В блоге Лаборатории Касперского появилась заметка (http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa... с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu (http://en.wikipedia.org/wiki/Duqu). Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома.
Судя по всему управление машинами было получено в результате подбора пароля для пользователя root, которому был разрешён вход по SSH. Об этом свидетельствует длительная череда неудачных попыток входа, окончившихся удачным проникновением в систему. Из всей активности злоумышленников вызывает вопрос операци...URL: http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa...
Новость: http://www.opennet.ru/opennews/art.shtml?num=32437
> Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.Да все проще. Центос ломать одно удовольствие: там обновления безопасности по году не приходят.
Не понимаю, зачем его где-то вообще юзают. Все, кому нужен бесплатный рхел без гемора, уже давно ушли на SL.
Можно подумать что у hardhat'а какой-то особый ssh.
Да, есть маленько. А еще у них ядро особое.
> Да, есть маленько.И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
SELINUX
> SELINUXВы что, блондинка? Или зачем тут капс? Кроме того, если уж хост взломали - значит он не помог и теория о том что это очень круто не подтвердилась естественным путем.
Гадайта гадайте, вот еще вариант - может как в 99.9999999% всех остальных случаев пароль рута был "777" ?
> Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост
> взломали - значит он не помог и теория о том что
> это очень круто не подтвердилась естественным путем.А еще был опровергнута теория о том, что *nix - это защищенные системы.
> А еще был опровергнута теория о том, что *nix - это защищенные системы.А вот это как бы это зависит от метода взлома. А то может и правда подобрали суперпароль "777" с 8й попытки. Таким методом любую систему можно взломать :)
> А еще был опровергнута теория о том, что *nix - это защищенные
> системы.Вообще-то, сверх защищённые. За пару минут можно закрыть так, что и сам не попадёшь. Но это от глупости не защищает.
> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например, уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина, хотя в мейнстриме это добавили где-то после 5.0.
>> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
> Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например,
> уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина,
> хотя в мейнстриме это добавили где-то после 5.0.Очень полезно пихать в песочницу рута.
> Очень полезно пихать в песочницу рута.(Бес)полезно для рута == (бес)полезно для всех остальных юзеров?
> Очень полезно пихать в песочницу рута.А зачем нужен рут в песочнице? Чтобы дети могли "поиграть в сисадмина"? :)
Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли, так и ладно, не в музей же попали.
> Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли,
> так и ладно, не в музей же попали.Journal там пока что не внедрили, так что без шансов.
>> Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли,
>> так и ладно, не в музей же попали.
> Journal там пока что не внедрили, так что без шансов.А что бы это изменило?
Никто бы даже не узнал о взломе, очевидно.
> Никто бы даже не узнал о взломе, очевидно.Да, на системах с syslog о взломе можно узнать только если повезет.
Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный принтер с рулоном бумаги.
> Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный
> принтер с рулоном бумаги.Получится такой аналог Journal в стиле прошлого века.
P.S. Кстати, тут пробегала инфа, что хакеры научились удаленно поджигать принтеры, гоняя их в некорректных режимах =)
> Получится такой аналог Journal в стиле прошлого века.Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно.
> Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно.До тех пор, пока хакеры не начнут их поджигать.
сколько нарушителей и за сколько лет поймали, если не секрет?
> принтер с рулоном бумаги.Прочиталось как с рулоном туалетной бумаги, извините :)
> Прочиталось как с рулоном туалетной бумаги, извините :)Туалетную утащат )))
> А что бы это изменило?Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.
Впрочем, настоящие ценители syslog и необновленных центосов, как правило, презирают удаленное логгирование (неудивительно, с такой-то реализацией, как в syslog).
> Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец может назваться Апачом и писать в лог от его имени.
>> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)
> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)Да и незачем. Смысл записи во много определяется ее контекстом. А нужный контекст обеспечить - не проблема.
>> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)
> Да и незачем. Смысл записи во много определяется ее контекстом. А нужный
> контекст обеспечить - не проблема.В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.
> дополняй, никуда не денется. В том числе, от анализатора логов.А что помешает хакеру убрать ее втихарика без палева?
>> дополняй, никуда не денется. В том числе, от анализатора логов.
> А что помешает хакеру убрать ее втихарика без палева?Отсутствие прав (если ещё не рут, а только пытаеццо).
> Отсутствие прав (если ещё не рут, а только пытаеццо).Ну так если успешно попытается - права будут. У поттеринга он может разве что целиком все грохнуть, но настолько эпичная диверсия является вопиющим признаком что на машине хакер. В случае обычных логов можно втихушку вытерить записи о себе любимом и все, комар носа не подточит. Кроме разве что случая когда есть ремотный сервер, на который впрочем просто так тоже никто не полезет сравнивать лог с локальным.
>> Отсутствие прав (если ещё не рут, а только пытаеццо).
> Ну так если успешно попытается - права будут.Вот пока он будет пытаться, его и засекут. Если за машиной будут следить только полтора землекопа, и те исключительно вручную (обычно это означает раз в неделю залогиниться и глянуть top), то понятно, можно много чего пропустить.
И я молчу про то, что тот же syslog надо по-хорошему на другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё кроме приёмника логов и SSH ничего нет. :)
> Вот пока он будет пытаться, его и засекут.Или не засекут, в зависимости от мастерства хакера и админа.
> Если за машиной будут следить только полтора землекопа, и те исключительно
> вручную (обычно это означает раз в неделю залогиниться и глянуть top),
> то понятно, можно много чего пропустить.Ну, можно посадить десяток китайцев самолично пакеты раскидывать, но их кормить надо и скорость в PPS'ах так себе :)
> И я молчу про то, что тот же syslog надо по-хорошему на
> другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё
> кроме приёмника логов и SSH ничего нет. :)Ага, только мутная активность в ssh может означать и какой-то race condition в этом самом ssh. Тогда вполне себе поломают.
> Ага, только мутная активность в ssh может означать и какой-то race condition
> в этом самом ssh. Тогда вполне себе поломают.Эта возможность была озвучена, так как она возможно, но не слишком вероятна. А вот на подбор ламерского пароля как раз похоже. :) Хотя, конечно, зарекаться никогда нельзя.
> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.А зачем ее куда-то девать? Достаточно накидать туда еще пару сотен тысяч таких же записей с разными айпишниками и разными путями, и все, хрен кто что поймет.
>> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.
> А зачем ее куда-то девать? Достаточно накидать туда еще пару сотен тысяч
> таких же записей с разными айпишниками и разными путями, и все,
> хрен кто что поймет.Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть
> из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.Еще раз: лог заполняется не мусором, а вполне определенными записями, соответствующими тем самым паттернам. В результате даже на выходе анализатора логов будет огромная куча ложной информации, неотличимой от единичных истинных записей.
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть
>> из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.
> Еще раз: лог заполняется не мусором, а вполне определенными записями, соответствующими
> тем самым паттернам. В результате даже на выходе анализатора логов будет
> огромная куча ложной информации, неотличимой от единичных истинных записей.И как вы собираетесь подделывать логи?
Вот вам access-лог Apache. Имеем отметку времени, IP-адрес, GET-запрос, UA, ну и что там админу ещё захочется видеть. Как вы забьёте ложной информацией первые записи, которые могут послужить индикатором проникновения, если они появляются в журнале по определению ДО того, как вы получите возможность что-то сделать? Будете заранее загаживать логи с других IP-адресов? - это всего лишь покажет: а) что атака была по факту начата раньше; б) что в access-логах действительно есть что-то ценное, и уж тогда они будут проанализированы куда пристальнее. Повторюсь, от анализатора логов это НЕ СПАСЁТ.
Ну а если у вас есть возможность непосредственно изменять логи, то это уже совсем другой разговор.
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов с разных айпи, отличая где там фэйк а где правда :)
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,
> Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей
> в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов
> с разных айпи, отличая где там фэйк а где правда :)В таком случае фэйковые логи по определению будут идти _после_ "реальных". Этого вполне достаточно, чтобы выделить истинных виновников. Может быть fail только если ротация с удалением старых логов происходит по размеру файлов, но тут уж извините, мешать стрелять себе в ногу никто запретить не может. :)
> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.Причём тут верить или не верить. Главное зарегистрировать хронологию событий. Очень сложно произвести даже попытку взлома без явных вопиющих следов, оставленных ещё до вторжения.
> Главное зарегистрировать хронологию событий... которых не было.
Любой бот может завалить лог гигабайтными потоками "какбэ событий", в которых реальные факты просто утонут.
> Journal там пока что не внедрили, так что без шансов.что за Journal, простите??
Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке - grep xxx /dev/sd*?
http://www.opennet.ru/base/sys/recover_file10.txt.html
testdisk погугли )
foremost
спасибо всем.
> Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо
> фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке -
> grep xxx /dev/sd*?photorec, ext3grep.
Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу и в мусор.
Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно версию OpenSSH. Из этого можно сделать какие-то выводы?
> Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009
> какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно
> версию OpenSSH. Из этого можно сделать какие-то выводы?Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?
> Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?Если с 2009 года не обновляться, как это любят делать ценители центоса - запросто.
В последнем CentOS 5.x пакет openssh-4.3p2-72.el5_7.5.i386.rpmВ 4.3p2-10 была исправлена ошибка в GSSAPI. В заметке лаборатории касперского нет упоминания того, какая версия была до взлома. Очень похоже, что ниже 4.3p2-10 и сломали именно через эту уязвимость, хотя и утверждалось, что она не эксплуатируема.
Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu. Кто-то перехватил управление ботнетом ? Или управление ботнетом изначально осуществлялось с этих левых хостов ? Как-то недальновидно, потерял хост, потерял управление всем ботнетом ?
При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" Uplink ;)
> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
> Uplink ;)Это что-то типа fate?
>> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
>> Uplink ;)
> Это что-то типа fate?
>пользователя root, которому был разрешён вход по SSHЧто за дурь?!
По моему все до единого сисадмины знают, что такой доступ верх безалаберности. Все книжки и руководства исходят криком: "Не делайте это!"
Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
...Что же - кто-то оказался в итоге умнее.
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.Дефолтовые настройки меняет мизерный процент сисадминов. Даже если в системе вход под root запрещён многие (если не большинство) хостинг-компании для арендованных серверов после заливки системы дают клиенту root-овый пароль и меняют sshd_config.
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.
> Все книжки и руководства исходят криком: "Не делайте это!"
> Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
> ...Что же - кто-то оказался в итоге умнее.Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.
>Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ? Вы может мне еще скажите что логин по ssh разрешенный только для пользователя в виде 8x1UsNxKtW8B и пароль не менее простой тоже маразм? А как насчет knockd?
на каком сервере? IP у вас тоже генератором паролей выбирается? :)
>на каком сервере?На моем.
>IP у вас тоже генератором паролей выбирается? :)
Конечно нет. Что за бред пишете и, главное, зачем?
это был сарказм как бы
просто, пытался понять, зачем генерить случайное имя для пользователя? если параноить, то можно добавить эту часть к паролю, а имя оставить обычным удобочитаемым
>Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ?Да, дурь. Нормальный пароль не подберут в обозримом будущем. Сам пароль передается не открытым текстом. Если все же увели с юзерского компьютера root пароль от удаленной системы, то уведут и ваши "8x1UsNxKtW8B" и такая защита будет бесполезна. Опять же, если есть удаленная уязвимость, то запрет на root-логин едва ли поможет. Ко всему прочему, ходят по ключам, как правило, а не по паролям.
Объясните, мне, глупому, чем поможет запрет логина от рута?
>Объясните, мне, глупому, чем поможет запрет логина от рута?Тем, что
1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;
2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.
А вы сидите и tail'ом логи смотрите 24х7
> За это время в системе остается куча следов.А откуда следует что их останется больше чем при получении рута? Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига. Там даже нагадить толком не выйдет. И чего? :)
> Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига.Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.
> Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с
> рутовыми правами.А в случае лени и паранойи надо виртуалки юзать. Из них вы уже тоже умеете вылезать? :)
> А в случае лени и паранойи надо виртуалки юзать. Из них вы
> уже тоже умеете вылезать? :)Такой шанс бывает редко - для xen или vmware такие дыры находят раз в несколько лет.
В отличие от контейнеров, которые вскрываются большинством ядерных дырок.
>Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.Классная пьянка. Мало что мой логин в виде "8x1UsNxKtW8B" увели и сообразили что это логин, так уже и контейнер вот-вот сломают. Что же мне делать?
> 1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой
> системе разный, в отличие от root;аксиома а:
не зависимо от того, включен или выключен логин от рута, ssh ведет себя одинаково, а следовательно злоумышленник не знает включен или выключен логин от рута.аксиома б:
при грамотном пароле, простой перебор будет длиться годами.аксиома в:
при настройке какой-нибудь файлтубан, атакующий замучается менять ип-адреса, а разрешение логина один раз в три секунды только подтвердит аксиому б.> 2)получение логина и пароля для удаленного входа - это полдела, надо еще,
> получив доступ к серверу, провести кучу манипуляций для получения рутового доступа.
> За это время в системе остается куча следов.Если у вас увели логин и пароль от удаленного хоста, то уведут и рут пароль, если он у вас есть, конечно.
Защищать нужно данные там, где они наиболее уязвимы, и как показывает практика, это юзерско-админские компы.
Бред какой-то.> юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;
Не понял, при чем тут разные системы, и еще у вас что, на разных машинах одинаковый рут-пароль?
> 2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.
Чтобы это работало, надо запоминать рутовый и юзерский пароль в разных головах, или (в случае цифрового сейфа/пасс-менеджера) на физически разных компах, находящихся под ответственностью разных людей.
Иначе, утащив юзерский пароль, за компанию утащат и рутовый, и это не будет иметь никакого смысла. И это практически неюзабельно для тех серверов, у которых 99% обслуживания делается из-под рута (т.е. большинство).
> Да, дурь. Нормальный пароль не подберут в обозримом будущем.Ага, ага.
>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.
> likely answer is that the root password was bruteforced.Вообще, хреновый какой-то пароль если за 8 попыток подбирается. Толи вместо админа полный ламерюга, толи что-то тут не чисто.
> Толи вместо админа полный ламерюгаРазумеется, рутовый логин же был разрешен.
> Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем
> не проверяемые кроме автора.Вы действительно так считаете? Тогда Duqu идет к вам!
Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. По крайней мере это справедливо для СentOS, Rhel, Debian. Чего не скажешь о фрюше.
>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.Нормальные админы эту возможность убирают сразу после создания пользователя, который может получить рута.
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.зачем? не понимаю, выключить авторизацию по паролю и все
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.А какая глобальная разница? Нет, конечно от пароля 777 на руте это спасет, но если пароль нормальный - его и за 100 лет не подберут.
Это не так. Как раз доступ руту надо явно разрешать. Что, видимо, и было сделано.
>>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.Нормальные оси имеют это из коробки.
"Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома."А в статье же говорится совсем по-другому -
"Interestingly, on Linux it is sometimes possible to recover deleted files; however, in this case we couldn’t find anything. No matter how hard we searched, the sectors where the files should have been located were empty and full of zeroes."
И тут же после этого
"By bruteforce scanning the slack (unused) space in the ‘/’ partition, we were able to recover parts of the ‘sshd.log’ file. This was kind of unexpected and it is an excellent lesson about Linux and the ext3 file system internals; deleting a file doesn’t mean there are no traces or parts, sometimes from the past."
> И тут же после этого
> "By bruteforce scanning the slack (unused) space in the ‘/’ partition, we
> were able to recover parts of the ‘sshd.log’ file. This was
> kind of unexpected and it is an excellent lesson about Linux
> and the ext3 file system internals; deleting a file doesn’t mean
> there are no traces or parts, sometimes from the past."Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали, может им было все-равно, ведь кто-то должен кормить/учить касперовцев :)
> Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведалиНу как бы сами же "касперцы" и намекают на это когда анализируют .bash_history. Тот факт, что проникнув на чужую машину "нехорошие" ребята (если это, конечно, их bash_history) вызывают man и команды с ключом --help (вместо того чтобы сделать это хотя бы у себя локально, в крайнем случае), а также ставят pico и/или nano, чтобы поправить несколько символов в конфиге (там vi что ли нет?) не говорит ни о высоком уровне грамотности, ни об осторожности (хотя может просто излишне самоуверенные).
Не сработал простой метод, попробовали другой и нашли данные, что не так ?
Вот что то я не понял. Какой смысл в этой новости? Больше на какие то сплетни походит во дворах, бабушек. "Вот воры залезли, через дверь... И как они её открыли. И не выломали,.... И почему они потом закрыли дверь, а не оставил открытой." Да захотели и обновили блин! ))) Может им воспитание не позволило работать на старом ПО."и перед первым удачным входом был восьмиминутный перерыв"
Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.
> "и перед первым удачным входом был восьмиминутный перерыв"
> Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.Ага подбирал пароли не скриптом, а вручную, пописал и сразу правильный пароль подобрал.
Там слишком много совпадений и странных вещей. Я склоняюсь к тому, что в OpenSSH 4.3 из CentOS криво пропатчили дыру в GSSAPI (http://secunia.com/advisories/22173/). И вообще с этой дырой в GSSAPI мутная история, вначале писали что remote root, потом DoS, потом что не эксплуатируется, а потом замяли как-то, но исправления выпустили.
Ну а почему нет? Вот у меня бывает умные идеи или в толчке или на курилке приходят весьма неожиданно!.)))))))
> Омг... Пописять/покурить/пофапать ходил хакер.Это период цикла работы брутфорс скрипта.
Вот к нам тоже, каждый день, аккурат с 13:00 до 14:00,
примерно раз в 7 минут по 4 подхода долбят. :)
Я их уже логи SSH как телевизор смотрю... Всё думаю,
мож чего нового придумают, ан-н-н нет:root, RooT,rO0t, r00t, ruut, ryyt, admin, administator,
god, g0d, godroot, rootgod, rootgood, rootgood, jedy,
veider, matrix, neo, trinity, ....
> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
> раз в 7 минут по 4 подхода долбит. :)А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>> раз в 7 минут по 4 подхода долбит. :)
> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)Ну вообще-то авторизация только по ключам и рута низя.
Да и вообще, уже перенёс на другой порт...
Cкучно стало, в логах только записи крона... :(Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
на наличие PHPMyAdmin и стандартные страницы авторизации
и пароли от полулярных SMS.---
61.250.80.133 - - [27/Nov/2011:12:02:07 +0400] "GET /user/soapCaller.bs HTTP/1.1" 301 486 "-" "Morfeus Fucking Scanner"
95.110.225.52 - - [27/Nov/2011:22:28:28 +0400] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 415 "-" "-"
31.44.184.245 - - [27/Nov/2011:23:50:31 +0400] "POST http://myinfo.any-request-allowed.com/?strGet=get3294 HTTP/1.1" 301 480 "-" "-"
180.210.203.86 - - [01/Dec/2011:21:24:59 +0400] "GET /phpMyAdmin-2.11.2.2/scripts/setup.php HTTP/1.1" 301 518 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:57 +0400] "GET /websql/scripts/setup.php HTTP/1.1" 301 497 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 301 509 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:54 +0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:55 +0400] "GET /web/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:56 +0400] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 301 505 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:48 +0400] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu"
200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"
61.183.23.146 - - [01/Dec/2011:20:04:49 +0400] "HEAD /manager/html HTTP/1.0" 301 225 "-" "-"
180.210.203.86 - - [01/Dec/2011:21:23:41 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:39 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:41 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu"DLL-ку какую-то искали
200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"
Такая же фигня. Я вот думаю создать, что ли, пару из этих файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний вид оригинала (с намеком, например, на возможность root доступа к базам - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban как-то не так смешно.
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.180.0.0.0/2 можно смело банить :)
13x.0.0.0, 6x.0.0.0 , 3x.0.0.0 - самые ботнетцкие адреса.Видимо в Южной Америке и Азии самые ацтойные админы. :)
> 180.0.0.0/2 можно смело банить :)
> 13x.0.0.0, 6x.0.0.0 , 3x.0.0.0 - самые ботнетцкие адреса.Тогда уж советую:
-A INPUT -m geoip --source-country A1,AD,AE,AF,AG,AI,AO,AP,AQ,AW,AX -j DROP
-A INPUT -m geoip --source-country VN,MX,IN,TH,EG,PH,MK,KR,PK,TR,TW -j DROP
-A INPUT -m geoip --source-country CN -j DROP
-A INPUT -p tcp -m tcp --dport 137 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 138 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 139 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 445 -j CHAOS --tarpit
-A INPUT -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1 -j DROP
зачОтно :)
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.Эта идея существует уже давно и называется honeypot. Настоящие исследователи в области безопасности (а не такие, как у касперского) создают целые сети таких хостов и изучают по ним поведение хацкеров.
>>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>>> раз в 7 минут по 4 подхода долбит. :)
>> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
> Ну вообще-то авторизация только по ключам и рута низя.
> Да и вообще, уже перенёс на другой порт...
> Cкучно стало, в логах только записи крона... :(
> Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
> на наличие PHPMyAdmin и стандартные страницы авторизации
> и пароли от полулярных SMS.Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое время включить вот это http://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает тоже не слабо.
> Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое
> время включить вот это http://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
> Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает
> тоже не слабо.По-моему, эту штуку удалили из ядра лет пять назад, как минимум.
>"Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв"Оригинал гласит (да и по логам в оригинале видно):
>Note how the "root" user tries to login at 15:21:11, fails a couple of times and then 8 minutes and 42 seconds later the login succeeds.Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды после начала подбора. И это, по их версии, как раз лишний раз подтверждает теорию подбора пароля:
>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.
> Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды
> после начала подбора. И это, по их версии, как раз лишний
> раз подтверждает теорию подбора пароля:Перерыв был, но не 8, а 3 минуты: по скриншоты лога отлично видно, что последняя неудачная попытка была 15:27:12, а затем вход в 15:29:53
Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый способ доказательства важности своевременного обновления. Что же касается CentOS то лично я, не считаю ее операционной системой вообще. Не понимаю, почему все за нее так держаться, особенно если учесть периодичность выхода обновлений.
> Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый
> способ доказательства важности своевременного обновления. Что же касается CentOS то лично
> я, не считаю ее операционной системой вообще. Не понимаю, почему все
> за нее так держаться, особенно если учесть периодичность выхода обновлений.Долгое время это была RedHat для бедных, все работало как часы. Но со времен когда Oracle выпендринулся со своим клоном и руководство RedHat решило начать сопротивление все покатилось под откос. Вероятно, прекратили все негласные контакты с Centos, наряду с сливанием индивидуальных патчей ядра и прочими пакостями.
Всё просто. Алгоритм взлома:1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH (< 4.3p2-10) под CentOS.
2. При обнаружении используется публично не засвеченный эксплоит.
3. Обновляем openssh, чтобы другие скрипты, работающие на других узлах ботнета, не сломали ещё раз.
> Всё просто. Алгоритм взлома:
> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
> (< 4.3p2-10) под CentOS.
> 2. При обнаружении используется публично не засвеченный эксплоит.Если читал внимательно, то рута получили обычным бутфорсом.
>> Всё просто. Алгоритм взлома:
>> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
>> (< 4.3p2-10) под CentOS.
>> 2. При обнаружении используется публично не засвеченный эксплоит.
> Если читал внимательно, то рута получили обычным бутфорсом.Это вам так кажется :-) Вначале разведку провели, а уже потом тяжелая артиллерия в бой вступила.
Мне не кажется, читаю то, что пишут."В качестве наиболее вероятного способа проникновения в систему рассматривается результат
"атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH."
перебор за 8 минут???
у меня что-то на это очень много времени уходило, скорее всего была использована уязвимость, возможно перехват, подбор из того что перехватили, перебор для отвода глаз
У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность
Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa и dsa. Эти криптосистемы различаются как кислое и мягкое. Подозреваю, что произошел существенный прорыв либо в разложении двусоставного числа на множители (rsa) либо в отношении вычисления дискретного логарифма (dsa). По умолчанию в 5-й версии используется rsa. Если в 4-й что-то другое, это означает rsa под контролем. В смысле, что реально современные математики совершили подвиг. Если же в 4-й тоже использовалась rsa, можно подозревать, что математика пока топчется на месте, но в говне pkcs11 -- ВСЕ КЛЮЧИ, ЧТО ВЫ ГЕНЕРИТЕ, СЛИВАЮТСЯ В ФБР. Итак, если в 4-м ssh криптосистема по-умолчанию не есть rsa, это значит прорыв в математике, сравнимый с высадкой на Марс. Если же там таки rsa, это всего лишь спецоперация подлога протокола.
ИМХО, хакеры не хотели, чтобы кто-то "переимел" систему за счёт какой-то незакрытой уязвимости, и честно обновляли OpenSSH. Ну ещё и щелчок по носу админам неплохой, а куда ж взломщикам без этого?Но это лишь ИМХО. :)
BTW, насчёт 5.8p1 => p2, в release notes есть такое:
* Fix compilation failure when enabling SELinux support.
Это укладывается в теорию выше: возможно, до этого openssh скомпилировали без поддержки SELinux, а после обновления до 5.8p2 смогли включить обратно. Так как уровень взломщиков был невысокий, то нет ничего удивительного в том, что они не стали сами заморачиваться с исправлением проблем компиляции.
А банальный firewall когда успели отменить ?
и не тебе брутфорс, и не тебе не известные эксплоиты для ssh ))
> А банальный firewall когда успели отменить ?
> и не тебе брутфорс, и не тебе не известные эксплоиты
> для ssh ))Фаервол не спасёт от медленного перебора. Судя по времени подбора, там банально был простой пароль, типа qwerty123. Так что админы сами себе злобные буратины, на что и тухлая версия OpenSSH как бы намекает.
(ну да, да, некоторые ещё port knocking используют - пока однажды не столкнутся с ситуацией, что из-за него не получается пробиться легитимному юзеру)
> А банальный firewall когда успели отменить ?
> и не тебе брутфорс, и не тебе не известные эксплоиты
> для ssh ))Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя, который ввёл штатный пароль рута?
>> А банальный firewall когда успели отменить ?
>> и не тебе брутфорс, и не тебе не известные эксплоиты
>> для ssh ))
> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
> который ввёл штатный пароль рута?на столько банальный что не светит на весь мир ssh порт, что сводит к минимуму бурутфорс и использование эксплоитов.
>>> А банальный firewall когда успели отменить ?
>>> и не тебе брутфорс, и не тебе не известные эксплоиты
>>> для ssh ))
>> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
>> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
>> который ввёл штатный пароль рута?
> на столько банальный что не светит на весь мир ssh порт, что
> сводит к минимуму бурутфорс и использование эксплоитов.А вот это в 99% случаев - глупость. Ибо лишает самого админа возможности оперативно что-то починить. SSH надо прикрывать фаером, но не полностью, а только ограничивать количество TCP-подключений с одного IP-адреса в единицу времени.
Не, надо так:
После того как стало понятно, что это попытки взлома, перенаправлять весь этот трафик на сервера отдела К9, пусть работают (шутка, у них и так работы много!).
Перенаправлять трафик на какой нибудь HoneyPot исследовательский, пусть ребята учатся друг у друга (если это конечно не ученики по заданию учителя тренируются ;)
Главное самому не "спалится", когда будешь заходить "поадминить"!
Этот прорыв в математике совершили еще до 21 века советские ученые. Кроме того, не советую использовать встроенные средства аппаратной криптографии, которые доступны на ителловских платформах.
дайте ссылку пожалуйста...
Там в .bash_history прикольный команды, особенно улыбнуло iptables -F, а если политика DROP на INPUT ) Видно какеры какие-то.
Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш!