[BSD] ismeretlen problema - hack

Adam Szilveszter adam at hif.hu
2003. Júl. 28., H, 09:03:57 CEST 

Potoczky Andras wrote:

> Hello
> 
> 
>> MK> 2. valaki feltorte a gepet, es felrakott egy linuxos rootkitet. 
>> (Aztan rajott,
>> MK> hogy ez megsem linux?) En ezt tartanam valoszinunek.
>>
> Hozzam kerult  a gep es valoban ugy nez ki, hogy feltortek.
> 
> Bar a logokbol ugy tunik mindent kitorolt az illeto, de azert van nehany 
> dolog.
> Tenyleg linux gepkent kezelte. Pl szeretett volna a legkozelebbi restart 
> utan futtatni nehany dolgot, de nem talalta a /etc-ben levo rc.d 
> konyvtarakat, amiket letrehozott. Persze ettol meg ugyanugy nem 
> futhatott le a dolog.

Na majd az 5.x-ben boldogabb lesz, mert ott mar van rc.d :-)

> A cel egy /usr/sbin/".." konyvtar nehany file-ja.
> Ugy tunik, hogy DoS cuccokat rakott fel es van egy script is, ami talan 
> ezeknek a cuccok sokszori futtatasara keszult.
> Ezeken kivul van bitchx, ssh hackelo? cucc. Mirkforce, synscan, egy 
> ujabb nmap, logwifer, meg egy teljes trojan atomgyar es nehany egyeb 
> dolog, pl FreeBSD rootkit.
> Mondjuk, ha rajott, hogy ez FreeBSD, akkor nem ertem miert szarozott az 
> inittab-bal meg az /etc/rc.d konyvtarakkal.

Szerintem alapvetoen mindent rapakolt ami jonak tunt aztan probalgatott. 
Azt teveszthette meg, hogy a linuxos cuccokbol is volt ami mukodott 
(linux emu)

> Ezeken kivul nyitott a 2224-es porton egy ujabb ssh szervert, amihez 
> sajat config tarsult egy masik helyen a szokasostol elteroen.
> 
> Egyebkent a gepen mindossze net megosztas (ipnat) es egy samba futott es 
> a 135-139-ig terjedo portok zarva voltak az internet felol. (sok mas is..)
> Szerintetek hogyan lehetne rajonni ezek fenyeben, hogy honnan es hogyan 
> torhetett be?

Hat ezt csak egy helyszini zsemlevel (zsemle a helyszinen :-) lehetne 
megmondani. Ugyanis nem eleg a gepet felturni, ismerni kell(ene) azt is, 
hogy kik voltak a userek a belso oldalon, milyen rendszereken stb. Sok 
mmod van, de spekulalni nem hasznos ilyen helyzetben. A sambara imho 
helyesen gyanakszol.

> Feltetelezem, amiket a gepen talalok, azok csak olyan cuccok, amikkel 
> tovabb tamadhatott egy masik gepet. A logok mind uresek. Gondolom 
> takaritott, miutan vegzett.
> Szoval hogyan lehetne kideriteni, hogy hogyan torhetett be es talan 
> ennek fenyeben ez ellen lehetne vedekezni.

Nos, alapvetoen az adathordozot kellene analizalni (mivel a gepet azota 
mar kikapcsolatak, ezert a memoria turkalasa mar nem vezet sehova). Erre 
a celra specialis eszkozok vannak, pl The Coroner's Toolkit. De emellett 
fontosak lehetnek mas adatok is (ha vannak:-) pl volt esetleg egy IDS 
vagy barmi mas ami segithet... meg persze a binarisokat is amik a gepen 
vannak. Ilyenkor bevett szokas, hogy az egesz lemeztartalmat at dd-zed 
CD-kre (vagy DVD-re ha van irhato) es aztan azt vizsgalgatod, mert ugy a 
hozzaferes read-only, es ezert nem rongalja ossze a bizonyitekokat. A dd 
pedig azert kell, mert az ugymond "ures" hely is erdekes lehet egy 
analizis soran. Es igen, tenyleg erdekes lenne tudni :-)

Meg persze fontos lenne, hogy a kovetkezo menetben mar egy tudatosan 
megerositett geped legyen, hisz pl egy ilyen rendszeren a linux emu 
teljesen folosleges luxusnak tunik...

> Meg fogom tartani egy darabig az itt hagyott cuccokat vizsgalatra, hatha 
> meg valami erdekes kiderulne belole.

Azert alkalom adtan szivesen szaglasznek egy kicsit a tema korul, hatha 
valami feltunik... az ilyesmibol tenyleg lehet sokat tanulni. Meg persze 
a szakmai kivancsisag is dolgozik rendesen a hatterben... vegulis 
munkahelyen is vannak ilyen temaink (informatikai biztonsag) eppen most.

Udv:
Sz.

További információk a(z) BSD levelezőlistáról