Word ik gehackt?

[ Voor 12% gewijzigd door robbertb op 05-06-2003 00:52 ]

Verwijderd schreef op 05 juni 2003 @ 01:06:
Nou, euhm er is wel iets vreemds aan de hand als je deze meldingen blijft krijgen hoor.

Daar staat toch echt dat die host vanaf poort 80 verkeer stuurt naar 192.168.0.252 op poort 1188

[ Voor 8% gewijzigd door robbertb op 09-06-2003 12:16 ]

Verwijderd schreef op 09 June 2003 @ 12:38:
om te kijken of je binaries gehacked zijn, kan je chkrootkit gebruiken. dowload het van http://www.chkrootkit.org als dat progamma zegt dat er niks aan de hand is, kan je bijna zeker van zijn dat netstat e.d. de normale uitput geven. kijk ook eens naar draaiende programma's met "ps waux" misschien dat daar iets vreemds tussen staat.

Verwijderd schreef op 09 June 2003 @ 15:12:
[...]

Ten eerste weet jij niet wat mijn plan B was. Ten tweede is paniek nooit goed, ook niet bij een gehackte machine.

Veel ogenschijnlijke hacks zijn namelijk geen hacks, maar vaak configuratie fouten of te haastig gemaakte conclusies. Ja, hier heb ik ook ervaring mee.

Neemt niet weg dat als de machine overlast bezorgt voor andere internet gebruikers of als dos zombie wordt gebruikt die machine wel snel van het internet af moet worden gesloten. Vervolgens direct de machine opnieuw installeren is wel het snelste, maar wordt je daar wel wijzer van? Waarschijnlijk maak je dezelfde fout als de vorige keer en begint het verhaal van voor af aan. Ik zou zeggen haal de machine voorlopig van het internet af en analyseer en leer ervan.

Verder heb ik behalve een vage claim (zonder ip) van de provider nog geen enkel bewijs gezien dat die machine gehacked is. Ok, de TS klaagt over een trage verbinding, maar dan kan meerdere oorzaken hebben (niet hack gerelateerd).

Verder heeft de machine in de tcpdump een private range ip adres, dus ik betwijfel al hoe die machine direct op het internet kan zitten, want daar is toch minimaal NAT voor nodig.

En ik roep het nog maar een keer. Vertrouw niet blind op chrootkit! Als die niks vindt wil het nog niet zeggen dat je niet gehacked bent!

[ Voor 14% gewijzigd door robbertb op 09-06-2003 15:47 ]

Verwijderd schreef op 09 June 2003 @ 15:51:
Als je zoals Nelske al vroeg met meer details komt kunnen we je beter helpen en wordt het voor meedere mensen een leerzaam topic.

Wat we dus graag willen zien is een tekening van je netwerk met ip adressen, os-en enzo erin. Verder ben ik ook wel benieuwd wat @home nu precies schreef.

Geachte heer, mevrouw,

Volgens onze gegevens draait bij u op de computer die direct gekoppeld
is aan het modem, een zogenaamde proxy. Waarschijnlijk heeft u AnalogX
of WinGate op uw computer draaien, om de verbinding naar een tweede
computer bij u thuis mogelijk te maken. Mogelijk is bij u een ander
programma aanwezig.

Deze proxy staat op dit moment zo ingesteld dat er van buiten af
misbruik van kan worden gemaakt. Buitenstaanders die er achter komen dat
deze proxy te benaderen is op uw computer, kunnen hun internetverkeer
via uw computer laten lopen. Op deze manier kunnen handelingen worden
uitgevoerd waarvan het lijkt alsof deze door u worden uitgevoerd. Dit
houdt overigens niet in dat men uw computer kan binnendringen.

Wij willen u dringend verzoeken de instellingen van de proxy zo te
veranderen dat deze vorm van misbruik niet meer mogelijk is. Hieronder
kunt u voor de twee genoemde programma's vinden hoe de instellingen
veranderd dienen te worden. Wij kunnen u verder geen ondersteuning
bieden bij deze zaak.


Voor AnalogX:

Rechtsonder bij uw klok staat een groen icoon van AnalogX. Als u met
rechts klikt op dit icoon kunt u naar het configuratiescherm van
AnalogX. Daar staat rechtsonder 'Proxy Bindings'. Deze staat nu
waarschijnlijk op 'disabled'. Hier dient u het IP-adres van die computer
in te voeren voor de interne verbinding. Waarschijnlijk begint dit
IP-adres met 192.168.x.x of 10.x.x.x .

Voor WinGate:

In de 'Gatekeeper', het centrale scherm van WinGate, staat op tabblad
'Services' ondermeer 'WWW-Proxy server'. Als u naar de eigenschappen van
deze proxy gaat, vindt u tabblad 'Bindings'. In dat scherm moet de
tweede mogelijkheid aangevinkt worden waarbij u de netwerkkaart moet
selecteren die voor uw interne netwerk gebruikt wordt. Dit zorgt ervoor
dat de proxy niet meer van buitenaf te misbruiken is.

Met vriendelijke groet,
@Home

Afdeling Abuse

[ Voor 12% gewijzigd door robbertb op 09-06-2003 16:35 ]

Verwijderd schreef op 09 juni 2003 @ 16:59:
Ok, dit maakt het geheel al een stuk overzichtelijker, maar toch een paar vragen.

Die PC1 en PC2 die direct aan het Internet hangen, draai je daar nog iets van een firewall op? Hoe goed hou je service packs bij voor de XP machines en patches voor Linux? Heb je XP nog een beetje gehardend? Dus bijvoorbeeld UPNP en netbios uitgeschakeld?

Als de hubs in de tekening ook echt hubs zijn en geen switches zou je op eth0 van je slackware server eens tcpdump kunnen draaien om te kijken of daar "vreemd netwerkverkeer" voorbij komt. Je ziet dan al het verkeer van je hele netwerk voorbij komen. Enige protocollen kennis is dan wel noodzakelijk.

Ik zou zowiezo een mailtje sturen naar @home met de vraag op welk ip volgens hun een proxy server draait. Of zijn niet alle publieke ip's van @home?

Verder ben ik wel geinteresseerd in je complete firewall script van je slackware server. Oh en gebruik je zelf misschien ergens in je netwerk een HTTP of FTP proxy die slecht geconfigureerd zou kunnen zijn?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

ipchains -F
#ipchains -P forward DENY

ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0 -i eth0
echo 1 >/proc/sys/net/ipv4/ip_masq_udp_dloose #starcraft open

####Alles dichtzetten####
ipchains -A input -s 0/0 -p tcp --dport 20 -j DENY #ftp data
ipchains -A input -s 0/0 -p tcp --dport 21 -j DENY #ftp dicht voor iedereen
ipchains -A input -s 0/0 -p tcp --dport 22 -j DENY #ssh voor iedereen dicht
ipchains -A input -s 0/0 -p tcp --dport 25 -j DENY #smtp
ipchains -A input -s 0/0 -p tcp --dport 110 -j DENY #pop3
ipchains -A input -s 0/0 -p tcp --dport 111 -j DENY  #altijd dicht
ipchains -A input -s 0/0 -p tcp --dport 139 -j DENY #netbios dicht
ipchains -A input -s 0/0 -p tcp --dport 60000 -j DENY #troyan?

####Pingreply blokkeren####
ipchains -A output -i eth0 -p icmp  --icmp-type echo-reply -d 0.0.0.0/0 -j REJECT

####SSH openzetten voor bekende hosts####
ipchains -I input -s [Internet IP 1]-p tcp --dport 22 -j ACCEPT #inet ip1
ipchains -I input -s [Internet IP 2]-p tcp --dport 22 -j ACCEPT #inet ip2
ipchains -I input -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

####FTP openzetten voor bekende hosts####
ipchains -I input -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
ipchains -I input -s [Internet IP 1]-p tcp --dport 21 -j ACCEPT #inet ip1
ipchains -I input -s [Internet IP 2]-p tcp --dport 21 -j ACCEPT #inet ip2

#####Netbios openzetten voor lokaal netwerk + bekende pcs####
ipchains -I input -s 192.168.0.0/24 -p tcp --dport 139 -j ACCEPT
ipchains -I input -s [Internet IP 1]-p tcp --dport 139 -j ACCEPT
ipchains -I input -s [Internet IP 2]-p tcp --dport 139 -j ACCEPT

[ Voor 16% gewijzigd door robbertb op 09-06-2003 17:33 ]

Verwijderd schreef op 09 juni 2003 @ 17:47:
[...]

Je firewall script stelt inderdaad niet veel voor en wat mij betreft kun je hem direct in de vuilnisbak donderen.

Ten eerste gebruik je alleen voor je forward chain een default deny policy en voor je input chain niet. Dat is al het omgekeerde van hoe het zou moeten. Eerst alles dicht zetten voor elke chain en dan alleen open zetten wat je nodig hebt.

Ten tweede kloppen je regels met betrekking tot netbios verkeer niet. Netbios gebruikt meer poorten.

code:

1 2 3 4 5 6 7

grep netbios /etc/services netbios-ns 137/tcp # NETBIOS Name Service netbios-ns 137/udp netbios-dgm 138/tcp # NETBIOS Datagram Service netbios-dgm 138/udp netbios-ssn 139/tcp # NETBIOS session service netbios-ssn 139/udp

Verder is daar nog 445 tcp/udp bijgekomen sinds Win2K. Je netbios staat dus al half open voor de hele wereld. Dat was je niet gebeurd als je default DENY had gebruikt, want dan moet je expliciet dingen openzetten. Begin dus maar eens met dat beter dicht te zetten.

Als je dan toch je firewall script gaat aanpassen kun je misschien beter gelijk naar iptables overstappen. Kun je statefull inspection toepassen en dat maakt het geheel ook wat veiliger.(mits goed toegepast)

Hoe lang geleden heb je die slackware machine geupdate en draait er toevallig ook samba op die machine?

Als je geen SP1 op die XP machines draait mis je al een hoop updates. Ik gok dat je UPNP ook nog vrolijk aan staat. Op welke machine zag je die nieuwe Internet gateway?

Verder zou die proxy of trojan ook wel eens via udp kunnen werken en je blocked nu alleen tcp verkeer naar die poort. Verder zou ik ook een log ip die regel zetten. Kun je zien welke ip's er proberen te connecten naar die poort en naar welke machine, dan heb je gelijk een idee op welke machine die proxy draait. Hoewel er wel 2 systemen buiten je firewall staan

Controleer ook alle machines op rare en verborgen processen. Gebruik lsof (dubbelcheck met pstree, want die vergeten de meeste rootkits te patchen) voor je linux machines en inzider (http://ntsecurity.nu/toolbox/inzider/) voor je windows machines.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

init-+-6*[agetty]
     |-atd
     |-crond
     |-dhclient
     |-dhcpd
     |-inetd
     |-keventd
     |-kflushd
     |-klogd
     |-kswapd
     |-kupdate
     |-nmbdnbfw
     |-rpc.portmap
     |-smbdnbfw
     |-sshd---sshd---bash---pstree
     `-syslogd

Verwijderd schreef op 09 June 2003 @ 20:14:
Ik zit me gewoon al een poosje iets af te vragen. Het ligt zo voor de hand dat het wel niet zo zal zijn. Ik schaam me bijna om het te vragen maar om het even helemaal duidelijk te krijgen. In jouw tekening geef je 3 pc's aan die met een internet IP aan een hub hangen. Heb jij van home wel echt drie IP's gekregen of heb je er zelf maar een paar bedacht? Of heb je misschien alle drie machines met hetzelfde ip aan het Internet hangen?

Verwijderd schreef op 09 juni 2003 @ 21:36:
[...]

My bad, zie nu inderdaad dat die regel commentaar was. Dit maakt het alleen maar slechter in plaats van beter. Wat je normaal zou doen is elke chain (dus input, output en forward) een default policy van DENY geven. Dat houdt in dat als geen van de door de gebruiker gedefineerde ipchains regels matchen de default policy op het binnenkomende pakket wordt toegepast. Standaard zet ipchains alle chains op ALLOW. Dus tenzij jij dit veranderd mag standaard elk pakketje vrolijk doorgaan. Vervolgens ga je gaten maken in je firewall door regels opte stellen voor verkeer wat er wel door mag.

Dus in jouw geval block je een aantal gevaarlijke dingen en de rest van de pakketen mogen vrolijk doorgaan. In het geval van een default DENY block je ook alle onbekende aanvallen die je vergeten bent te blocken.

[...]

Dat is een beetje kort door de bocht. Het ligt er maar helemaal aan waar in hun netwerk @home netbios blocked. Doen ze dat bijvoorbeeld alleen aan de randen van het netwerk, dan kunnen andere @home gebruikers in hetzelfde subnet gewoon bij jouw netbios poorten. Ik heb zelf geen @home, dus ik kan dit niet controleren.

[...]

iptables heeft een iets andere syntax dan ipchains, maar als ik het zo bekijk beheers je de ipchains syntax ook niet echt goed (NOFI). Maar goed ook ipchains firewalls kun je veel dichter krijgen dan dat je het nu hebt, dus negeer die opmerking anders maar.

Is er een speciale reden waarom je slackware draait? Het is IMHO toch een distributie voor de wat gevorderde linux gebruikers en met name het upgraden vond ik zelf altijd veel werk. Uit de rest van je verhaal lees ik ook dat je juist niet veel tijd wil stoppen in updaten en dergelijke, dus misschien is het overwegen waard een distro te nemen die makkelijk te upgraden is.

[...]
De setup zoals je hem nu hebt zou ik zelf nooit bouwen en we hebben er lang geleden al eens eerder een discussie over gehad. Ik zou zelf een centrale firewall nemen en de 2 XP machines met een publiek ip ook achter die firewall plaatsen. Met een dhcp relay-er op je firewall moeten die 2 XP machines volgens mij evengoed een ip adres via dhcp kunnen krijgen. De reden dat quake, starcraft, irc dcc enzo niet werken ligt voornamelijk aan NAT en niet aan de firewall. Tuurlijk moet je de firewall wel goed instellen, maar die van jouw staat nu zo open dat alles wel werkt

Als optie 2 zou je de netwerkconfig hetzelfde kunnen laten en minimaal een personal firewall en goede virusscanner op beide XP machines kunnen draaien. Personal firewalls zoals kerio zijn meestal redelijk makkelijk te configureren.

Die netbios forwarders staan volgens mij compleet los van ipchains of iptables. Als je in je firewall maar de juiste poorten openzet moet het gewoon werken.

[...]
Ok er moet natuurlijk een nieuwe versie zijn voordat je kan upgraden (duh), maar een jaar oude distro bevat vrijwel zeker een serieus lek. Openssh bijvoorbeeld. Zie ook mijn opmerking eerder over makkelijker te upgraden distro.

[...]

Het updaten van XP is prima te automatiseren, tot aan het automatisch installeren van alle updates aan toe. Debian is bijvoorbeeld ook erg makkelijk te upgraden met een commando. Het hoeft dus niet al teveel tijd te kosten.

Verder kan het mij niet zoveel schelen als jouw systemen gehacked worden, maar als er vanaf jouw systemen weer andere mensen worden aangevallen worden is het een ander verhaal. Ik vind dat je de plicht hebt om je systemen zo veilig mogelijk te maken.

[...]
Ja dit geeft je processen in boom vorm weer. Vaak wordt ps gepatched bij een hack om bepaalde processen te verbergen. Pstree wordt wel eens vergeten.

Lsof kun je installeren, is nog geen 5 minuten werk. Ik heb niet het idee dat je erg veel wil doen om te ontdekken of je gehacked bent. Verwacht niet dat ik of iemand anders op afstand met zekerheid kan zeggen of je gehacked bent, dat zul je zelf moeten onderzoeken. Jij opent een topic op GOT, dus jij moet ook initiatief nemen. Probeer ervan te leren voor de volgende keer.

Verder zou ik ook die rpc.portmap verwijderen van je systeem, hoewel je die dan toevallig wel blocked in je firewall.

[...]

Geen onnodige services draaien, geen onnodige programma's installeren. Een echt firewall script schrijven en de laatste patches installeren. Dan ben je al een heel eind.

[...]

Inzider wil helaas nog wel eens crashen, maar het geeft soms een handig overzicht van processen die je niet ziet in je taskmanager.

[ Voor 3% gewijzigd door robbertb op 09-06-2003 22:08 ]

[ Voor 61% gewijzigd door robbertb op 10-06-2003 01:14 ]

Verwijderd schreef op 10 juni 2003 @ 01:48:
Ga nou a.u.b. eerst eens zorgen dat je wat bijleest/bijleert i.p.v. klakkeloos maar weer een nieuw script erbij te zetten, zonder dat je precies weet wat je aan het doen bent. Ik heb al meerdere opmerkingen gemaakt in deze topic; als je daar niet op reageert dan geef ik het op.