hack RH7.2 pres ftpd
David Toman
toman na spszl.cz
Sobota Květen 4 16:57:45 CEST 2002
Zdravim,
dnes se mi stala celkem neprijemna vec. Nekdo ziskal na mojem PC - RH7.2
rootovska prava :(
Stalo se to v 14:07, prisel jsem na to asi za 20 minut.
ve /var/log/secure nebylo nic zajimaveho, ve /var/log/messages jen:
May 4 13:51:57 c433 ftpd[3421]: FTP session closed (ale nebyl tam zacatek)
May 4 13:52:30 c433 ftpd[3420]: FTP LOGIN FROM ppp1466.brno.worldonline.cz
[212.11.107.59], toman
May 4 13:53:35 c433 ftpd[3420]: FTP session closed (to jsem byl ja)
May 4 13:55:51 c433 ftpd[3488]: FTP session closed (opet stejne jako ten
prvni)
May 4 11:56:41 c433 ftpd[3491]: ANONYMOUS FTP LOGIN FROM 203.194.149.74
[203.194.149.74], mozilla@ (tohle je z toho utoku)
May 4 12:01:48 c433 ftpd[3515]: ANONYMOUS FTP LOGIN FROM 203.194.149.74
[203.194.149.74], mozilla@ (a tohle taky, u techto 2 zaznamu je divny cas -
potom OK)
neni tam nikde kolik bylo prenesenych dat, ani uzavreni spojeni
/var/log/xferlog
Sat May 4 10:30:27 2002 345 ceres.spszl.cz 544427 /home/toman/toman.gz b _ i
r
toman ftp 0 * c
Sat May 4 13:53:16 2002 41 ppp1466.brno.worldonline.cz 160398
/home/toman/fajly b _ i r toman ftp 0 * c
(to jsou pouze moje prenosy - nic vic)
nefungovalo top, ps, netstat atd... tyto soubory mely datum 26.9.1983
-rwxr-xr-x 1 root root 35300 zář 26 1983 netstat
-rwxr-xr-x 1 root root 33280 zář 26 1983 ps
-rwx------ 1 root root 7165 zář 26 1983 linsniffer
-rwx------ 1 root root 75 zář 26 1983 logclear
-rwxr-xr-x 1 root root 4060 zář 26 1983 sense
-rw------- 1 root root 541 zář 26 1983 ssh_host_key
-rwxr-xr-x 1 root root 19840 zář 26 1983 ifconfig
-rwxr-xr-x 1 root root 53588 zář 26 1983 top
nahral jsem si cistou binarku z jednoho cd (asi trinux) a zjistil jsem, ze mi
tam bezi (bezely) tyto podezrele procesy
sh (3515) - Stopped
Command Line: //bin/sh
Working Directory: /var/ftp/coi (deleted)
Executable File: /bin/bash
Files in Use (7):
(stdin) : socket:[101313]
(stdout) : socket:[101313]
(stderr) : /dev/null
4 : /var/run/ftp.pids-all
5 : /var/run/ftp.rips-all
6 : /var/log/xferlog
7 : /var/log/wtmp
Parent Process: init (1)
Group ID: 3515
Session ID: 3515
TTY: unknown (0)
TTY Group ID: -1
User Time: 0 Jiffies
System Time: 1 Jiffies
Priority Level: 11
Start Time: Sat May 4 14:01:42 2002
Total Time: 0 Days 1 Hours 19 Minutes 1 Seconds
Virtual Memory Size: 2191360 bytes
Start Code: 134512640
End Code: 135008883
sshdu (3620) - Stopped
Command Line: ./sshdu
Working Directory: /
Executable File: /dev/ida/.inet/sshdu
Files in Use (8):
(stdin) : /dev/null
(stdout) : /dev/null
(stderr) : /dev/null
3 : socket:[104742]
4 : /var/run/ftp.pids-all
5 : /var/run/ftp.rips-all
6 : /var/log/xferlog
7 : /var/log/wtmp
Parent Process: init (1)
Group ID: 3620
Session ID: 3620
TTY: unknown (0)
TTY Group ID: -1
User Time: 89 Jiffies
System Time: 5 Jiffies
Priority Level: 11
Start Time: Sat May 4 14:07:14 2002
Total Time: 0 Days 1 Hours 13 Minutes 29 Seconds
Virtual Memory Size: 1925120 bytes
Start Code: 134512640
End Code: 134702190
sshdu (3638) - Stopped
Command Line: ./sshdu
Working Directory: /
Executable File: /dev/ida/.inet/sshdu
Files in Use (10):
(stdin) : /dev/null
(stdout) : /dev/null
(stderr) : /dev/null
3 : /dev/ptmx
4 : /var/run/ftp.pids-all
5 : /var/run/ftp.rips-all
6 : /var/log/xferlog
7 : /var/log/wtmp
8 : socket:[105030]
9 : /dev/ptmx
Parent Process: sshdu (3620)
Group ID: 3620
Session ID: 3620
TTY: unknown (0)
TTY Group ID: -1
User Time: 5 Jiffies
System Time: 1 Jiffies
Priority Level: 11
Start Time: Sat May 4 14:07:47 2002
Total Time: 0 Days 1 Hours 12 Minutes 56 Seconds
Virtual Memory Size: 2158592 bytes
Start Code: 134512640
End Code: 134702190
bash (3733) - Stopped
Command Line: -bash
Working Directory: /root
Executable File: /bin/bash
Files in Use (4):
(stdin) : /dev/pts/8
(stdout) : /dev/pts/8
(stderr) : /dev/pts/8
255 : /dev/pts/8
Parent Process: sshdu (3638)
Group ID: 3733
Session ID: 3733
TTY: tty33800 (34824)
TTY Group ID: 3733
User Time: 6 Jiffies
System Time: 3 Jiffies
Priority Level: 11
Start Time: Sat May 4 14:12:10 2002
Total Time: 0 Days 1 Hours 8 Minutes 33 Seconds
Virtual Memory Size: 2502656 bytes
Start Code: 134512640
End Code: 135008883
/dev/ida/.inet/ :
drwxr-xr-x 2 root root 4096 kvě 4 15:22 .
drwxr-xr-x 3 root root 32768 kvě 4 14:07 ..
-rwx------ 1 root root 7165 zář 26 1983 linsniffer
-rwx------ 1 root root 75 zář 26 1983 logclear
-rw-r--r-- 1 root root 5 kvě 4 14:07 pid
-rw-r--r-- 1 root root 704 dub 2 01:11 s
-rwxr-xr-x 1 root root 4060 zář 26 1983 sense
-rwx------ 1 root root 207720 dub 2 01:28 sshdu
-rw------- 1 root root 541 zář 26 1983 ssh_host_key
-rw------- 1 root root 512 kvě 4 15:07 ssh_random_seed
-rw-r--r-- 1 root root 0 kvě 4 15:22 tcp.log
a v /etc/rc.d/rc.sysinit byl pripsany radek:
/usr/bin/hdparm -t1 -X53 -p
bohuzel nevim co bylo v tom programu coi, zkousel jsem ho obnovit ale
bezvysledne :( normalne bych si ho ani nevsiml protoze ho hned smazal... jen
jsem v pameti nasel, ze tam byl...
nasel jsem jeste par zajimavych skriptiku na cisteni logu (xferlog, messages)
- u mne ale nevycistil vsechno protoze mam trochu jiny zpusob logovani (
takze vymazal jen zacatky tech ftp session)
wtmp ale vycistil takze nevim jak dlouho tu byl, v .bash_history roota nic
nebylo (ale to jsem cekal)
pravdepodobne to byl nejaky skriptik (nasel jsem e-mail ktery mu poslal - se
subj New RooT) a kdyz to zjistil tak se sam pripojil
ten e-mail uz nemam protoze pri shutdownu se mi automaticky smazala rootova
posta :( domena prijemce byla @sex.de
To je asi tak vse. Kdyby nekdo chtel ty programky a skriptiky co mi tu nechal
tak napiste.
ps budu rad pokud mi nekdo napisete o jakou chybu se jedna, imho je to neco v
ftpd
Je to cisty RH7.2, bezi mi tu jen ftp a ssh (a po utoku jeste 2. ssh na 2132).
(je to normalni domaci PC s dial-upem takze jsem se o to az tak nestaral,
navic mi tu bezely jen 2 sluzby...ale jak je videt i to stacilo)
moje IPcko bylo 213.235.128.68, utocnikovo (pravdepodobne) 203.194.149.74
--
S pozdravem
David Toman
Další informace o konferenci Linux