Hi, On 14 Feb 2002 at 0:03, Thomas Templin wrote:
Hast Du einen Überblick wie lange es bis zu einer penetration braucht und welche Mechanismen/Lücken diese Scripte nutzen Input .... lechz
am 29/30.12.2001 wurde der Rechner penetriert. Offenbar scheint die Vorgehensweise die zu sein, daß von anderen übernommenen Rechnern Scanns nach verletzbaren Systemen durchgeführt werden. Werden verletzbare Systeme gefunden werden deren IP Adressen (vermutlich) an andere Stellen weitergeleitet, die dann einen Angriff starten. Bei mir war es Bind (ich hab ja immer zu DJBDNS geraten, aber wer hört denn auf mich). Möglich war der Angriff, weil ich zwar korrekt alle Securityupdates eingespielt hatte, nach letzten Update vor der wöchentlichen Sicherung hat ein Mitarbeiter an dem DNS Server rumgespielt, und danach ein Restore (von der letzten Sicherung die noch die verwundbare Bind Version beinhaltete) durchführte. Diese Fehlerquelle ist mittlerweile eliminiert (angepasste Backup Strategie). Nach der erfolgten Übernahme wurden einige Systembefehle ausgetauscht (ps, netstat, ls, etc.) das Anmelden wurde nciht mehr mit "login" gemacht, sondern mit "/dev/ptya10", vermutlich wurden dabei Passwort/Usernamen Kombinationen gesammelt. Es wurde ein fremder SSH Daemon (nicht per Inetd) gestartet. Es loggten sich regelmäßig Fremde von IP Adressen in ganz Europa ein (Italien, BRD, AT, Skandinavien), wobei ich nicht sicher sagen kann, ob die IP Adressen nicht manipuliert wurden. Man loggte sich als User "skyrix" ein, die installierte SSH gab so aber root rechte frei. Peinlich ist natürlich, daß trotz des Dilletantismus der Angreifer das bis Anfang Februar nicht auffiel (ich habe ja immer gesagt, daß man keine billigen Win Leute an die Rechner lassen darf, aber wer hört denn auf mich). Sowohl an den Logs hätten die ssh Zugriffe auffallen müssen (habe ich erwähnt, daß das ein DNS Server ist, der nicht über das Netz gewartet wird? Bestenfalls Telnetzugriffe von internen IP Adressen hätten aufscheinen dürfen, es war nicht einmal eine SSH installiert). Aber auch bei einem "normalen" Login per Serieller hätte ein "ps" gezeigt, daß nicht "login" läuft sondern eben ptya10. Fazit: Menschlichses Versagen führte zu dem Compromise. Wenn der Angreifer aber etwas besser gearbeitet hätte (nicht loggen der ssh Zugriffe, obwohl die auf einem normalen System eher nicht augefallen wären; Maskieren des Loginprogramms; Löschen der eingespielten Dateien), wäre dieser Angriff sicherlich kaum zu entdecken gewesen. Aufgeflogen ist es, als der Admin informiert wurde, daß von unserem System aus (vermutlich) ein Rechner in der Schweiz gehackt wurde. Dort ist der Angriff auch nur aufgefallen, weil der Angreifer das System zum Absturz brachte (Da zeigt sich wie gut Linux ist, wäre ein Windowsrechner abfgeschmiert hätte man sich nichts dabei gedacht, bei einem Linuxrechner ist ein Absturz immerhin eine Untersuchung wert.), dort war eine nicht aktuelle SSH Angriffspunkt. Gegenwärtig durchforste ich die alten (und neuen) Logs um die Admins der betroffenen Systeme zu informieren. Offenbar scheinen die übernommenen Systeme per SSH Informationen auszutauschen. Nach der Neuinstallation erfolgten einige vergebliche Zugriffsversuche per ssh, danach kam offenbar der Übeltäter selbst und versuchte neuerlich Schwachstellen zu finden (ssh crc fehler scanns etc). Im Moment ist das recht schwierig, weil sehr viele Spammer nach einem Fehler eines SMTP Servers scannen, der offenbar ein offenes Relaying ermöglicht. HTH Tom