Опять поламали

У моего знакомого хостер ставил софт на серваки - Veritas NetBackup. Запускался через xinetd. Имел, как оказалось, критическую уязвимость. Залезли, поставили руткит. Пиздец. Эта хуйня лечится полным реинсталлом системы.

вот что по нетстат выдает:
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 7620 /var/lib/mysql/mysql.sock
unix 2 [ ACC ] STREAM LISTENING 7717 /dev/gpmctl
unix 2 [ ACC ] STREAM LISTENING 8163 /tmp/.font-unix/fs7100
unix 2 [ ACC ] STREAM LISTENING 8217 /var/run/dbus/system_bus_socket
unix 2 [ ACC ] STREAM LISTENING 7394 /var/run/acpid.socket

тулза chkrootkit не стоит, так что пока не могу проверить

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

рэкомендую провериться

gilbert писал:

вот что по нетстат выдает:

Хммм... Чето как то подозрительно - нихрена нет статистики TCP listen соединений, а демоны висят.

Pentarh писал:

Хммм... Чето как то подозрительно - нихрена нет статистики TCP listen соединений, а демоны висят.

не статистика есть, я ее просто не приводил
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 айпи сервака:53 0.0.0.0:* LISTEN
tcp 0 0 айпи сервака:53 0.0.0.0:* LISTEN
tcp 0 0 из сетки сервака:53 0.0.0.0:* LISTEN
tcp 0 0 айпи сервака:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:822 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1144 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 ::1:953 :::* LISTEN
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:816 0.0.0.0:*
udp 0 0 0.0.0.0:819 0.0.0.0:*
udp 0 0 айпи сервака:53 0.0.0.0:*
udp 0 0 из сетки сервака:53 0.0.0.0:*
udp 0 0 айпи сервака:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 :::32769 :::*

да ты на руткит лучше проверься. chkrootkit,netstat,procps-tools,lsof - первичные средства диагностики хакеров

непонятных портов дохрена слушает. впрочем в линуксах всегда так по дефалту )) я на процессе установки все незнакомое отключаю FreeBSD в этом отношении проще. Там только 1 лишний слушающий демон по дефалту - syslogd и тот на УДП.

Надо смотреть по каждому открытому порту "lsof -i :порт" - кто слушает. Впрочем, если netstat и lsof заражены руткитом, они ничего толком не скажут.

ответ тулзы:
chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not found
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'...
/dev/ssh/sshd_config.5.out /dev/ssh/sshd_config.5 /dev/ssh/contrib/aix/buildbff.sh
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/site_perl/5.8.5/i386-linux-thread-multi/auto/mod_perl/.packlist /usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/9954/fd: No such file or directory
/proc/9980/fd: No such file or directory
eth0: not promisc and no PF_PACKET sockets
eth0:0: not promisc and no PF_PACKET sockets
eth0:1: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...
failed opening utmp !

Checking `lkm'... You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

возможно руткит загружен как модуль ядра через insmod

потом глянул так, это днс по одному варнингу
chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 3
###
CWD 4469: /var/named
EXE 4469: /usr/sbin/named
CWD 4470: /var/named
EXE 4470: /usr/sbin/named
CWD 4471: /var/named
EXE 4471: /usr/sbin/named
CWD 4472: /var/named
EXE 4472: /usr/sbin/named

gilbert писал:

Один из случаев взлома был у вас, там где ат3 нету. Так что дело не в этом. А в принципе возможен взлом где-то на уровне лоередтек?

Я бы это поставил на последнее место. Ломали разные ОС, и с директадмином, и без.

Pentarh писал:

Я хуй знает как вообще можно через CGI скрипт получить рута. Теоретически вероятность есть, но я не верю. Права веб сервера да. Но не рута же.

сам понимаешь - зависит от версий рутовых приложений и ядра.
есть варианты, когда эксплоиты, запускаемые от рядового пользователя, просто открывают бекдор на порту, после коннекта к которому открывается рутовый шелл. просто повышение привилегий (privilege escalation).

сам налюдал такое пару раз. даже, в студенчестве, экспериментировал на домашней машине.

может апач или phpmyadmin?

gilbert писал:

ответ тулзы: Checking `lkm'... You have 1 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Checking `chkutmp'... failed opening utmp !

Очень интересно....
попробуй бинарник /bin/ps мувнуть в /tmp и обратно. тоже с утилиткой top,ifconfig.

надеюсь не ругнется...

2gilbert
а тебе намед точно нужен? может опусти его и понаблюдай денек

gilbert писал:

может апач или phpmyadmin?

пхпадмин - нет. апач - уже бы давно трубу трубили

Намед кстати еще та хуета.

http://www.opennet.ru/opennews/art.shtml?num=16872

Не повышение привилегий, но все же. Я за правило взял djbdns юзать везде.

Еugene писал:

2gilbert а тебе намед точно нужен? может опусти его и понаблюдай денек

Нужен, у меня все домены на своих нсах висят

Ну я уверен на 85%, что пароль рута был либо подсмотрен, украден, либо это был не рут. Ты уверен что рут это сделал?

Pentarh писал:

Очень интересно.... попробуй бинарник /bin/ps мувнуть в /tmp и обратно. тоже с утилиткой top,ifconfig. надеюсь не ругнется...

не ругнулось, все переносится.
Кстати, а зачем данная манипуляция?

Последний раз редактировалось: gilbert (22/10/08 в 00:55), всего редактировалось 1 раз

Pentarh писал:

Ну я уверен на 85%, что пароль рута был либо подсмотрен, украден, либо это был не рут. Ты уверен что рут это сделал?

Ну все говорят, что под рутом делалось. Всех юзеров на рута сменили права. + все файлы заменили от имени рута.

Насчет украден, конечно нельзя этого исключать, но ие в принципе не юзаю сильно, стоит нод+ фаер, защищен вроде как. Да к тому же ну очень редко рута юзаю, пароли храняться в проге пасворд сейвер.

gilbert писал:

Кстати, а зачем данная манипуляция?

Руткитов очень трудно вычислить. Они цепляются всюду вплоть до модулей ядра. Обычно они подменяют файлы ps,top,ifconfig,netstat таким образом, чтобы эти утилиты не показывали процессы руткитов. Кроме того, руткиты всаживаются в ядро и не дают удалить эти файлы. В общем их по косвенным признакам искать нужно.

gilbert писал:

Всех юзеров на рута сменили права.

не понял?

попробуй перетащить ps + его либы с чистой машины и глянуть. походу тебе попатчили ps и как бы не попатчили sshd

Pentarh писал:

не понял?

Были права на юзеров, стали права на рута.

ну можно конечно попробовать rpm -e procps*, yum install procps, посмотреть опять ps aux - нет ли чего нового. ну хз, по моему руткита нет.

Цитата:

Были права на юзеров, стали права на рута.

Всмысле овнер файлов изменился?