non è grave.. ma c'è un pc compromesso

[maxithron]

Ebbene si, i fatti stanno semplicemente in questo modo:

Un piccolo pc che stavo utilizzando per vari esperimenti e studio su java, mailserver etc.., non collegato alla rete aziendale, non protetto da nessun firewall, insomma, il classico pc che serve solo da studio, me lo sono ritrovato con diversi problemi; ma andiamo per ordine:

Su questa macchina, dietro ip pubblico, come servizi ci giravano solo ssh ed ftp, entrambi con le più semplici precauzioni possibili, tipo accesso per root ed utenti anonimi disabilitato, la porta di ascolto settata diversamente da quella di base etc..

Ora, dato che ogni tanto mi vado a guardare il log di auth, sebbene tutto sembrasse essere a posto, non so come dire, ho avuto la sensazione che ci fosse qualcosa di strano. Mi sono detto "al diavolo le solite paranoie" ed ho continuato a lavorarci. Poi (e anche qui non so come spiegarmelo e spiegarlo a voi) durante una semplice sessione di vim e qualche file sorgente, ho avuto la netta sensazione che ci fosse qualcosa di strano. Ripeto, non so dire il come e il perchè, ma avevo questa sensazione. Mi vado a ripescare i vari log, e ad un certo punto noto che auth.log anzichè essere gestito da syslogd, è gestito da un processo che si chiama kpcmgd.

Insospettito da questa cosa, cerco ovviamente questo servizio in ps ma senza risultato. Cerco questo processo in ogni posto e con ogni comando possibile, ma senza trovarne traccia sul pc in questione. Faccio delle ricerche con apt per cercare di capire se sia un nuovo servizio o similare, ma non ne trovo traccia. Fatte queste semplici operazioni preliminari, ricorro a google e ad un altro esercito di motori di ricerca, ma le uniche pagine che trovo sono un paio di link a pagine in una lingua incomprensibile (o sono in lingua nordica, tipo islandese, finlandese o altro) oppure come qualcuno mi ha suggerito (ma non ci credo tanto) sono pagine cifrate.

Provo a vedere se ci sono connessioni aperte, e mi ritrovo una marea di connessioni mediante la porta 5327 verso indirizzi che sembrano risalire a zone geografiche della korea. Provo a fare delle scansioni con rkhunter e con chkrootkit, ma non mi danno nessun risultato, nel senso che non trovano nulla di sospetto.

Detto questo, ciò che mi piacerebbe capire prima di radere a zero il pc (non che mi freghi tanto beninteso, ribadisco che è solo una macchina per studio personale)e ciò che mi auguro riuscirete a farmi capire, è che tipo di exploit, metodo, attacco o altro avrebbero usato per fare ciò.

Faccio ulteriore chiarezza su alcune cose:

Provando a fare un login e log out dal sistema, il file auth.log viene regolarmente aggiornato, e questo mi fa pensare che il tipo di compromissione sia particolarmente avanzato e completo, dato che ho evidentemente uno o più processi che non vengono mostrati da ps, ma che sono in grado di interagire con tutti i vari processi, programmi di base del sistema (semprechè anche questi ultimi siano ancora "sani").

Non ho preoccupazioni di sorta, ma sarei tanto desideroso di capire cosa e come è successo tutto questo, a prescindere dal fatto che tale macchina non era protetta praticamente da nulla.

Grazie in anticipo a tutti.

[eclissi83]

secondo me stanno usando la tua macchina come broadcast per smurf o dosnet...
me lo fa pensare l'alto numero di connessioni verso ip coreani...

ciao

[maxithron]

Quote:

Originariamente inviato da eclissi83

secondo me stanno usando la tua macchina come broadcast per smurf o dosnet...
me lo fa pensare l'alto numero di connessioni verso ip coreani...

ciao

Ciao eclissi

Mi sta anche bene questa cosa, ma davvero (come credo sia lecito) sono incuriosito più dal "come" che dal "perchè".

[scorpion89]

Quote:

Originariamente inviato da maxithron

Ciao eclissi

Mi sta anche bene questa cosa, ma davvero (come credo sia lecito) sono incuriosito più dal "come" che dal "perchè".

Ke distro c'era installata?
Provato a fare uno scan con programmini ke ti dicono se il software installato ha bug ecc...??
La maggior parte dei lamer fanno così. Programmino ke ti scanna trova le vulnerabilità(nel tuo caso punto sulla ftp )
trova l'exploit lo manda e 6 bucato!!!
Per quanto riguarda il log dovrebbe essere un rootkit ke si nasconde(anke se dai un lsmod)
nn si dovrebbe vedere!
Ovviamente sono solo ipotesi

Ciao

[eclissi83]

Quote:

Originariamente inviato da scorpion89

Ke distro c'era installata?
Provato a fare uno scan con programmini ke ti dicono se il software installato ha bug ecc...??
La maggior parte dei lamer fanno così. Programmino ke ti scanna trova le vulnerabilità(nel tuo caso punto sulla ftp )
trova l'exploit lo manda e 6 bucato!!!
Per quanto riguarda il log dovrebbe essere un rootkit ke si nasconde(anke se dai un lsmod)
nn si dovrebbe vedere!
Ovviamente sono solo ipotesi

Ciao

sicuramente è una strada che è possibile intraprendere...
cmq non serve essere macchine bucate per far parte di "cast" (i lameronzoli le chiamano così): basta rispondere ai ping... per far parte delle dosnet devi essere bucato (devi inviare pacchetti tcp malformati e bisogna essere root per farlo)

[maxithron]

Quote:

Originariamente inviato da scorpion89

Ke distro c'era installata?
Provato a fare uno scan con programmini ke ti dicono se il software installato ha bug ecc...??
La maggior parte dei lamer fanno così. Programmino ke ti scanna trova le vulnerabilità(nel tuo caso punto sulla ftp )
trova l'exploit lo manda e 6 bucato!!!
Per quanto riguarda il log dovrebbe essere un rootkit ke si nasconde(anke se dai un lsmod)
nn si dovrebbe vedere!
Ovviamente sono solo ipotesi

Ciao

La distribuzione e' una debian. Per quanto riguarda i software, sono semplicemente sshd e proftpd. Io non credo che sia opera di "lamer", ma di gente competente e ciò mi induce ad essere curioso sulle tecniche utilizzate.
Io di certo non sono un sysadmin a livello guru, ma non uso linux da un paio di giorni ma da un pò di annetti, e sinceramente un tipo di compromissione del genere non l'avevo mai vista (c'è sempre da imparare ). Di sicuro è stato sfruttato come giustamente dici una falla di uno di quei software, e difatti mi tengo sempre aggiornato (ma non in seguito a questo), ma non sono riuscito a trovare una falla che possa portare a queste conseguenze.

[DanieleC88]

Ciao eclissi, ciao maxithron.

Secondo me quelle pagine che hai trovato con Google sono cifrate in qualche modo perché sono semplici caratteri ASCII, non mi sembrano sequenze Unicode come quelle che utilizza una lingua tipo il Coreano.
EDIT: anzi, io pensavo fosse un banalissimo ROT13, ma provando a decodificarlo con VIM mi restano sempre sequenze insignificanti di lettere.

Per quanto riguarda il problema con auth.log, non saprei suggerirti niente di serio, se non magari di scaricarti il live CD di Knoppix-STD (Security Tools Distribution) che è utilissimo in questi casi, e di farci qualche scansione con Nessus o con altri dei tanti programmi che quella live include proprio a questo scopo. Facci sapere, la cosa è "interessante".

[maxithron]

uno dei link, riporta ad una pagina che "sembra" per la pubblicità di scarpe ma...guardate cosa c'è scritto in alto a sinistra:

Quote:

Hello SpamBots,
Please add the fake e-mail addressen on this page to your database. You can find more generated e-mail adresses if you follow the links on this size.

For the human visitors,
Please notify my when the complete works of William Shakespeare (Or a significant portion of it) appears on this site.

La parte in grassetto sembra rilevante, non trovate?

[Scoperchiatore]

Quote:

Originariamente inviato da maxithron

uno dei link, riporta ad una pagina che "sembra" per la pubblicità di scarpe ma...guardate cosa c'è scritto in alto a sinistra:



La parte in grassetto sembra rilevante, non trovate?

Sembra il codice di watergate

[Andmart]

Quote:

Originariamente inviato da maxithron

uno dei link, riporta ad una pagina che "sembra" per la pubblicità di scarpe ma...guardate cosa c'è scritto in alto a sinistra:



La parte in grassetto sembra rilevante, non trovate?

Mamma... Roba da romanzo di spionaggio....

Cmq una cosa è certa: questi tizi non sanno per niente l'Inglese

Avanzo una ipotesi: siamo sicuri che fra le pagine linkate e lo strano processo di maxithron vi una correlazione? Perché a quanto mi pare google ha trovato, in quelle pagine incompresibili, sono la stessa sequenza di lettere, nulla più... E vedendo l'alto numero di lettere accostate lì direi che quantomeno la probabilità di andare a beccare proprio quella sequenza non era così trascurabile... soprattutto se considerate che in giro per il web potrebbero esserci molte altre pagine simili... Rimane comunque un bel mistero... maxithron tienici quindi aggiornati: la cosa è interessante!

[DanieleC88]

Piuttosto la cosa preoccupante è che su Google *non* ci siano pagine che parlano di quel processo, se non due pagine strane. La prima è sicuramente criptata, visto che in un college cristiano Americano non credo che ci vadano a mettere pagine in Coreano. :P
La seconda poi sembra contenere un messaggio in codice.
Insomma, solo due risultati ed entrambi sospetti...

[maxithron]

Ciao a tutti ragazzi. Ancora nulla di nuovo ma perchè al momento mi trovo a padova. Dovrei rientrare in ufficio la settimana prossima. Al momento quel pc è spento. Confermo la mia intenzione di non piallarlo prima di averci capito qualcosa.

[Artemisyu]

Quote:

Originariamente inviato da DanieleC88

Piuttosto la cosa preoccupante è che su Google *non* ci siano pagine che parlano di quel processo, se non due pagine strane. La prima è sicuramente criptata, visto che in un college cristiano Americano non credo che ci vadano a mettere pagine in Coreano. :P
La seconda poi sembra contenere un messaggio in codice.
Insomma, solo due risultati ed entrambi sospetti...

A me cercare kpcmgd non ha alcun risultato, su google...

[Andmart]

Quote:

Originariamente inviato da Artemisyu

A me cercare kpcmgd non ha alcun risultato, su google...

é vero... Ora non da nessun risultato neppure a me... Come è possibile?

[DanieleC88]

Anche a me, adesso...
Forse aveva ragione maxithron, li hanno avvisati delle "opere di Shakespeare" e loro hanno rimosso le pagine.

[Ilbaama]

Se cerchi kpcmg trovi al terzo risultato kpc media group ma non so quanto possa servire

[xwang]

Quote:

Originariamente inviato da maxithron

...Mi vado a ripescare i vari log, e ad un certo punto noto che auth.log anzichè essere gestito da syslogd, è gestito da un processo che si chiama kpcmgd...

Come si fa a vedere se questa cosa capita anche a me?
Xwang

[SerMagnus]

raga davvero strana questa storia fore un gg si riuscirà a venirne a capo


cmq potreste segnalare i tool utilizzati? xkè potrebbe tornare utile a moti di noi, sorpatutto, grazie e ciaoo

[PiloZ]

te l'avevo detto maxi
tu non mi davi retta e ora la distro è infetta da maxithronite nella sua fase più acuta

[maxithron]

Quote:

Originariamente inviato da xwang

Come si fa a vedere se questa cosa capita anche a me?
Xwang

uno dei più semplici è lsof ; una breve introduzione qui:

http://www.akadia.com/services/lsof_intro.html

Poi, "fuser", "ps", "netstat", "last" & co.

Personalmente, è la prima volta che mi capita una situazione del genere, con la dovuta precisazione che sul pc in questione non c'era praticamente nessuna sorta di protezione, ne firewall, ne le ultime e più aggiornate patch per i vari servizi che possono risultare più vulnerabili (in genere delle semplici regole di iptables e la dovuta accortenza nel configurare i servizi che si utilizzano sono 'tools' più che sufficienti.).

Ad ogni modo, per cercare di capire se fosse installato un rootkit ho usato chkrootkit ed rkhunter (ma questi, purtroppo, sembrano riuscire a riconoscere solo problemi di "lamer-livello").