Poort 31337 open > gehacked ? - Linux en overige clients

vrijdag 18 juli 2003 21:27

Acties:

Verwijderd

Topicstarter

Hallo,

toen ik vandaag mijn openbare bak bekeek, bleek poort 31337 open te staan.
Nu weet ik dat iedereen een poort > 1024 zelf open mag zetten, dus wil dat op zich niets zeggen...

Heb echter ook ooit gehoord dat hier BO op kan draaien, dus ik werd beetje geintereseerd.

Een telnet naar het poortje kreeg ik dit terug :

telnet localhost 31337
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
:Welcome!psyBNC@lam3rz.de NOTICE * :psyBNC2.3.1

via google kwam ik dan op dit terecht :
Klik

Lijkt me dus niet echt iets waar je blij van word.

Mijn vragen :
* hoe zie ik wie deze poort heeft opengezet
* hoe zie ik wel process deze poort aanroept ?
* ben ik nu geroot ??

Heb gekeken in mn inetd config, maar daar staat niets in...

Bedankt alvast

[ Voor 8% gewijzigd door Verwijderd op 18-07-2003 21:28 ]

vrijdag 18 juli 2003 21:29

Acties:

Silva

iemand zit dus nu op die host te irc'en , waarschijnlijk ben je geroot maar.. maby heeft een user psybnc geinstalled maar dat hoeft niet...

vrijdag 18 juli 2003 21:32

Acties:

Verwijderd

Topicstarter

artec schreef op 18 juli 2003 @ 21:29:
iemand zit dus nu op die host te irc'en , waarschijnlijk ben je geroot maar.. maby heeft een user psybnc geinstalled maar dat hoeft niet...

Er zitten wel wat users op die ook wel graag wat knutselen met unix enzo, dus dat zou het wel kunnen verklaren...
Ik heb echter de beveiliginsupdates altijd geinstalleerd, dus snap ik zo 123 niet via welk programma ze root krijgen.
Pas ook nog kernel update gedaan ivm wat root exploits.

Kan ik niet via een commando zien wie dit draait ?

vrijdag 18 juli 2003 21:32

Acties:

Verwijderd

psybnc kan je ook als default user installen.......

misschien iemand aan wie jij zelf xs hebt gegeven?

[edit]
ps aux | grep psybnc

ouput bij mij
----------------------
%ps aux |grep psybnc
USERNAME 652 0.0 0.4 2540 2168 p6 S Thu04PM 0:06.54 ./psybnc
%

[ Voor 48% gewijzigd door Verwijderd op 18-07-2003 21:37 . Reden: code en output om te kijken wie psybnc draait ]

vrijdag 18 juli 2003 21:37

Acties:

Hans

Verwijderd schreef op 18 juli 2003 @ 21:32:
Kan ik niet via een commando zien wie dit draait ?

ps aux|grep psy

Verder is er voor het luisteren op poort 31337 geen root nodig dus kan iedere willekeurige shell user op je doos dit aangestoken hebben. psyBNC is iig een IRC bouncer/proxy.

edit:
hmm blaat_aap was me net voor

[ Voor 7% gewijzigd door Hans op 18-07-2003 21:38 ]

vrijdag 18 juli 2003 21:38

Acties:

terrapin

Doe eens:
'lsof |grep 37337' (of wat de port ook was..)

Dan zie je wie er op die port wat draait, en weet je wie de bnc draait..

edit:
mijn variant is mooier en werkt voor elk portnummer, zelfs als je niet weet welk programma er draait.. Je hebt echter wel het progje lsof nodig...

[ Voor 41% gewijzigd door terrapin op 18-07-2003 21:40 ]

The higher that the monkey can climb, The more he shows his tail

vrijdag 18 juli 2003 21:43

Acties:

Verwijderd

Topicstarter

terrapin schreef op 18 July 2003 @ 21:38:
Doe eens:
'lsof |grep 37337' (of wat de port ook was..)

Dan zie je wie er op die port wat draait, en weet je wie de bnc draait..

edit:
mijn variant is mooier en werkt voor elk portnummer, zelfs als je niet weet welk programma er draait.. Je hebt echter wel het progje lsof nodig...

psybnc 24454 <hidden> 3u IPv4 45747765 TCP *:31337 (LISTEN)
psybnc 24454 <hidden 18u IPv4 46054750 TCP <hidden>:31337-><hidden>:1229 (ESTABLISHED)

Hmz, nu moet ik wel even iemand gaan vermoorden denk ik

User heb ik inderdaad zelf toegang gegeven, poort > 1024 dus boeit het op zich niet zo.

Schrok me alleen helemaal kapot. Weet iig nu wie het is, zal het process ook killen.
Nadeel van de bak is dat het een productieserver is, maar dat snapt hij blijkbaar nog niet

Bedankt allemaal voor jullie hulp

vrijdag 18 juli 2003 23:06

Acties:

Wilke

Verwijderd schreef op 18 July 2003 @ 21:43:
[..] dat het een productieserver is, maar dat snapt hij blijkbaar nog niet

Geef users dan ook geen shell-toegang tot servers, al helemaal niet tot productieservers, tenzij ze die nodig hebben voor hun werk natuurlijk

Als dat zo is moet je toch kunnen afspreken dat je geen proggies wilt zien die luisteren naar verbindingen op poorten (welke dan ook), tenzij het te maken heeft met de software die ontwikkeld wordt ofzo.

En al helemaal geen IRC zut, waarmee iemand op IRC kan rondhangen en het lijkt alsof 'ie bij jouw bedrijf vandaan komt....als zo iemand dan de boel verziekt krijgt jullie bedrijf het gezeik op z'n dak

vrijdag 18 juli 2003 23:42

Acties:

Verwijderd

Topicstarter

Als dat zo is moet je toch kunnen afspreken dat je geen proggies wilt zien die luisteren naar verbindingen op poorten (welke dan ook), tenzij het te maken heeft met de software die ontwikkeld wordt ofzo.

Ja inderdaad. Op dit moment hebben we alleen een regel geen mp3's en illegale zooi op de server.
Heb heel even gegoogeld voor een systeem om voor users het openzetten van poorten te blokkeren (met uitzondering van bepaalde users), maar ik heb hier helaas (nog?) niets voor gevonden.

Heb op dit moment iig de user zijn accounts shell naar nologin gemoved.

Helaas kan je hier denk ik idd weinig aan doen, behalve natuurlijk shell toegang ontzeggen, maarja, dat vind ik juist de kracht van de server, het kunnen werken via shell...

vrijdag 18 juli 2003 23:47

Acties:

terrapin

Verwijderd schreef op 18 juli 2003 @ 23:42:
[...]

Ja inderdaad. Op dit moment hebben we alleen een regel geen mp3's en illegale zooi op de server.
Heb heel even gegoogeld voor een systeem om voor users het openzetten van poorten te blokkeren (met uitzondering van bepaalde users), maar ik heb hier helaas (nog?) niets voor gevonden.

Heb op dit moment iig de user zijn accounts shell naar nologin gemoved.

Helaas kan je hier denk ik idd weinig aan doen, behalve natuurlijk shell toegang ontzeggen, maarja, dat vind ik juist de kracht van de server, het kunnen werken via shell...

Uhm ooit aan firewall gedacht?

The higher that the monkey can climb, The more he shows his tail

vrijdag 18 juli 2003 23:57

Acties:

Wilke

terrapin schreef op 18 July 2003 @ 23:47:
Uhm ooit aan firewall gedacht?

In de nieuwere Linux-kernels kun je inderdaad zelfs firewall-regels maken die per user gelden. Dus wie weet is het toch iets

zaterdag 19 juli 2003 00:00

Acties:

terrapin

Uhm.. als je gewoon standaard elke port dicht zet in je firewall kan een user wel iets draaien op een port, maar is het van buitenaf niet toegankelijk, tenzij je in je firewall (als root) die port openzet... Dus zelfs een normale iptables firewall kan dit...

The higher that the monkey can climb, The more he shows his tail

zaterdag 19 juli 2003 03:46

Acties:

JeroenT

hoi!

Inderdaad > Default alles blocken en dan alleen de poorten openzetten die je nodig hebt.

Problem solved.

[ Voor 3% gewijzigd door JeroenT op 19-07-2003 03:46 ]

zaterdag 19 juli 2003 10:13

Acties:

Verwijderd

En als je meer wil dan alleen poorten firewallen, heeft grsecurity een module in hun kernel patch waarme je een bepaalde GID kan aangeven die geen client en/of server sockets mag openen.

zaterdag 19 juli 2003 11:05

Acties:

Verwijderd

Topicstarter

Op dit moment draait er inderdaad geen firewall, maar zit er idd sterk over na te denken om er nu een te instaleren zodat alleen de gewenste services kunnen draaien.

grsecurity is op dit moment niet interesant, aangezien alle users in dezelfde groep zitten.

zaterdag 19 juli 2003 14:25

Acties:

Verwijderd

[no_flame_intended]

Ik vraag me dan weer af hoe belangrijk jij die productiebak vindt!

Users mogen geen illegale shit installeren omdat het een productie bak is, maar vervolgens is er geen firewall geinstalleerd, waardoor er wel poorten open komen te staan naar de buitenwereld..

[/no_flame_intended]