Ebbene si, i fatti stanno semplicemente in questo modo:

Un piccolo pc che stavo utilizzando per vari esperimenti e studio su java, mailserver etc.., non collegato alla rete aziendale, non protetto da nessun firewall, insomma, il classico pc che serve solo da studio, me lo sono ritrovato con diversi problemi; ma andiamo per ordine:

Su questa macchina, dietro ip pubblico, come servizi ci giravano solo ssh ed ftp, entrambi con le più semplici precauzioni possibili, tipo accesso per root ed utenti anonimi disabilitato, la porta di ascolto settata diversamente da quella di base etc..

Ora, dato che ogni tanto mi vado a guardare il log di auth, sebbene tutto sembrasse essere a posto, non so come dire, ho avuto la sensazione che ci fosse qualcosa di strano. Mi sono detto "al diavolo le solite paranoie" ed ho continuato a lavorarci. Poi (e anche qui non so come spiegarmelo e spiegarlo a voi) durante una semplice sessione di vim e qualche file sorgente, ho avuto la netta sensazione che ci fosse qualcosa di strano. Ripeto, non so dire il come e il perchè, ma avevo questa sensazione. Mi vado a ripescare i vari log, e ad un certo punto noto che auth.log anzichè essere gestito da syslogd, è gestito da un processo che si chiama kpcmgd.

Insospettito da questa cosa, cerco ovviamente questo servizio in ps ma senza risultato. Cerco questo processo in ogni posto e con ogni comando possibile, ma senza trovarne traccia sul pc in questione. Faccio delle ricerche con apt per cercare di capire se sia un nuovo servizio o similare, ma non ne trovo traccia. Fatte queste semplici operazioni preliminari, ricorro a google e ad un altro esercito di motori di ricerca, ma le uniche pagine che trovo sono un paio di link a pagine in una lingua incomprensibile (o sono in lingua nordica, tipo islandese, finlandese o altro) oppure come qualcuno mi ha suggerito (ma non ci credo tanto) sono pagine cifrate.

Provo a vedere se ci sono connessioni aperte, e mi ritrovo una marea di connessioni mediante la porta 5327 verso indirizzi che sembrano risalire a zone geografiche della korea. Provo a fare delle scansioni con rkhunter e con chkrootkit, ma non mi danno nessun risultato, nel senso che non trovano nulla di sospetto.

Detto questo, ciò che mi piacerebbe capire prima di radere a zero il pc (non che mi freghi tanto beninteso, ribadisco che è solo una macchina per studio personale)e ciò che mi auguro riuscirete a farmi capire, è che tipo di exploit, metodo, attacco o altro avrebbero usato per fare ciò.

Faccio ulteriore chiarezza su alcune cose:

Provando a fare un login e log out dal sistema, il file auth.log viene regolarmente aggiornato, e questo mi fa pensare che il tipo di compromissione sia particolarmente avanzato e completo, dato che ho evidentemente uno o più processi che non vengono mostrati da ps, ma che sono in grado di interagire con tutti i vari processi, programmi di base del sistema (semprechè anche questi ultimi siano ancora "sani").

Non ho preoccupazioni di sorta, ma sarei tanto desideroso di capire cosa e come è successo tutto questo, a prescindere dal fatto che tale macchina non era protetta praticamente da nulla.

Grazie in anticipo a tutti.

secondo me stanno usando la tua macchina come broadcast per smurf o dosnet...
me lo fa pensare l'alto numero di connessioni verso ip coreani...

ciao

secondo me stanno usando la tua macchina come broadcast per smurf o dosnet...
me lo fa pensare l'alto numero di connessioni verso ip coreani...

ciao

Ciao eclissi :)

Mi sta anche bene questa cosa, ma davvero (come credo sia lecito) sono incuriosito più dal "come" che dal "perchè". :)

Ciao eclissi :)

Mi sta anche bene questa cosa, ma davvero (come credo sia lecito) sono incuriosito più dal "come" che dal "perchè". :)
Ke distro c'era installata?
Provato a fare uno scan con programmini ke ti dicono se il software installato ha bug ecc...??
La maggior parte dei lamer fanno così. Programmino ke ti scanna trova le vulnerabilità(nel tuo caso punto sulla ftp :D )
trova l'exploit lo manda e 6 bucato!!!
Per quanto riguarda il log dovrebbe essere un rootkit ke si nasconde(anke se dai un lsmod)
nn si dovrebbe vedere!
Ovviamente sono solo ipotesi :ciapet: :ciapet:

Ciao

Ke distro c'era installata?
Provato a fare uno scan con programmini ke ti dicono se il software installato ha bug ecc...??
La maggior parte dei lamer fanno così. Programmino ke ti scanna trova le vulnerabilità(nel tuo caso punto sulla ftp :D )
trova l'exploit lo manda e 6 bucato!!!
Per quanto riguarda il log dovrebbe essere un rootkit ke si nasconde(anke se dai un lsmod)
nn si dovrebbe vedere!
Ovviamente sono solo ipotesi :ciapet: :ciapet:

Ciao
sicuramente è una strada che è possibile intraprendere...
cmq non serve essere macchine bucate per far parte di "cast" (i lameronzoli le chiamano così): basta rispondere ai ping... per far parte delle dosnet devi essere bucato (devi inviare pacchetti tcp malformati e bisogna essere root per farlo)

Ke distro c'era installata?
Provato a fare uno scan con programmini ke ti dicono se il software installato ha bug ecc...??
La maggior parte dei lamer fanno così. Programmino ke ti scanna trova le vulnerabilità(nel tuo caso punto sulla ftp :D )
trova l'exploit lo manda e 6 bucato!!!
Per quanto riguarda il log dovrebbe essere un rootkit ke si nasconde(anke se dai un lsmod)
nn si dovrebbe vedere!
Ovviamente sono solo ipotesi :ciapet: :ciapet:

Ciao

La distribuzione e' una debian. Per quanto riguarda i software, sono semplicemente sshd e proftpd. Io non credo che sia opera di "lamer", ma di gente competente e ciò mi induce ad essere curioso sulle tecniche utilizzate.
Io di certo non sono un sysadmin a livello guru, ma non uso linux da un paio di giorni ma da un pò di annetti, e sinceramente un tipo di compromissione del genere non l'avevo mai vista (c'è sempre da imparare :) ). Di sicuro è stato sfruttato come giustamente dici una falla di uno di quei software, e difatti mi tengo sempre aggiornato (ma non in seguito a questo), ma non sono riuscito a trovare una falla che possa portare a queste conseguenze.

Ciao eclissi, ciao maxithron. ;)

Secondo me quelle pagine che hai trovato con Google sono cifrate in qualche modo perché sono semplici caratteri ASCII, non mi sembrano sequenze Unicode come quelle che utilizza una lingua tipo il Coreano.
EDIT: anzi, io pensavo fosse un banalissimo ROT13, ma provando a decodificarlo con VIM mi restano sempre sequenze insignificanti di lettere.

Per quanto riguarda il problema con auth.log, non saprei suggerirti niente di serio, se non magari di scaricarti il live CD di Knoppix-STD (Security Tools Distribution) che è utilissimo in questi casi, e di farci qualche scansione con Nessus o con altri dei tanti programmi che quella live include proprio a questo scopo. Facci sapere, la cosa è "interessante". ;)

uno dei link, riporta ad una pagina che "sembra" per la pubblicità di scarpe ma...guardate cosa c'è scritto in alto a sinistra:


Hello SpamBots,
Please add the fake e-mail addressen on this page to your database. You can find more generated e-mail adresses if you follow the links on this size.

For the human visitors,
Please notify my when the complete works of William Shakespeare (Or a significant portion of it) appears on this site.

La parte in grassetto sembra rilevante, non trovate?

uno dei link, riporta ad una pagina che "sembra" per la pubblicità di scarpe ma...guardate cosa c'è scritto in alto a sinistra:



La parte in grassetto sembra rilevante, non trovate?

Sembra il codice di watergate :D

uno dei link, riporta ad una pagina che "sembra" per la pubblicità di scarpe ma...guardate cosa c'è scritto in alto a sinistra:



La parte in grassetto sembra rilevante, non trovate?


Mamma... Roba da romanzo di spionaggio.... :eek: :eek:

Cmq una cosa è certa: questi tizi non sanno per niente l'Inglese ;) :O

Avanzo una ipotesi: siamo sicuri che fra le pagine linkate e lo strano processo di maxithron vi una correlazione? Perché a quanto mi pare google ha trovato, in quelle pagine incompresibili, sono la stessa sequenza di lettere, nulla più... E vedendo l'alto numero di lettere accostate lì direi che quantomeno la probabilità di andare a beccare proprio quella sequenza non era così trascurabile... soprattutto se considerate che in giro per il web potrebbero esserci molte altre pagine simili... Rimane comunque un bel mistero... maxithron tienici quindi aggiornati: la cosa è interessante!

Piuttosto la cosa preoccupante è che su Google *non* ci siano pagine che parlano di quel processo, se non due pagine strane. La prima è sicuramente criptata, visto che in un college cristiano Americano non credo che ci vadano a mettere pagine in Coreano. :P
La seconda poi sembra contenere un messaggio in codice.
Insomma, solo due risultati ed entrambi sospetti... :wtf:

Ciao a tutti ragazzi. Ancora nulla di nuovo ma perchè al momento mi trovo a padova. Dovrei rientrare in ufficio la settimana prossima. Al momento quel pc è spento. Confermo la mia intenzione di non piallarlo prima di averci capito qualcosa. :)

Piuttosto la cosa preoccupante è che su Google *non* ci siano pagine che parlano di quel processo, se non due pagine strane. La prima è sicuramente criptata, visto che in un college cristiano Americano non credo che ci vadano a mettere pagine in Coreano. :P
La seconda poi sembra contenere un messaggio in codice.
Insomma, solo due risultati ed entrambi sospetti... :wtf:

A me cercare kpcmgd non ha alcun risultato, su google...

A me cercare kpcmgd non ha alcun risultato, su google...

é vero... Ora non da nessun risultato neppure a me... Come è possibile? :muro: :muro:

Anche a me, adesso... :wtf:
Forse aveva ragione maxithron, li hanno avvisati delle "opere di Shakespeare" e loro hanno rimosso le pagine.

Se cerchi kpcmg trovi al terzo risultato kpc media group ma non so quanto possa servire :D

...Mi vado a ripescare i vari log, e ad un certo punto noto che auth.log anzichè essere gestito da syslogd, è gestito da un processo che si chiama kpcmgd...


Come si fa a vedere se questa cosa capita anche a me?
Xwang

raga davvero strana questa storia :D fore un gg si riuscirà a venirne a capo :sofico:


cmq potreste segnalare i tool utilizzati? xkè potrebbe tornare utile a moti di noi, sorpatutto, grazie e ciaoo

te l'avevo detto maxi :O
tu non mi davi retta e ora la distro è infetta da maxithronite nella sua fase più acuta :p

Come si fa a vedere se questa cosa capita anche a me?
Xwang

uno dei più semplici è lsof ; una breve introduzione qui:

http://www.akadia.com/services/lsof_intro.html

Poi, "fuser", "ps", "netstat", "last" & co.

Personalmente, è la prima volta che mi capita una situazione del genere, con la dovuta precisazione che sul pc in questione non c'era praticamente nessuna sorta di protezione, ne firewall, ne le ultime e più aggiornate patch per i vari servizi che possono risultare più vulnerabili (in genere delle semplici regole di iptables e la dovuta accortenza nel configurare i servizi che si utilizzano sono 'tools' più che sufficienti.).

Ad ogni modo, per cercare di capire se fosse installato un rootkit ho usato chkrootkit ed rkhunter (ma questi, purtroppo, sembrano riuscire a riconoscere solo problemi di "lamer-livello").

uno dei più semplici è lsof ; una breve introduzione qui:

http://www.akadia.com/services/lsof_intro.html

Poi, "fuser", "ps", "netstat", "last" & co.

Personalmente, è la prima volta che mi capita una situazione del genere, con la dovuta precisazione che sul pc in questione non c'era praticamente nessuna sorta di protezione, ne firewall, ne le ultime e più aggiornate patch per i vari servizi che possono risultare più vulnerabili (in genere delle semplici regole di iptables e la dovuta accortenza nel configurare i servizi che si utilizzano sono 'tools' più che sufficienti.).

Ad ogni modo, per cercare di capire se fosse installato un rootkit ho usato chkrootkit ed rkhunter (ma questi, purtroppo, sembrano riuscire a riconoscere solo problemi di "lamer-livello").

Grazie,
ho controllato e il file è aperto da syslogd
Xwang

vedi se sono stati modificati i file sshd, ssh, login, ps ecc...
magari con stat che ti da data di creazione, modifica e ultimo accesso...
chkrootkit e rootkithunter ti possono segnalare processi che girano in memoria e che un ps "modificato" non ti fa vedere....
vedi pure se nella dir. /root/ o /tmp/ ci sono file nascosti sospetti...

A me capitò tempo fa, mi avevano "bucato" e messo un bot-irc... non mi faceva danno, teneva up un canale irc... solitamente lo fanno per passarsi roba warez...
bastardi...

Ciao :)

daro che l'argomento mi interessa :D
mi piacerebbe sapere quali sono le applicazioni o tool
per controllare il traffico di rete in accesso e uscita dal mio pc

un piccolo howto nessuno l'ha scritto

insomma bisogna sapersi difendere o se non altro
controllare :sofico:

daro che l'argomento mi interessa :D
mi piacerebbe sapere quali sono le applicazioni o tool
per controllare il traffico di rete in accesso e uscita dal mio pc

un piccolo howto nessuno l'ha scritto

insomma bisogna sapersi difendere o se non altro
controllare :sofico:

Beh io per monitorare le connessioni uso iptraf (poichè uso solo modalità testuale), altrimenti puoi andare sul più sofisticato con un IDS tipo snort.

Ho scaricato ed installato rootkit hunter, ho eseguito la scansione ed è tutto OK....
Ma è normale che ora, in firefox, ci sia sempre una connessione attiva all'indirizzo 62.177.200.5, corrispondente a mail.rootkit.nl? :mbe: :confused:

Inoltre, è normale che di tanto in tanto, sempre in firefox, si attivi una connessione a 64.233.183.99 (google), senza che io mi connetta a google o che ci sia una barra di ricerca di google nel sito che sto visitando? Sarà per la barra di ricerca integrata in firefox? :rolleyes:

Inoltre oggi m'è successa una cosa veramente inaspettata, mai successa: Gaim si è chiuso da solo, per ben 4 volte, e senza che apparisse un qualche messaggio che ne indicasse il crash... si chiudeva e basta. E non stavo facendo nulla di strano...

Ah, rootkit hunter l'ho scaricato dal sito http://www.rootkit.nl/... E' quello giusto, no? Non è che ho scaricato ed installato un clone maligno? :p


EDIT: le connessioni ai suddetti indirizzi permangono anche dopo la chiusura di firefox... :eek:

su che porte?

su che porte?
:wtf: Erano connessioni HTTP... sulla porta 80. Almeno questo è ciò che potevo vedere con Firestarter... ma forse la porta in uscita dal mio pc è un'altra, vero? Devo usare un altro strumento....

Comunque dopo aver installato rkhunter ed aver fatto la scansione, al successivo riavvio non mi partiva X :eek: E' successo che, per motivi ignoti, è cambiato il dispositivo del mouse, da /dev/input/mice a /dev/input/mouse0 :what:
Cmq lo stesso rkhunter, nella scansione, mi aveva detto di esaminare manualmente le directory /dev/.udevdb, /dev/.static e /etc/.pwd.lock. Non mi sembra di aver trovato nulla di strano... :boh:

Ah, ora la connessione a google c'è sempre, ma l'indirizzo ip è differente (fa comunque parte dello stesso range). :mc:

Prova a controllare con netstat -a se c'è qualche connessione sospetta di qaulche demone...
Inoltre io lancerei iptraf in background con registro su di un file di log e vedrei cosa mi registra.
Maaa un bell'esorcista no eh? :D

Prova a controllare con netstat -a se c'è qualche connessione sospetta di qaulche demone...
Inoltre io lancerei iptraf in background con registro su di un file di log e vedrei cosa mi registra.
Maaa un bell'esorcista no eh? :D

Allora... l'output di netstat non lo so giudicare, non so ancora usarlo bene... :stordita:
Con iptraf sembra tutto ok; con tutti i programmi chiusi (browser, e-mail,...) ci sono solo i pacchetti UDP per la sincronizzazione (credo) col mio provider. Le uniche righe sospette sono coppie fatte così:


host229-86.pool80104.interbusiness.it:1468 = 2 96 S--- ppp0
host45-236.pool80104.interbusiness.it:microsoft- = 0 0 ---- ppp0


che sono relative a tentativi di connessione che il firewall blocca come Microsoft-ds (la seconda riga è il mio pc, la prima è quello che tenta la connessione...)

Boh!
Comunque ora, con firefox chiuso, non ci sono più quelle connessioni a google, mentre quelle a mail.rootkit.nl sono scomparse del tutto :mbe:

prova a usare questo al posto di ps

find /proc -regex '/proc/[0-9].*' -type d -maxdepth 1 -exec cut -d "#" -f 1 '{}'/cmdline ';'

così spulci direttamente in /proc
se hanno modificato ps e NON hanno caricato un modulo del kernel così i processi li vedi tutti

a comunque per tenere lontano almeno i lamer più stupidi questo funziona:
/dev/hda2 on / type reiserfs (rw)
tmpfs on /dev/shm type tmpfs (rw,noexec,nosuid)
/dev/hda1 on /boot type ext2 (rw)
/dev/hda5 on /home type reiserfs (rw,noexec,nosuid)
/dev/hda6 on /usr type reiserfs (ro)
/dev/hda7 on /tmp type reiserfs (rw,noexec,nosuid)
/dev/hda8 on /var type reiserfs (rw,nosuid)

www:~# ls -lad /var/tmp
lrwxrwxrwx 1 root root 4 Mar 2 2004 /var/tmp -> /tmp

io mi ricordo tempo fa lessi su bismark.it (che era ben diverso da adesso) in una di quelle lamerate su qualche eZine di kPCMakeGoD, una specie di rootkit per ambiente kde. Non so se centri qualcosa.

piu che un rootkit era una tecnica per usare un computer di terzi per rimbalzare informazioni in modo anonimo.


Secondo me? sei la vittima di uno spammer.

io mi ricordo tempo fa lessi su bismark.it (che era ben diverso da adesso) in una di quelle lamerate su qualche eZine di kPCMakeGoD, una specie di rootkit per ambiente kde. Non so se centri qualcosa.

piu che un rootkit era una tecnica per usare un computer di terzi per rimbalzare informazioni in modo anonimo.


Secondo me? sei la vittima di uno spammer.

Mah... attualmente uso Debian con GNOME, e di KDE non v'è traccia (ho rimosso anche tutte le librerie). Il sistema è aggiornato e protetto da firewall che non permette nessuna connessione dall'esterno a nessun servizio, mentre le porte aperte in uscita verso internet sono quelle relative ai protocolli HTTP, HTTPS, FTP, POP3, SMTP, NTP, WHOIS, NTP e la 1863. Le uniche applicazioni che uso che hanno necessità di uscire su internet sono il client di posta elettronica, il browser, Gaim, whois, synaptic e wget, quindi l'unico modo di entrare e danneggiarmi è quello di sfruttare una falla di questi programmi...

Firefox è la versione 1.0.4, ma è la versione Debian che immagino non sia affetta dai bug più noti della versione Mozilla, o no? :stordita:

Per il resto, ora mi sembra tornato tutto normale, a parte le solite connessioni a Google:

OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US

NetRange: 66.249.64.0 - 66.249.95.255
CIDR: 66.249.64.0/19
NetName: GOOGLE
NetHandle: NET-66-249-64-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.GOOGLE.COM
NameServer: NS2.GOOGLE.COM
Comment:
RegDate: 2004-03-05
Updated: 2004-11-10

OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc.
OrgTechPhone: +1-650-318-0200
OrgTechEmail: arin-contact@google.com

:mad:

Ora provo a rimuovere la barra di ricerca di Google da Firefox e vediamo se continua :mbe:
Comunque mi sa che devo imparare a leggere (e capire :p ) i file di log... :)

Ciao

Mah... attualmente uso Debian con GNOME, e di KDE non v'è traccia (ho rimosso anche tute le librerie).
Mmm... forse diceva a maxithron. :D

Mmm... forse diceva a maxithron. :D
http://www.diegotorres.com.ar/mensajeitor/foro/caritas/110103_sorry_prv1.gif

raga come faccio a controllare i log su xubuntu?

se nn ricordo male su bfi c'era un'articolo su come nascondere dei processi...

se può interessare..
http://bfi.s0ftpj.org