Новая тема   Ответить

 Pentarh
У моего знакомого хостер ставил софт на серваки - Veritas NetBackup. Запускался через xinetd. Имел, как оказалось, критическую уязвимость. Залезли, поставили руткит. Пиздец. Эта хуйня лечится полным реинсталлом системы.

 gilbert
вот что по нетстат выдает:
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 7620 /var/lib/mysql/mysql.sock
unix 2 [ ACC ] STREAM LISTENING 7717 /dev/gpmctl
unix 2 [ ACC ] STREAM LISTENING 8163 /tmp/.font-unix/fs7100
unix 2 [ ACC ] STREAM LISTENING 8217 /var/run/dbus/system_bus_socket
unix 2 [ ACC ] STREAM LISTENING 7394 /var/run/acpid.socket

тулза chkrootkit не стоит, так что пока не могу проверить

 Pentarh
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

рэкомендую провериться

 Pentarh
gilbert писал:
Хммм... Чето как то подозрительно - нихрена нет статистики TCP listen соединений, а демоны висят.

 gilbert
Pentarh писал:
не статистика есть, я ее просто не приводил
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 айпи сервака:53 0.0.0.0:* LISTEN
tcp 0 0 айпи сервака:53 0.0.0.0:* LISTEN
tcp 0 0 из сетки сервака:53 0.0.0.0:* LISTEN
tcp 0 0 айпи сервака:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:822 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1144 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 ::1:953 :::* LISTEN
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:816 0.0.0.0:*
udp 0 0 0.0.0.0:819 0.0.0.0:*
udp 0 0 айпи сервака:53 0.0.0.0:*
udp 0 0 из сетки сервака:53 0.0.0.0:*
udp 0 0 айпи сервака:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 :::32769 :::*

 Pentarh
да ты на руткит лучше проверься. chkrootkit,netstat,procps-tools,lsof - первичные средства диагностики хакеров

 Pentarh
непонятных портов дохрена слушает. впрочем в линуксах всегда так по дефалту )) я на процессе установки все незнакомое отключаю FreeBSD в этом отношении проще. Там только 1 лишний слушающий демон по дефалту - syslogd и тот на УДП.

Надо смотреть по каждому открытому порту "lsof -i :порт" - кто слушает. Впрочем, если netstat и lsof заражены руткитом, они ничего толком не скажут.

 gilbert
ответ тулзы:
chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not found
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'...
/dev/ssh/sshd_config.5.out /dev/ssh/sshd_config.5 /dev/ssh/contrib/aix/buildbff.sh
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/site_perl/5.8.5/i386-linux-thread-multi/auto/mod_perl/.packlist /usr/lib/perl5/5.8.5/i386-linux-thread-multi/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/9954/fd: No such file or directory
/proc/9980/fd: No such file or directory
eth0: not promisc and no PF_PACKET sockets
eth0:0: not promisc and no PF_PACKET sockets
eth0:1: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...
failed opening utmp !

 Еugene
Checking `lkm'... You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

возможно руткит загружен как модуль ядра через insmod

 gilbert
потом глянул так, это днс по одному варнингу
chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 3
###
CWD 4469: /var/named
EXE 4469: /usr/sbin/named
CWD 4470: /var/named
EXE 4470: /usr/sbin/named
CWD 4471: /var/named
EXE 4471: /usr/sbin/named
CWD 4472: /var/named
EXE 4472: /usr/sbin/named

 supphosting.com
gilbert писал:
Я бы это поставил на последнее место. Ломали разные ОС, и с директадмином, и без.

 Еugene
Pentarh писал:
сам понимаешь - зависит от версий рутовых приложений и ядра.
есть варианты, когда эксплоиты, запускаемые от рядового пользователя, просто открывают бекдор на порту, после коннекта к которому открывается рутовый шелл. просто повышение привилегий (privilege escalation).

сам налюдал такое пару раз. даже, в студенчестве, экспериментировал на домашней машине.

 gilbert
может апач или phpmyadmin?

 Pentarh
gilbert писал:
Очень интересно....
попробуй бинарник /bin/ps мувнуть в /tmp и обратно. тоже с утилиткой top,ifconfig.

надеюсь не ругнется...

 Еugene
2gilbert
а тебе намед точно нужен? может опусти его и понаблюдай денек

 Pentarh
gilbert писал:
пхпадмин - нет. апач - уже бы давно трубу трубили

 Pentarh
Намед кстати еще та хуета.

http://www.opennet.ru/opennews/art.shtml?num=16872

Не повышение привилегий, но все же. Я за правило взял djbdns юзать везде.

 gilbert
Еugene писал:

Нужен, у меня все домены на своих нсах висят

 Pentarh
Ну я уверен на 85%, что пароль рута был либо подсмотрен, украден, либо это был не рут. Ты уверен что рут это сделал?

 gilbert
Pentarh писал:

не ругнулось, все переносится.
Кстати, а зачем данная манипуляция?

Последний раз редактировалось: gilbert (22/10/08 в 00:55), всего редактировалось 1 раз

 gilbert
Pentarh писал:
Ну все говорят, что под рутом делалось. Всех юзеров на рута сменили права. + все файлы заменили от имени рута.

Насчет украден, конечно нельзя этого исключать, но ие в принципе не юзаю сильно, стоит нод+ фаер, защищен вроде как. Да к тому же ну очень редко рута юзаю, пароли храняться в проге пасворд сейвер.

 Pentarh
gilbert писал:
Руткитов очень трудно вычислить. Они цепляются всюду вплоть до модулей ядра. Обычно они подменяют файлы ps,top,ifconfig,netstat таким образом, чтобы эти утилиты не показывали процессы руткитов. Кроме того, руткиты всаживаются в ядро и не дают удалить эти файлы. В общем их по косвенным признакам искать нужно.
gilbert писал:
не понял?

 Gourad
попробуй перетащить ps + его либы с чистой машины и глянуть. походу тебе попатчили ps и как бы не попатчили sshd

 gilbert
Pentarh писал:

Были права на юзеров, стали права на рута.

 Pentarh
ну можно конечно попробовать rpm -e procps*, yum install procps, посмотреть опять ps aux - нет ли чего нового. ну хз, по моему руткита нет.

Цитата:
Всмысле овнер файлов изменился?