» »

Analiza vdora v Ubuntu strežnik

Analiza vdora v Ubuntu strežnik

Schneier.com - Lars Strand, Norvežan zaposlen v podjetju Linpro je pred časom na svojem blogu opisal analizo vdora na Ubuntu strežnik.

Zgodba se začne, ko je njegov prijatelj na svojem Linux strežniku opazil, da se mu ne zažene spletni strežnik Apache. Z nekaj raziskovanja, je Strand kmalu odkril, da je računalnik kompromitiran.

V zapisu na blogu je na zanimiv način opisana analiza kompromitiranega sistema in uporabljenih napadalskih orodij, pa tudi napake, ki jih je napadalec naredil in s pomočjo katerih je avtor bloga uspel vsaj delno odkriti kdo bi bil možni napadalec.

Kids, don't do this at home.

22 komentarjev

BigFoot ::

Do it at a Cyber Cafe.:D
LG 65EF950V 65" OLED; 5.2.2 Atmos / DTS-X zvok z Marantzom SR6010, petimi Focal
Sib zvočniki, dvema Focal Cub3 subwooferjema in dvema Focal Little Birdoma na
stropu; PS4 Pro, PS3, Xbox One, Samsung UBD K8500 4K UHD, Philips BDP2180/12

Jernej673 ::

Kaj gre to tudi na Debianu ? Pol sem jaz v piz... >:D

jinzo ::

Hrm, še vedno verjamem, da je strežnik ki je redno posodobljen in dobro skonfiguriran zelo zelo težko kompromirati. Vsekakor pa si bom z veseljem prebral blog post :)

EDIT: Prebral, avtor ni ugotovil kako je napadalexc sploh prisel do dostopa, kar je imo najbolj zanimiva stvar pri vsem tem.

@opeter: Ja saj vsi vemo, da je win 95 bolj varen, prosim ne nabijaj in flejmaj kjer res ni potrebno.

Zgodovina sprememb…

  • spremenilo: jinzo ()

opeter ::

Linux pa varen? Ja, pa kaj še.

kriko1 ::

@opeter: odvisno od administratorja. Poleg tega je linux samo jedro, da ne bo zmešnjav :P

Jernej673 ::

Jaz sem preletel članek ker še mam danes dosti dela drugače pa redno updatam, redno potemni na 2 do 3 dni če je update na voljo >:D :D .

fiction ::

Ne vidim pointa v tej "novici", vse skupaj steje mogoce kvecjemu kot zanimivost.
In se kar se tega tice, bi bolj priporocal Honeynet forensics

Stvar je napisana 9.4.2007. Sedaj niti #aik kanal na IRCnetu ne obstaja vec
(oz. vsaj ni vec tega crapa tam). Backdoor, ki ga uporablja kiddie je iz leta 2003.
In kolikor sem gledal je ocitno buggy (brise /.bash_history namesto /root/.bash_history,
da ne govorimo o amaterskem:
if [ "$(whoami)" != "root" ]; then
v setup.
Kaj ce bi preveril raje UID 0?
Poleg tega backdoored ls sploh (se) nima supporta za -h opcijo.

Lepo, da pac tip zna amatersko izvesti forenzicno raziskavo.
Poleg tega, da ne ve, da Psotnic ni nek drone uporabljen za
nadzor zrtve (zakaj bi drugace sploh rabil ssh dostop), ampak "normalen" IRC bot,
ki ga pac uporabljajo otroci (in tista druga povezava predstavlja povezavo med boti),
je pozabil odgovoriti na najbolj bistveno vprasanje: kako je do vdora sploh prislo?
Ce bi se vsega skupaj lotil malo bolj resno - si shranil recimo z dd dump diska, verjamem
da bi z lahkoto odgovoril tudi na to vprasanje.

Napadalec je bil namrec ocitno script kiddie - uporabljal je zastarel backdoor,
naredil je napako ko je zbrisal cel /var/log ter spremenil root password.
Ocitno gre pac samo za otroka, ki je hotel povecati svoj botnet na IRC-u, tako
da ne verjamem da bi tip res uporabil kaksen nov 0-day exploit zaradi
katerega bi se nam bilo treba bati.
Bi bilo pa dobro izvedeti kaj je _tocno_ teklo na tisti masini - Apache
je bil instaliran kot package na Ubuntu 6.06?

Zgodovina sprememb…

  • spremenil: fiction ()

Liker ::

Glede na to da so 0-day exploiti zelo dobro varovana skrivnost ( klik), me sploh ne bi presenetilo da tudi do konca popatchan sistem hacknejo preko remote dostopa.
Mene so pred leti doma (se na debian woodyu) zelo presenetili ko so mi vdrli preko ftp deamona :) Zadeva je bila patchana kot se spodobi, tako da na to se ni prevec za zanasat. Najbolje je kabel odklopit pa je :))
www.firefoxmyths.com
Firefox - Buggier, Slower, Worse

fiction ::

Jah fora ni, da se na vse kriplje trudis sistem narediti 100% varen (ker tega nikoli ne bos mogel dosezti - seveda
pa je dobro vseeno redno skrbeti za update), ampak da se pripravis na to, da se vdor lahko zgodi
vsak cas in poskusis tvoj sistem narediti kar se da odporen.
Torej da lahko hitro ugotovis da je do vdora sploh prislo (vecina ljudi to odkrije sele ko se pojavi nek problem zaradi vdora:
nedelovanje dolocenih zadev, mankajoci fajli itd.) in seveda da lahko hitro obnovis prejsnje stanje.

Najbol vazno pri tem je da imas vedno backupe.

Dobro je recimo tudi imeti daemone nekako locene (chroot, jail, systrace), tako da kompletna
kontrola enega dela ne pomeni kompletno kompromitiranje celotnega racunalnika.
Pri tem je dobro uporabiti nacelo preprostosti: instaliraj samo zadeve, ki
jih res rabis ter jim daj samo tiste privilegije, ki jih potrebujejo za delovanje.
Poleg tega lahko shranis tudi checksume fajlov na nek locen medij (USB kljuc), tako
da ce je prislo do vdora, lahko hitro ugotovis kaj vse je bilo spremenjeno.

Drugace se lahko pocutis "varno" sele po kompletnem reinstallu sistema oz., kar pa je ponavadi
casovno potratna naloga.

Na CD-ju je dobro imeti neko bootable distribucijo
(recimo F.I.R.E) s staticno linkanimi programi, tako
da lahko v primeru ko se kaj cudnega dogaja preveris stanje na disku s trusted kernelom
in programi, ki jim lahko zaupas.

Zgodovina sprememb…

  • spremenil: fiction ()

Matthai ::

opeter: noben sistem ni varen kar sam po sebi. Pa ne pozabit tudi na človeški faktor.
All those moments will be lost in time, like tears in rain...
Time to die.

Jernej673 ::

Ja, ni hujšega ko len admin ali pa n00b >:D .

darkolord ::

> Drugace se lahko pocutis "varno" sele po kompletnem reinstallu sistema

"varno" se počutiš šele, ko odkriješ, kako je napadalec kompromitiral sistem in to luknjo zakrpaš
spamtrap@hokej.si
spamtrap@gettymobile.si

c3p0 ::

Očiten napad script kiddieja, za seboj ne zna pobrisati niti logov. Generični rootkit, pa še ta z očitno napako (ls -h). Notri pridejo ponavadi preko kakšne ranljive php skripte, root shell pa pridobijo z lokalnim root exploitom, katerih je mnogo več kot remote exploitov. O nekih 0-day exploitih tukaj ne gre sanjat.

Bolj zanimive analize se najdejo na Scan Of The Month challenges: http://www.honeynet.org/

Azrael ::

> Drugace se lahko pocutis "varno" sele po kompletnem reinstallu sistema

Malo nazaj sem skoraj enako izjavo slišal od "strokovnjaka" za postavljanje takih in drugačnih Linux strežnikov. V eno teh "njegovih" mašin so vdrli, po logu sodeč, že prvi dan, lastnik mašine pa je vdor odkril šele čez dober teden, ko je bil na mašini že dodaten ftp z "zanimivo" vsebino.

Postavljalec, je na moje vprašanje kaj in kako naprej, ponosno odgovoril (samozavesti mu ne manjka), da to ni nič hudega, se samo sformatira vse skupaj, postavi sistem nanovo in samo skopira konfiguracijsk datoteke (je bil priden in naredil backup cfg datotek) in je vse tako kot je treba in mora biti.

???

Ko sem mu rekel, da s tem ni naredil popolnoma nič, saj je napaka, ki je omogočila vdor v sistem še vedno prisotna, je začel pametovati kako je Linux mnogo bolj varen od polken...

Mit o skoraj popolni varnosti Linuxa je mit, ki je mnogim zameglil pogled. Slepo zaupanje, v nekaj, o čemur v resnici nimaš pojma in ne veš kaj v resnici delaš, ne more prinesti drugega kot težave, prej ali slej.
Nekoč je bil Slo-tech.

kriko1 ::

Huh, ta je bosa. Reinstall in postavitev /etc ter ostale vsebine iz arhiva "zdravega" sistema (to je normalno, ker se ti rootkiti lahko dobro zažrejo v sistem).
Popravki, pa analiza loga ter preprečitev istega vdora, pa ne, saj je "linux" dovolj varen.

Azrael ::

Res in to je zelo žalostno.

Žal tudi razno raznih vanabe Linux "strokovnjakov" ne manjka in jih je vedno več, bo kmalu vseeno ali Lin ali Win, da mašina vseselo smeti in spama po netu.
Nekoč je bil Slo-tech.

Zgodovina sprememb…

  • spremenil: Azrael ()

fiction ::

Hotel sem samo reci, da odprava napake ni dovolj, ampak je kljub temu potrebna tudi ponovna namestitev (ce nisi siguren kaj vse je bilo
spremenjeno, ko je napadalec imel kompletno kontrolo nad sistemom).
(*) Ce znas tocno rekonstruirati kaj se je dogajalo, potem tudi ves kako se je zgodil vdor in kaj je bilo spremenjeno in lahko
samo to popravis.

Reinstall ti pomaga do te mere, da namestis nove verzije programov (pri katerih so znane varnostne luknje po moznosti ze zakrpane),
ce je nekdo uporabil nek 0-day exploit, si pa itak screwed. V takem primeru ti pomaga samo tocna analiza incidenta
in potem itak najbrz lahko uporabis (*).

In Extremis ::

Security utopia...

Ubuntu
Gentoo

Matevžk ::

Hm.
Pri tisti ubuntujevi stvari sem skoraj prepričan, da je bil problem v FTP-ju. S tem so res problemi (vsaj na Unix sistemih sem že večkrat slišal o tem).
lp, Matevžk

kekz ::

Hm, jaz sem včasih pri linux mašincah, ki so najbolj izpostavljene in nameščene kot firewall uporabljal kakšen ekzotičen proc, npr. alpha.
Programi niso binarno kompatibilni!
Poleg tega nimam gor nič od development okolja. Niti danes na x86!

Nekoč je en sodelavec potem namestil gor squid (web proxy) in dal preveč enostavno geslo za nepriviligiran squid account, pa sem hitro dobil gor enega nepridiprava z dictionary attack na ssh.

Potem sem raziskoval, kaj je falot počel in zraven mi je šlo na smeh, ker mu očitno ni bilo dosti jasno. Nakopiral je nekaj sorsov, pa mu je prevajanje javljalo:
-bash: make: command not found
-bash: gcc: command not found
...

Pa je nakopiral gor C prevajalnik, ki mu je pri zagonu javljal:
-bash: cannot execute binary file
(alpha pač ni x86 kompatibilna)

Sploh ni vedel, kaj ga je doletelo... :D

fiction ::

No ja, to se meni zdi bolj "security-through-obscurity".
In ce nimas development okolja to ponavadi skoduje bolj tebi (razen tega,
da vse skupaj zaseda manj prostora na disku) kot pa ostalim.
Kako potem recimo skompajlas nov kernel, ce ga kdaj rabis?
Ga preneses z druge masine ali kaj?

Resen napadalec se ne zanasa na prevajanje zadev pri tebi (med drugim to sari po prevecih
fajlih kar se da lazje odkriti, da ne govorimo o tem da bi forenziki lahko
tako nasli med izbrisanimi zadevami izvorno kodo kaksnih private exploitov).
In glede druge arhitekture: hacker lahko uporabi gcc za crosscompilanje in
pri sebi na x86 zbuilda binarye za alpho, ce ze nima sam dostopa do take masine.

kekz ::

Imam posebej razvojno mašino za kompajlanje in vse take vragolije delam tam.
Sicer zadnje čase itak uporabljam mini embeded računalnike v ta namen, ki sploh nimajo diskovja ampak flash, pa je prostor zelo omejen, tako da je to dodatno dober pristop.

Če hočeš kompajlati za alfo, moraš to najprej poznati (oz. vedeti, da sploh obstaja). Glede na veliko razširjenost v Slo. (še vpliv naveze Iskra Delta - DEC), je kar neverjetno, kakšna eksotika je to v svetovnem merilu. Ko sem v preteklosti še gonil druge OSe na alphah, in sem od profi velikih svetovnih softverskih hiš želel določene programe za alpho, so me po večini vsi samo debelo gledali.

Sicer je bilo pa to edinkrat, da so mi vdrli na tako trivialen način (da so našli nepriviligirano geslo).
Imam nastavljene tudi druge zaščite. Doživel sem tudi že vdore skozi bugast sendmail in php. Nikoli niso imeli dovolj pravic za kompromitacijo sistema in vedno sem vedel, kaj točno so počeli na sistemu.
Žal pa je bil izvor vedno tudi že iz pohekanega sistema (tudi iz nekaj eminentnih slo. firm), tako da mi je pravi vir ostal prikrit. Od CERTa pa itak nikoli ne dobiš povratne informacije na prijavo.

Kaj češ. Vdori se dogajajo in če imaš na grbi nekaj 100 strežnikov iz nekaj 10 firm, se zgodijo tudi tebi. Zato je treba biti pripravljen in imeti dobre filtre in beleženje.
Je pa res, da zaposlenim dostikrat ni všeč, da imamo zabeležen vsak konekt na/iz Intertneta. Sem moral že nekajkrat poslušati, da sem hujši od policije. >:D

Zgodovina sprememb…

  • spremenilo: kekz ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft prodaja Linux (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
969038 (5704) 'FireSTORM'
»

ThePirateBay se je vrnil

Oddelek: Novice / Varnost
328073 (6602) Tilen
»

Microsoft praznuje 30 let (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
687343 (5485) Jeebs
»

Kdo stoji za mail386.com? (strani: 1 2 )

Oddelek: Novice / Zasebnost
6813400 (13400) Majk
»

Kratke novičke strica Tuxa

Oddelek: Novice / Ostala programska oprema
101664 (1664) denial

Več podobnih tem