sono stato perforato

Mason · 15-01-2004, 22:37

mi sono entrati nel sistema penso circa un paio di ore fa (alemno penso, i msg starni li ho visto solo oggi)

ppp0 entra in promiscuous mode

esito chkrootkit

Codice:

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for Suckit rootkit ... nothing found
Searching for Volc rootkit ... nothing found
Searching for Gold2 rootkit ... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have    19 process hidden for readdir command
You have    19 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/usr/local/sbin/pppoa[578])
ppp0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

penso mi siano entrati da smtp o cups (631) unici due processi attivi

cmq non usavo firewall

dopo i msg strani mi son trovato rpcbind
ma

Codice:

master:/# dpkg -l |grep rpc
master:/#

vabbe, mi tolgo debian e provo bene slack

con alemno un firewall su

penso possano avermi sniffato al max solo la password del forum e quella di irc

aspetto 15 minuti prima di ranzare
se ci sono suggerimenti interessanti o volete che facci scansioni chiedete ora

Mason · 15-01-2004, 23:17

ok finito di prendere il necessario(penso) per tornare ad avere un minimo sistema usabile
salvato il salvabile che usero per configurare le cose

mumble,null'altro da segnalare, se non che staro' piu attento :P

malanaz · 16-01-2004, 03:32

e questo che vuol dire?
[code]
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[183])
not infected
[\CODE]

Mason · 16-01-2004, 14:58

vuol dire che e in promiscuous mode ,l'interfaccia prende anche i pacchetti che non sono destinati a lei.

lo metti quando ti serve sniffare su un interfaccia,cioe vedere tutto quello che ci passa.

penso che tutti i programmi sniffer richiedono questa modalita- operativa, ma non ho mai usato sniffer quindi non so.

vedendo pero quel dhcp dentro potrebbe essere sensato che faccia cosi', pero non ne son certo, se linterfaccia fa parte di un router/switch, ed e indirizzabile, in quando dovrebbe poter vedere a che indirizzo e destinato per poi mandarlo su una porta di uscita verso il reale destinatario.

cmq non ne son sicuro.

messo slack col 2.6.1, nessun servizio attivo, adesso sto imparandomi iptables.

Mason · 16-01-2004, 15:52

ho trovato questo, con 4 messaggi ripetuti (adesso son gia 7 o 8)

Codice:

Jan 16 15:43:18 aries kernel: IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=36786 DF PROTO=TCP SPT=40587 DPT=0 WINDOW=5808 RES=0x00 SYN URGP=0

con la regola

Codice:

LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level warning

appartiene ad un utente di f5 ngi,

a molte porte aperte, tra cui un http con su apache senza un sito ma con la pagina inziale di apache

Codice:

(The 1640 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE
22/tcp   open     ssh
25/tcp   open     smtp
53/tcp   open     domain
80/tcp   open     http
110/tcp  open     pop-3
119/tcp  open     nntp
135/tcp  filtered msrpc
143/tcp  open     imap
974/tcp  open     unknown
984/tcp  open     unknown
992/tcp  open     telnets
2401/tcp open     cvspserver
4000/tcp open     remoteanything
4444/tcp open     krb524
6112/tcp filtered dtspc
6346/tcp open     gnutella
9999/tcp open     abyss

Nmap run completed -- 1 IP address (1 host up) scanned in 165.255 seconds

2 domandine:

DPT non dovrebbe essere destination port? perche e 0?
come mi comporto? alla luce di quello che e successo?

pinball · 16-01-2004, 16:10

scusa ma ti sono entrati nel pc, e tu per questo levi debian? (tra le altre cose ottima distro consigliata anche e soprattutto per i server! )

tu sei tutto matto!

se non sei capace a configurare un firewall che colpa ne ha debian?

vabbè però in effetti probabilmente così hai fatto moooolto prima:

1. rasare debian
2. mettere slack
3. studiare iptables

quando invece du tutte ste cose studiavi iptables senza fare altro ed eri a posto.. mah...

ciauz

PS: iptables gira su debian allo stesso modo di come gira su slack....

Mason · 16-01-2004, 16:26

si lo so che me la son cercata, ma non perche mi sono entrati ho tolto debian, ma solo che per alcune cose le trovavo differente dalle mie esigenze, questo e stato un pretesto per cambiare.

iptables l`avevo letto ma dovevo memorizzare la sua sintassi, il funzionamento di una rete lo conosco abbastanza, con i doc ho chiarito alcune lacune del funzionamento del tcp/ip o standard di connessione.

cmq il fatto che non l`avessi messo era perch pensavo che la mia macchina destasse poco interesse e perche difficilmente raggiungibile (ip dinamico).

diciamo e stato piu una prova, che e durata un bel po.

cmq non e stato il primo tentativo, un altra volta ho notato un tentavo su sshd da parte di un hub.denialofservice.qualcosa , ma penso sia stato un gioco tipo, provo una password tipo pippo o vuota e vediamo se ho accesso.
dopo ho tolto dal`init l`sshd.

cmq io cerco risposte alle mie domande
1 tecnica: porta 0 nei log che cmq penso di trovare la risposta in internet
2 come comportarmi con questo ip che bussa con tcp alla mia macchina:

bash-2.05b# tail -30 /var/log/syslog |grep SYN|wc -l
18

15-01-2004, 23:17	#2
Mason Senior Member Iscritto dal: Nov 2002 Città: Morbegno (SO) Messaggi: 1410	ok finito di prendere il necessario(penso) per tornare ad avere un minimo sistema usabile salvato il salvabile che usero per configurare le cose mumble,null'altro da segnalare, se non che staro' piu attento :P __________________ e' difficile cio' che non si conosce Tic Tac Andrew Morton, 15/02/2008 LKML:"`tmp' is an awful identifier, and renaming it to `temp' hardly improves it."

16-01-2004, 03:32	#3
malanaz Senior Member Iscritto dal: Mar 2003 Città: Roma Messaggi: 301	e questo che vuol dire? [code] lo: not promisc and no packet sniffer sockets eth0: PACKET SNIFFER(/sbin/dhclient[183]) not infected [\CODE] __________________ Debian... apt-get into!

16-01-2004, 14:58	#4
Mason Senior Member Iscritto dal: Nov 2002 Città: Morbegno (SO) Messaggi: 1410	vuol dire che e in promiscuous mode ,l'interfaccia prende anche i pacchetti che non sono destinati a lei. lo metti quando ti serve sniffare su un interfaccia,cioe vedere tutto quello che ci passa. penso che tutti i programmi sniffer richiedono questa modalita- operativa, ma non ho mai usato sniffer quindi non so. vedendo pero quel dhcp dentro potrebbe essere sensato che faccia cosi', pero non ne son certo, se linterfaccia fa parte di un router/switch, ed e indirizzabile, in quando dovrebbe poter vedere a che indirizzo e destinato per poi mandarlo su una porta di uscita verso il reale destinatario. cmq non ne son sicuro. messo slack col 2.6.1, nessun servizio attivo, adesso sto imparandomi iptables. __________________ e' difficile cio' che non si conosce Tic Tac Andrew Morton, 15/02/2008 LKML:"`tmp' is an awful identifier, and renaming it to `temp' hardly improves it."

16-01-2004, 16:26	#7
Mason Senior Member Iscritto dal: Nov 2002 Città: Morbegno (SO) Messaggi: 1410	si lo so che me la son cercata, ma non perche mi sono entrati ho tolto debian, ma solo che per alcune cose le trovavo differente dalle mie esigenze, questo e stato un pretesto per cambiare. iptables l`avevo letto ma dovevo memorizzare la sua sintassi, il funzionamento di una rete lo conosco abbastanza, con i doc ho chiarito alcune lacune del funzionamento del tcp/ip o standard di connessione. cmq il fatto che non l`avessi messo era perch pensavo che la mia macchina destasse poco interesse e perche difficilmente raggiungibile (ip dinamico). diciamo e stato piu una prova, che e durata un bel po. cmq non e stato il primo tentativo, un altra volta ho notato un tentavo su sshd da parte di un hub.denialofservice.qualcosa , ma penso sia stato un gioco tipo, provo una password tipo pippo o vuota e vediamo se ho accesso. dopo ho tolto dal`init l`sshd. cmq io cerco risposte alle mie domande 1 tecnica: porta 0 nei log che cmq penso di trovare la risposta in internet 2 come comportarmi con questo ip che bussa con tcp alla mia macchina: bash-2.05b# tail -30 /var/log/syslog \|grep SYN\|wc -l 18 __________________ e' difficile cio' che non si conosce Tic Tac Andrew Morton, 15/02/2008 LKML:"`tmp' is an awful identifier, and renaming it to `temp' hardly improves it."

16-01-2004, 16:10	#6
pinball Registered User Iscritto dal: Nov 2000 Messaggi: 9315	scusa ma ti sono entrati nel pc, e tu per questo levi debian? (tra le altre cose ottima distro consigliata anche e soprattutto per i server! ) tu sei tutto matto! se non sei capace a configurare un firewall che colpa ne ha debian? vabbè però in effetti probabilmente così hai fatto moooolto prima: 1. rasare debian 2. mettere slack 3. studiare iptables quando invece du tutte ste cose studiavi iptables senza fare altro ed eri a posto.. mah... ciauz PS: iptables gira su debian allo stesso modo di come gira su slack....

Strumenti
Mostra una versione stampabile Invia questa pagina per email