sono stato perforato [Archivio] - Hardware Upgrade Forum

View Full Version : sono stato perforato

Mason

15-01-2004, 22:37

mi sono entrati nel sistema penso circa un paio di ore fa (alemno penso, i msg starni li ho visto solo oggi)

ppp0 entra in promiscuous mode

esito chkrootkit

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for Suckit rootkit ... nothing found
Searching for Volc rootkit ... nothing found
Searching for Gold2 rootkit ... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 19 process hidden for readdir command
You have 19 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/usr/local/sbin/pppoa[578])
ppp0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

penso mi siano entrati da smtp o cups (631) unici due processi attivi

cmq non usavo firewall

dopo i msg strani mi son trovato rpcbind
ma

master:/# dpkg -l |grep rpc
master:/#

vabbe, mi tolgo debian e provo bene slack

con alemno un firewall su :)

penso possano avermi sniffato al max solo la password del forum e quella di irc

aspetto 15 minuti prima di ranzare
se ci sono suggerimenti interessanti o volete che facci scansioni chiedete ora :)

Mason

15-01-2004, 23:17

ok finito di prendere il necessario(penso) per tornare ad avere un minimo sistema usabile
salvato il salvabile che usero per configurare le cose

mumble,null'altro da segnalare, se non che staro' piu attento :P

malanaz

16-01-2004, 03:32

e questo che vuol dire?
[CODE]
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[183])
not infected
[\CODE]

Mason

16-01-2004, 14:58

:)

vuol dire che e in promiscuous mode ,l'interfaccia prende anche i pacchetti che non sono destinati a lei.

lo metti quando ti serve sniffare su un interfaccia,cioe vedere tutto quello che ci passa.

penso che tutti i programmi sniffer richiedono questa modalita- operativa, ma non ho mai usato sniffer quindi non so.

vedendo pero quel dhcp dentro potrebbe essere sensato che faccia cosi', pero non ne son certo, se linterfaccia fa parte di un router/switch, ed e indirizzabile, in quando dovrebbe poter vedere a che indirizzo e destinato per poi mandarlo su una porta di uscita verso il reale destinatario.

cmq non ne son sicuro.

messo slack col 2.6.1, nessun servizio attivo, adesso sto imparandomi iptables.

Mason

16-01-2004, 15:52

ho trovato questo, con 4 messaggi ripetuti (adesso son gia 7 o 8)

Jan 16 15:43:18 aries kernel: IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=36786 DF PROTO=TCP SPT=40587 DPT=0 WINDOW=5808 RES=0x00 SYN URGP=0

con la regola

LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level warning

appartiene ad un utente di f5 ngi,

a molte porte aperte, tra cui un http con su apache senza un sito ma con la pagina inziale di apache

(The 1640 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
119/tcp open nntp
135/tcp filtered msrpc
143/tcp open imap
974/tcp open unknown
984/tcp open unknown
992/tcp open telnets
2401/tcp open cvspserver
4000/tcp open remoteanything
4444/tcp open krb524
6112/tcp filtered dtspc
6346/tcp open gnutella
9999/tcp open abyss

Nmap run completed -- 1 IP address (1 host up) scanned in 165.255 seconds

2 domandine:

DPT non dovrebbe essere destination port? perche e 0?
come mi comporto? alla luce di quello che e successo?

pinball

16-01-2004, 16:10

scusa ma ti sono entrati nel pc, e tu per questo levi debian? (tra le altre cose ottima distro consigliata anche e soprattutto per i server! )

tu sei tutto matto!

se non sei capace a configurare un firewall che colpa ne ha debian? :rolleyes: :muro:

vabbè però in effetti probabilmente così hai fatto moooolto prima:

1. rasare debian
2. mettere slack
3. studiare iptables

quando invece du tutte ste cose studiavi iptables senza fare altro ed eri a posto.. mah...

ciauz :oink:

PS: iptables gira su debian allo stesso modo di come gira su slack....

Mason

16-01-2004, 16:26

:)

si lo so che me la son cercata, ma non perche mi sono entrati ho tolto debian, ma solo che per alcune cose le trovavo differente dalle mie esigenze, questo e stato un pretesto per cambiare.

iptables l`avevo letto ma dovevo memorizzare la sua sintassi, il funzionamento di una rete lo conosco abbastanza, con i doc ho chiarito alcune lacune del funzionamento del tcp/ip o standard di connessione.

cmq il fatto che non l`avessi messo era perch pensavo che la mia macchina destasse poco interesse e perche difficilmente raggiungibile (ip dinamico).

diciamo e stato piu una prova, che e durata un bel po.

cmq non e stato il primo tentativo, un altra volta ho notato un tentavo su sshd da parte di un hub.denialofservice.qualcosa , ma penso sia stato un gioco tipo, provo una password tipo pippo o vuota e vediamo se ho accesso.
dopo ho tolto dal`init l`sshd.

cmq io cerco risposte alle mie domande
1 tecnica: porta 0 nei log che cmq penso di trovare la risposta in internet
2 come comportarmi con questo ip che bussa con tcp alla mia macchina:

bash-2.05b# tail -30 /var/log/syslog |grep SYN|wc -l
18