYbXM1MwP8g7qbw/EQLijACg3v6gWnv1MxbA1i303gBBA+fzK54AoKIB
iTS/mIjX2Vi0AcDzcleObie7
=OU4J
-----END PGP SIGNATURE-----

Další informace o konferenci Linux