[HELP URGENTE] MI SONO ENTRATI NEL PC

[il pupo]

ho bisogno di aiuto urgentemente!!

ho configurato un PC muletto utilizzando ubuntu 7.10, ho messo su un serverino LAMP e altri programmi che mi servivano..

visto che ogni tanto devo controllarlo da remoto, ho installato SSH e abilitato il remote desktop di ubuntu protetto con password(magari un po' troppo facile Angry Angry )
...
...

poco fa, apro il mio VNC client dal lavoro e noto che c'è qualcuno collegato al mio PC che sta navigando in internet..
subito preso dal panico l'ho disconnesso..
Roll Eyes Roll Eyes Roll Eyes
ma adesso.. posso in qualche moto risalire a lui??


aiutatemi PLEAZE!

EDIT:
guardando la cronologia di firefox ho visto che ha scaricato "BNC datatipe" da IRCAdmin.net e "psybnc" e poi ha guardato come si utilizza il tunnel broker IPv6

cm faccio a vedere se ha installato questti pacchetti??

EDIT un'altra volta:
e appena rientrato..
il suo hostname è qsto: host-84-223-196-228.cust-adsl.tiscali.it
posso farci qualcosa??

[WebWolf]

Evidentemente o hai un IP fisso o hai attivo qualche programma P2P con la shell remota attiva, altrimenti non si spiegherebbe come ha fatto a 'trovarti' nell'oceano di internet.

Le soluzioni sono semplici: firewall, password strong (almeno 8 caratteri alfanumerici maisuscolo/minuscolo), disabilitare tutti i servizi non necessari e chiudere le porte che non servono.

Poi, se usi VNC perchè hai attivato pure ssh ?

Altra cosa, 'il clandestino' in che modo si connette ?

[il pupo]

Quote:

Originariamente inviato da WebWolf

Evidentemente o hai un IP fisso o hai attivo qualche programma P2P con la shell remota attiva, altrimenti non si spiegherebbe come ha fatto a 'trovarti' nell'oceano di internet.

Le soluzioni sono semplici: firewall, password strong (almeno 8 caratteri alfanumerici maisuscolo/minuscolo), disabilitare tutti i servizi non necessari e chiudere le porte che non servono.

Poi, se usi VNC perchè hai attivato pure ssh ?

Altra cosa, 'il clandestino' in che modo si connette ?

intanto grazie dell'aiuto
non ho un ip fisso, ma uso dyn-dns per avere un dominio col quale raggiungere il pc..

ho abilitato il remote desktop perchè per vedere alcune cose mi è + comodo, ma in linea di massima, sto cercando di usare quanto + ssh...

sono nuovo nel mondo linux, quindi abituato a windows a volte mi trovo meglio con la grafica!

[vampirodolce1]

Quando si collega fai un 'netstat -atupn|grep -i established'
cosi' vedi la porta e il processo che usa.

MAI, MAI, MAI collegare a internet un server prima di averlo blindato.

Dimenticati tutti gli automatismi di Ubuntu se vuoi gestire un server, non basta cliccare e avviare il servizio, devi studiarti i files di configurazione a dovere per scovare tutte le direttive utili ai fini della sicurezza. Si tratta di un approccio fondamentale per non essere bucati in due giorni.

- disabilita uno a uno tutti i servizi inutili
- configura il firewall in modo rigoroso
- fai passare il VNC in una sessione ssh
- in ssh permetti SOLO l'autenticazione con chiavi e non per l'utente root
- usa porte non standard per tutti i servizi attivi
- usa un sistema di logging e monitoring evoluto che tenga traccia di tutte le connessioni, snort e' un buon punto di partenza
- fai in modo di essere avvisato (ad es. con una e-mail) ogni volta che qualcuno si connette al server

Questo e' solo il primo passo e come vedi c'e' da studiare.
Io ho preparato una checklist di 17 pagine sulla messa in sicurezza.

Ormai potrebbe essere troppo tardi, l'intruso potrebbe avere installato un rootkit o qualcosa per assicurarsi l'accesso remoto in futuro.

[W.S.]

Quote:

Originariamente inviato da vampirodolce1

Ormai potrebbe essere troppo tardi, l'intruso potrebbe avere installato un rootkit o qualcosa per assicurarsi l'accesso remoto in futuro.

* pialla tutto e ricomincia da capo.

Per un muletto 17 pagine di checklist sono un tantino esagerate
Nel senso è un bene e serve ad imparare facendo esperimenti ma è inutile una procedura simile per poi installarci sopra di tutto.

Per il controllo remoto puoi anche usare X forwarding su ssh. Meglio ancora sarebbe lasciar stare la grafica.

Cmq, anche avendo il suo ip non puoi farci molto, certo puoi risalire alla sua zona ma non ne vedo l'utilità, anche perché non è detto che sia realmente quella la provenienza. A ste punto, visto che da quanto ho capito sulla macchina compromessa non c'è nulla di sensibile, spia le sue mosse e probabilmente riuscirai a capire meglio di chi si tratta. In una situazione simile un tizio mi aveva gentilmente lasciato in concessione alcune sue credenziali/indirizzi per diversi "servizi", per ringraziarlo ho provveduto ad informare gli amministratori di quelle macchine ed a "modificare" il comportamento di quella roba. Il tutto comunque non ha molta utilità se non quella di insultarlo/i un po

[il pupo]

grazie mille..
avete ragione..
ma non ci avevo proprio pensato, per quello che ci devo far io non pensavo che qualcuno venisse a rompermi le @@!!!

mi metterò sotto a studiare come sistemare il tutto..
99% appena ho tempo installo il nuovo ubuntu

cmq, hai detto che hai scritto una checklist, ma è una cosa privata solo x il tuo PC o saresti così gentile da condividerla con niubbi come me così magari riesco a capire meglio???

fammi sapere, magari per PM!

GRAZIE MILLE ANCORA

[sacarde]

per scovare rootkit: chkrootkit , tiger

[vampirodolce1]

Per il momento e' una checklist privata e incompleta, forse un giorno scrivero' un howto piu' organico e lo pubblichero'. Qualche buono spunto comunque te l'ho gia' dato.

Quote:

Originariamente inviato da il pupo

ma non ci avevo proprio pensato, per quello che ci devo far io non pensavo che qualcuno venisse a rompermi le @@!!!

Questo e' il punto che frega buona parte delle persone, tutti pensano 'perche' devono venire da me?'.
Sappi che come attacchi il pc a internet c'e' gente che cerca di entrare, spesso sono pc configurati per scansionare intere subnet alla ricerca di porte aperte; se installi uno sniffer e ti metti un paio d'ore a guardare resti traumatizzato.

[il pupo]

per adesso sto provando "snort" nel pomeriggio mi metto bene a torvare soluzioni e magari qualche guida in internet da cui prendere spunto!!

[HexDEF6]

Quote:

Originariamente inviato da vampirodolce1

Quando si collega fai un 'netstat -atupn|grep -i established'
cosi' vedi la porta e il processo che usa.

MAI, MAI, MAI collegare a internet un server prima di averlo blindato.

Dimenticati tutti gli automatismi di Ubuntu se vuoi gestire un server, non basta cliccare e avviare il servizio, devi studiarti i files di configurazione a dovere per scovare tutte le direttive utili ai fini della sicurezza. Si tratta di un approccio fondamentale per non essere bucati in due giorni.

- disabilita uno a uno tutti i servizi inutili
- configura il firewall in modo rigoroso
- fai passare il VNC in una sessione ssh
- in ssh permetti SOLO l'autenticazione con chiavi e non per l'utente root
- usa porte non standard per tutti i servizi attivi
- usa un sistema di logging e monitoring evoluto che tenga traccia di tutte le connessioni, snort e' un buon punto di partenza
- fai in modo di essere avvisato (ad es. con una e-mail) ogni volta che qualcuno si connette al server

Questo e' solo il primo passo e come vedi c'e' da studiare.
Io ho preparato una checklist di 17 pagine sulla messa in sicurezza.

Ormai potrebbe essere troppo tardi, l'intruso potrebbe avere installato un rootkit o qualcosa per assicurarsi l'accesso remoto in futuro.

sono daccordo su quasi tutto quello che hai detto...
tranne una cosa: snort

installare snort puo' portare a 3 cose:
1) perderci giorni per sistemarlo a dovere eliminando tutti i falsi positivi, e passandoci tempo ogni giorno a vedere se qualcuno ha tentato di fare qualcosa al tuo pc (e magari provvedere a mettere in piedi anche un IPS)
2) dimenticarlo dopo i primi 2 giorni per mancanza di tempo (e quindi e' solo un processo inutile che ciuccia ram e processore)
3) farti diventare paranoico e mettere in blacklist praticamente ogni indirizzo internet esistente

snort e' ottimo se hai un discreto numero di server da monitorare e sopratutto una persona che ci lavori tutti i giorni, e' assolutamente sconsigliato per un server casalingo o anche un qualche server... al posto di spendere tutto il tempo per controllare i log di snort (anche con tutti i parser che vuoi, per rendere il compito piu' "umano"), suggerisco di spenderlo nel sistemare le configurazioni dei servizi che offri, o sistemare i buchi nelle applicazioni (parlo specialmente di pagine web scritte personalmente in php/python/asp/altro).

Ciao!

[HexDEF6]

Quote:

Originariamente inviato da il pupo

per adesso sto provando "snort" nel pomeriggio mi metto bene a torvare soluzioni e magari qualche guida in internet da cui prendere spunto!!

leggi quello che ho scritto qua sopra a riguardo di snort...
a meno che tu non lo faccia come sfizio personale, e' assolutamente inutile (parlo del tuo caso specifico)

[vampirodolce1]

Quote:

Originariamente inviato da il pupo

per adesso sto provando "snort" nel pomeriggio mi metto bene a torvare soluzioni e magari qualche guida in internet da cui prendere spunto!!

Prima di snort, ti consiglio di iniziare con la disabilitazione dei servizi inutili e la configurazione del firewall.

Controlla in /etc/inetd.conf quali servizi si attivano con inetd e disabilita quelli che non usi. Eventualmente puoi evitare che inetd si esegua all'avvio. Controlla quello che c'e' in /etc/rcX.d/ [X = runlevel di default] e che inizia con la lettera 'S'. Il comando 'netstat -atupn' deve mostrare pochissimi servizi in ascolto, giusto quei due o tre che ti servono. Caricando meno roba il computer sara' anche piu' scarico e reattivo.

Per il firewall controlla che abbia una policy di tipo DROP sul traffico in ingresso e che permetta solo l'accesso sulle poche porte che occorrono; e' anche possibile limitare il numero di accessi e soprattutto filtrare l'origine, in modo che se dall'ufficio usi un IP statico, abiliti solo quello, altrimenti abiliti solo il range con cui sai di poter uscire.

La logica dietro l'hardening di un sistema e' che prima si disabilita cio' che non serve (una porta chiusa e' chiusa e da li' non entrano), poi il firewall filtra il piu' possibile e, infine, quel poco che arriva al livello applicativo viene controllato e loggato da un IDS come snort.

Assicurati anche di non usare porte standard, non mettere l'ssh sulla porta 22 che e' bersagliata al massimo. Usa una porta alta, ne hai 65536 a disposizione.

Se a casa hai una ADSL configura il firewall hardware del router, ancora una volta in modo da bloccare tutto il traffico in ingresso, tranne quello utile.

E cosi' via...

[il pupo]

non so che altro dire.. se non GRAZIE DEI MILLE CONSIGLI!!

[vampirodolce1]

Quote:

Originariamente inviato da HexDEF6

sono daccordo su quasi tutto quello che hai detto...
tranne una cosa: snort

installare snort puo' portare a 3 cose:

Grazie per il contributo, con cui posso anche essere d'accordo. Come ho detto, snort e' l'ultima cosa da configurare e se vuoi non e' indispensabile, ma fa alcune cose utili, per esempio:
- controllo scansione di porte (ok, c'e' anche scanlogd o altri)
- assemblaggio dei frammenti TCP; mandando due pacchetti disassemblati e' possibile ingannare un firewall come iptables (v. fragrouter)
- logging: puo' risultare molto comodo avere dei log compatibili con wireshark o tcpdump per vedere almeno le intestazioni dei pacchetti entranti/uscenti
- controllo a livello applicativo
- con il plugin snortsam e' possibile bloccare l'IP malevolo interagendo con il firewall

[il pupo]

ho trovato questo tizio, guardando i file di configurazione ho visto che il bouncer che aveva installato sul mio pc rimandava alla chat di tiscali
e c'era salvato anche la stanza e il nick.. ora sono in chat con lui, e nn ha avuto nessun problema ad dirmi che mi aveva instalalto quella schifezza!

[sacarde]

increbibile.... !!


magari ti insegna a farlo....


diccelo

[Fil9998]

per quel poco che capisco: pialla tutto!

[il pupo]

Quote:

Originariamente inviato da sacarde

increbibile.... !!


magari ti insegna a farlo....


diccelo

mi ha detto che è un povero disgraziato agli arresti domiciliari, e visto che nn ha un cazz da fare si "diverte" a far ste cose!!

se è vero, nn ho parole!

[HexDEF6]

Quote:

Originariamente inviato da vampirodolce1

Grazie per il contributo, con cui posso anche essere d'accordo. Come ho detto, snort e' l'ultima cosa da configurare e se vuoi non e' indispensabile, ma fa alcune cose utili, per esempio:
- controllo scansione di porte (ok, c'e' anche scanlogd o altri)
- assemblaggio dei frammenti TCP; mandando due pacchetti disassemblati e' possibile ingannare un firewall come iptables (v. fragrouter)
- logging: puo' risultare molto comodo avere dei log compatibili con wireshark o tcpdump per vedere almeno le intestazioni dei pacchetti entranti/uscenti
- controllo a livello applicativo
- con il plugin snortsam e' possibile bloccare l'IP malevolo interagendo con il firewall

occhio che non stavo dicendo che snort e' inutile...
va solamente usato nel contesto giusto.
E poi preferisco passare tempo a "tappare buchi" piuttosto che passarlo a configurare un software che mi rileva e blocca qualcuno che tenta di sfruttare un buco in un mio server

[sacarde]

sarebbe interessante capire come ha fatto