Gehackt; wat is er gebeurd? - Linux en overige clients

maandag 21 juni 2004 00:29

Acties:

Verwijderd

Topicstarter

Vorige week is mijn server gedeeltelijk gehackt. Gedeeltelijk omdat het lijkt alsof de hack halverwege mislukt is. Ik vroeg me af wat er nu precies gebeurd is, en hoopte dat hier iemand daar meer over zou kunnen vertellen? Ik heb de server inmiddels opnieuw geinstalleerd maar wil herhaling natuurlijk voorkomen :-)

Voor zover ik uit de logs kan halen hebben ze op een of andere manier het root-password kunnen veranderen (daardoor kwam ik er ook achter), vervolgens hebben ze Bind gestart en geprobeerd in te loggen met ssh. Daarna is er niets meer gebeurd zo te zien. (Bind is overigens niet geconfigureerd, maar stond er alleen op vanwege de programmatjes die erbij komen, zoals dig. .) IP-adres heb ik helaas niet kunnen achterhalen.

Hieronder stukjes uit de logs:

Secure:
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Jun 15 04:40:05 kitten chfn[18082]: changed user `root' information
Jun 15 04:40:05 kitten chsh[18085]: changed user `root' shell to `/bin/bash'
Jun 15 04:40:06 kitten su[18123]: + ??? root-root
Jun 15 04:40:10 kitten passwd[18171]: password for `root' changed by `root'
Jun 15 04:40:12 kitten tcpd[18217]: warning: can't get client address: Socket operation on non-socket
Jun 15 04:40:12 kitten tcpd[18217]: connect from unknown
Jun 15 04:40:12 kitten tcpd[18217]: warning: can't get client address: Socket operation on non-socket
Jun 15 04:40:12 kitten tcpd[18217]: connect from unknown
Jun 15 04:40:12 kitten tcpd[18217]: warning: can't get client address: Socket operation on non-socket
Jun 15 04:40:12 kitten tcpd[18217]: connect from unknown
Jun 15 04:40:12 kitten tcpd[18217]: warning: can't get client address: Socket operation on non-socket
Jun 15 04:40:12 kitten tcpd[18217]: connect from unknown
Jun 15 04:40:12 kitten tcpd[18217]: warning: can't get client address: Socket operation on non-socket
....... en dat gaat nog een uurtje of wat zo door
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Syslog:
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Jun 15 04:40:06 kitten inetd[18130]: time/tcp (2): bind: Address already in use
Jun 15 04:40:06 kitten inetd[18130]: smtp/tcp (2): bind: Address already in use
Jun 15 04:40:12 kitten sshd[18207]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Jun 15 04:40:12 kitten sshd[18207]: fatal: Cannot bind any address.
Jun 15 04:50:06 kitten inetd[18130]: smtp/tcp (2): bind: Address already in use
Jun 15 04:50:06 kitten inetd[18130]: time/tcp (2): bind: Address already in use
Jun 15 05:00:06 kitten inetd[18130]: smtp/tcp (2): bind: Address already in use
Jun 15 05:00:06 kitten inetd[18130]: time/tcp (2): bind: Address already in use
Jun 15 05:10:06 kitten inetd[18130]: smtp/tcp (2): bind: Address already in use
Jun 15 05:10:06 kitten inetd[18130]: time/tcp (2): bind: Address already in use
Jun 15 05:20:06 kitten inetd[18130]: smtp/tcp (2): bind: Address already in use
Jun 15 05:20:06 kitten inetd[18130]: time/tcp (2): bind: Address already in use
...... en dat gaat zo dan nog een tijdje door
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Messages:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Jun 15 04:40:10 kitten named[18168]: starting BIND 9.2.2
Jun 15 04:40:10 kitten named[18168]: using 1 CPU
Jun 15 04:40:10 kitten named[18168]: loading configuration from '/etc/named.conf'
Jun 15 04:40:11 kitten named[18168]: no IPv6 interfaces found
Jun 15 04:40:11 kitten named[18168]: listening on IPv4 interface lo, 127.0.0.1#53
Jun 15 04:40:11 kitten named[18168]: listening on IPv4 interface eth0, 172.20.xxx.yyy#53
Jun 15 04:40:11 kitten named[18168]: listening on IPv4 interface eth1, 192.168.1.1#53
Jun 15 04:40:11 kitten named[18168]: listening on IPv4 interface ppp0, 145.94.xxx.yyy#53
Jun 15 04:40:11 kitten named[18168]: command channel listening on 127.0.0.1#953
Jun 15 04:40:11 kitten named[18168]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
Jun 15 04:40:11 kitten named[18168]: zone localhost/IN: loaded serial 42
Jun 15 04:40:11 kitten named[18168]: running
Jun 15 04:44:30 kitten n 15 04:44:30 tcpd[18217]: warning: can't get client address: Socket operation on non-socket
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
(die 145.94.xxx.yyy heb ik zo veranderd, ik weet niet of 't op dit moment verstandig is mijn ip-adres hier te posten ;-)

[ Voor 3% gewijzigd door Verwijderd op 21-06-2004 00:39 ]

maandag 21 juni 2004 01:16

Acties:

Verwijderd

Als je alle updates van je distro/BSD boer hebt geinstalleerd lijkt me niks aan de hand? of je moet een grove config fout gemaakt hebben...

maandag 21 juni 2004 01:19

Acties:

Verwijderd

Topicstarter

Ik had (en heb) alle updates geinstalleerd. Blijkbaar was dat niet voldoende, want ze hebben op z'n minst het rootpassword kunnen veranderen, en bind kunnen starten...

maandag 21 juni 2004 01:20

Acties:

Stoffel

Engineering the impossible

Als hij

Jun 15 04:40:05 kitten chfn[18082]: changed user `root' information
Jun 15 04:40:05 kitten chsh[18085]: changed user `root' shell to `/bin/bash'
Jun 15 04:40:06 kitten su[18123]: + ??? root-root
Jun 15 04:40:10 kitten passwd[18171]: password for `root' changed by `root'

niet zelf heeft gedaan is er alle reden tot zich zorgen maken lijkt me.

maandag 21 juni 2004 01:24

Acties:

Verwijderd

ik begrijp niet hoe een hack nog kan mislukken als je eenmaal root access hebt

maandag 21 juni 2004 07:54

Acties:

SvMp

Verwijderd schreef op 21 juni 2004 @ 01:24:
ik begrijp niet hoe een hack nog kan mislukken als je eenmaal root access hebt

Als root iets fout configgen waardoor de verbinding verbroken wordt en niet meer tot stand kan komen zonder fysiek bij de machine aanwezig te zijn bv.

maandag 21 juni 2004 08:00

Acties:

Maarten @klet.st

Verwijderd schreef op 21 juni 2004 @ 01:24:
ik begrijp niet hoe een hack nog kan mislukken als je eenmaal root access hebt

vermoedelijk een auto-rooter die bepaalde (verkeerde) verwachtingen heeft van het systeem.

maandag 21 juni 2004 08:52

Acties:

Warbringer

Welke distro/kernel draai je?

I want to live forever, so far.. so good.

maandag 21 juni 2004 09:21

Acties:

Spider.007

* Tetragrammaton

Voordat men het root wachtwoord kan veranderen zal er toch eerst shell-access moeten zijn? Is het niet verstandig om te achterhalen waarvan; en op welke manier met een initieele verbinding heeft weten op te bouwen met jouw systeem? En wat voor systeem is dat precies? Geef jij shell-access aan derden; of kunnen er mensen fysiek inloggen op deze machine? Heb je nog meer machines die ge-compromised kunnen zijn?

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 21 juni 2004 09:35

Acties:

Verwijderd

Spider.007 schreef op 21 juni 2004 @ 09:21:
Is het niet verstandig om te achterhalen waarvan; en op welke manier met een initieele verbinding heeft weten op te bouwen met jouw systeem?

Een beetje rootkit wist zijn sporen wel goed uit.
(ik denk niet dat een persoon je computer is gaan hacken). Misschien dat je wat info kan vinden op chkrootkit.org.

maandag 21 juni 2004 09:43

Acties:

raoulduke

Get in!

Is er in je 'last' log niet te zien waarvandaan de login kwam en eventueel op welke console root-passwd is gewijzigd? Voer in een terminal gewoon het commando 'last' uit en je kan even kijken welke logins er zijn geweest.

Remember, if you have any trouble you can always send a telegram to the Right People.

maandag 21 juni 2004 10:17

Acties:

RvdH

Uitvinder van RickRAID

raoulduke schreef op 21 juni 2004 @ 09:43:
Is er in je 'last' log niet te zien waarvandaan de login kwam en eventueel op welke console root-passwd is gewijzigd? Voer in een terminal gewoon het commando 'last' uit en je kan even kijken welke logins er zijn geweest.

Daar zal het (na de re-install) wel te laat voor zijn, tenzij hij z'n /var/log/wtmp heeft bewaard.

maandag 21 juni 2004 11:42

Acties:

Verwijderd

Topicstarter

Ik draai Slackware 9.0, met alle laatste packages geinstalleerd en een vrij oude kernel: 2.4.20. Services die draaien: ssh, (s)ftp, apache (incl ssl), ntp, courier-imap. Er is een account met shell-access via ssh, en twee accounts voor ftp; deze accounts hebben ook shell-access.

In de logs is (iig door mij) niet te vinden hoe ze zijn binnengekomen. Fysiek inloggen is uitgesloten (dan hadden ze in mn kamer moeten inbreken en toetsenbord en monitor moeten aansluiten) en datgene wat ik gepost heb is het eerste uit de betreffende logs wat er mee te maken kan hebben, eerdere meldingen zijn van veel eerder.

Het root-password is gewijzigd op een "onbekend" console, zie de regel in secure: Jun 15 04:40:06 kitten su[18123]: + ??? root-root

Ik heb /var/log/wtmp bewaard, maar kan daar niet echt iets nuttigs uithalen (is nogal gecodeerd). Is er nog een manier om dit te lezen? Het is idd te laat voor "last" of "chkrootkit" vanwege herinstallatie...

Hoe men de verbinding heeft heeft opgebouwd, is binnengekomen en het root-pwd heeft gewijzigd is idd mijn vraag. Ik weet niet precies hoe ik hier achter kan komen, daarom vraag ik 't hier

maandag 21 juni 2004 12:07

Acties:

usr-local-dick

inds 2.4.20 zijn er dacht ik wel local kernel exploits geweest...
Was die kernel van je wel gepatcht?
Dat ie oud is zegt op zich niet zo veel nl (een current debian 2.4.18 kenel is bv veiliger dan een niet vanilla 2.4.24).

maandag 21 juni 2004 12:17

Acties:

KatirZan

Wandelende orgaanzak

standaard ssh hack, niet al te moeilijk om uit te voeren...

De persoon in kwestie heeft zich zo te zien wel verder weten te komen dan wat er in je log zich voordoet

De reden hiervan is omdat de ssh logfile na de "hack" niet verder gaat omdat de persoon in kwestie overstapt op een andere profile (admin login, changepass, root login via andere kwestie)

Het enige wat je hiertegen kan doen is een moeilijkere pass instellen die niet met brute force te kraken is, tenzij de persoon in kwestie een 1mb password list heeft welke alle combinaties bevat (dit neemt tijd in beslag

)

Er is dus weinig gebeurt zo te zien

Wabbawabbawabbawabba

maandag 21 juni 2004 12:18

Acties:

raoulduke

Get in!

Senorsnor gebruik:

code:

1	last -f [pad-naar-wtmp-backup]

Om alsnog last te kunnen gebruiken!

Remember, if you have any trouble you can always send a telegram to the Right People.

maandag 21 juni 2004 13:38

Acties:

Olaf van der Spek

KatirZan schreef op 21 juni 2004 @ 12:17:
Het enige wat je hiertegen kan doen is een moeilijkere pass instellen die niet met brute force te kraken is, tenzij de persoon in kwestie een 1mb password list heeft welke alle combinaties bevat (dit neemt tijd in beslag )

Er is dus weinig gebeurt zo te zien

Er zijn meer dan 218340105584896 combinaties. Aan 1 mb heb je niet genoeg.

maandag 21 juni 2004 17:18

Acties:

Verwijderd

Wat geeft nmap vanaf een andere machine? staan er nog vreemde poorten open?

code:

1
2
3

find / -name ' '
netstat -npltu
getent passwd | grep :0:

maandag 21 juni 2004 20:28

Acties:

Flying_Thunder

Verwijderd schreef op 21 juni 2004 @ 17:18:
Wat geeft nmap vanaf een andere machine? staan er nog vreemde poorten open?
code:
1
2
3
find / -name ' '
netstat -npltu
getent passwd | grep :0:

Dat zal nu niet meer het geval wezen me dunkt, daar de TS al een herinstall heeft gedaan