Abril
2005
Ataque al servidor de SOLEUP
La seguridad nunca ha sido nuestro fuerte en la asociación, pero acabo de descubrir algo que me ha dejado la cara pálida en el servidor de SOLEUP (donde cuelga el planet-augcyl) Si seguiis leyendo comprobareis que ganas tiene la gente de joder.
Me gustaria denunciar a este tipo a quien tenga que hacerlo (¿delitos informáticos?) porque más o menos lo tengo controlado, IP + fecha hora. ¿Me ayudais o explicais como denunciarlo?
Hace tiempo cree un usuario soleupix para crear un skel y copiarlo en la metadistro. Como usuario sin permisos suponia que no pasaba nada por tenerlo allí, hasta que hace unos días alguien se paso por el despacho y nos dió el aviso que se podia entrar por ssh a ese usuario. La contraseña era muy original (soleupix)
Como primer punto a tocar he cambiado el puerto de accesso a ssh y borrado ese usuario. Pero la sorpresa me la he llevado al entrar a la /home/soleupix y me encuentro algo como esto:
Los primeros comandos son míos configurando cosillas de nautilus (ya recuerdo alguna cosa que hice) o reiniciando el panel para ver el nuevo menú, cuando se pone vi .bash_history es porque han borrado los delitos que han hecho, pero en una de esas se le ha debido olvidar y HA ESTADO COMPILANDO UN SNIFFER, manda cojones.
Mirando el auth.log se ha conectado por ssh desde fuera, y ha estado jugando con el proftp, usa retecal/ono, el cerco se va cerrando:
NO es muy listo ya que se ayuda de ftp para subir archivos al server. No debe conocer ni scp ni wget donde hubiera dejado menos rastro.
El archivo tar.gz me sonaba muy mal y después de descomprimirlo entro y resulta ser un juego de ganzúas para Linux:
menuda joya lo que hay aquí dentro....
Al borrar el usuario soleupix ya no puedo mirar su crontab pero imagino cosas mu malitas (¿como se mira el crontab de un usuario sin crearlo? ¿se guarda en algún archivo de texto?)
En ese paquetico hay un shell y comandos como passwd o newgrp, ademas el troyano funciona por el puerto:
He pasado un chkrootkit y no ha devuelto nada sospechoso, pero podría ser que se haya contaminado el chrootkit tambien así que...
Espero que me ayudeis a pillar y denunciar a este CABRONAZO. De qué mala ostia me pone la gente que se dedica a hacer estas cosas. ¡ CARCEL PARA LOS AUTÉNTICOS PIRATAS QUE JUEGAN A SER HACKERS!
Me gustaria denunciar a este tipo a quien tenga que hacerlo (¿delitos informáticos?) porque más o menos lo tengo controlado, IP + fecha hora. ¿Me ayudais o explicais como denunciarlo?
Hace tiempo cree un usuario soleupix para crear un skel y copiarlo en la metadistro. Como usuario sin permisos suponia que no pasaba nada por tenerlo allí, hasta que hace unos días alguien se paso por el despacho y nos dió el aviso que se podia entrar por ssh a ese usuario. La contraseña era muy original (soleupix)
Como primer punto a tocar he cambiado el puerto de accesso a ssh y borrado ese usuario. Pero la sorpresa me la he llevado al entrar a la /home/soleupix y me encuentro algo como esto:
soleup:/home/soleupix# ls -laEste usuario no debería tener .bash_history ya que no recuerdo haber usado su consola, y ese archivo .ifconfig que resulta ser un binario. Hago un cat al history y nos encontramos con esto:
total 3376
drwxr-xr-x 20 1009 1009 4096 2005-04-23 00:58 .
drwxr-xr-x 14 root staff 4096 2005-04-14 09:52 ..
-rw------- 1 1009 1009 410 2005-04-20 16:16 .bash_history <===================
-rw-r--r-- 1 1009 1009 567 2005-04-14 09:52 .bash_profile
-rw-r--r-- 1 1009 1009 1834 2005-04-14 09:52 .bashrc
drwx------ 3 1009 1009 4096 2005-04-15 15:48 .cache
drwxr-xr-x 3 1009 1009 4096 2005-04-15 15:48 .config
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:52 Desktop
-rw------- 1 1009 1009 26 2005-04-14 09:52 .dmrc
-rw-r--r-- 1 1009 1009 27419 2005-04-14 09:52 .fonts.cache-1
drwx------ 4 1009 1009 4096 2005-04-15 15:46 .gconf
drwx------ 2 1009 1009 4096 2005-04-15 20:25 .gconfd
-rw-r----- 1 1009 1009 0 2005-04-15 15:40 .gksu.lock
drwx------ 5 1009 1009 4096 2005-04-15 15:39 .gnome
drwx------ 8 1009 1009 4096 2005-04-15 15:17 .gnome2
drwx------ 2 1009 1009 4096 2005-04-14 09:52 .gnome2_private
drwx------ 3 1009 1009 4096 2005-04-14 10:34 .gphpedit
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:52 .gstreamer-0.8
-rw-r--r-- 1 1009 1009 136 2005-04-14 09:53 .gtkrc-1.2-gnome2
-rw------- 1 1009 1009 479 2005-04-15 15:17 .ICEauthority
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:53 .icons
-rwxrwxrwx 1 1009 1009 301015 2005-04-21 22:50 .ifconfig <==================
drwxr-xr-x 3 1009 1009 4096 2005-04-15 15:48 .local
-rw-r--r-- 1 1009 1009 3301015 2005-04-21 22:50 lrk5.src.tar.gz <=================
drwx------ 3 1009 1009 4096 2005-04-14 09:52 .metacity
drwxr-xr-x 3 1009 1009 4096 2005-04-14 09:52 .nautilus
drwxr-xr-x 3 1009 1009 4096 2005-04-15 15:39 .openoffice
-rw------- 1 1009 1009 290 2005-04-15 15:39 .recently-used
-rw-r--r-- 1 1009 1009 73 2005-04-15 15:39 .sversionrc
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:53 .themes
drwx------ 3 1009 1009 4096 2005-04-15 15:38 .thumbnails
-rw------- 1 1009 1009 269 2005-04-15 16:39 .Xauthority
-rw-r--r-- 1 1009 1009 799 2005-04-15 16:39 .xsession-errors
soleup:/home/soleupix# cat .bash_history
killall -HUP gnome-panel
nautilus applications:///
killall -HUP gnome-panel
cd .nautilus/
ls
cd metafiles/
ls
nano applications:%2F%2F%2F.xml
nano applications:%2F%2F%2FSOLEUPIX.xml
killall -HUP gnome-panel
ls
nano x-nautilus-desktop:%2F%2F%2F.xml
nano applications:%2F%2F%2F.
vi .bash_history <===
finger <===
ls
gcc ESniff.c <===
vi ESniff.c <====
ls
user
users
finger
ls
rm -rf ESniff.c <==
clear <===
vi .bash_history <===
exit
Los primeros comandos son míos configurando cosillas de nautilus (ya recuerdo alguna cosa que hice) o reiniciando el panel para ver el nuevo menú, cuando se pone vi .bash_history es porque han borrado los delitos que han hecho, pero en una de esas se le ha debido olvidar y HA ESTADO COMPILANDO UN SNIFFER, manda cojones.
Mirando el auth.log se ha conectado por ssh desde fuera, y ha estado jugando con el proftp, usa retecal/ono, el cerco se va cerrando:
================================================
Apr 19 00:08:32 localhost sshd[17486]: Accepted keyboard-interactive/pam
for soleupix from ::ffff:212.183.248.XXX port 32768 ssh2
Apr 20 15:37:58 localhost sshd[17665]: Accepted keyboard-interactive/pam
for soleupix from ::ffff:212.183.248.XXX port 32778 ssh2
Apr 19 00:21:39 localhost su[17891]: (pam_unix) authentication failure;
logname=soleupix uid=1009 euid=0 tty=pts/0 ruser=soleupix rhost= user=root
HA INTENTADO HACERSE ROOT EL MUY HIJO DE SU MADRE
Apr 19 21:51:25 localhost proftpd[16544]: localhost (cable248aXXX.usuarios.
retecal.es[212.183.248.XXX]) - USER soleupix: Login successful.
Apr 19 21:58:42 localhost proftpd[16606]: localhost (cable248aXXX.usuarios.
retecal.es[212.183.248.XXX]) - USER soleupix: Login successful.
Apr 20 15:46:26 localhost proftpd: (pam_unix) authentication failure;
logname= uid=0 euid=0 tty= ruser= rhost=cable248aXXX.usuarios.retecal.es user=soleupix
NO es muy listo ya que se ayuda de ftp para subir archivos al server. No debe conocer ni scp ni wget donde hubiera dejado menos rastro.
El archivo tar.gz me sonaba muy mal y después de descomprimirlo entro y resulta ser un juego de ganzúas para Linux:
- backdoored sshd-2.0.13
- better sniffer
- backdoored su
- better crontab (imo)
menuda joya lo que hay aquí dentro....
Al borrar el usuario soleupix ya no puedo mirar su crontab pero imagino cosas mu malitas (¿como se mira el crontab de un usuario sin crearlo? ¿se guarda en algún archivo de texto?)
En ese paquetico hay un shell y comandos como passwd o newgrp, ademas el troyano funciona por el puerto:
y usa librerias del sistema para ascender de privilegios.
#define PORT 12497
He pasado un chkrootkit y no ha devuelto nada sospechoso, pero podría ser que se haya contaminado el chrootkit tambien así que...
Espero que me ayudeis a pillar y denunciar a este CABRONAZO. De qué mala ostia me pone la gente que se dedica a hacer estas cosas. ¡ CARCEL PARA LOS AUTÉNTICOS PIRATAS QUE JUEGAN A SER HACKERS!
creo que en www.guardiacivil.org se pueden denunciar delitos de caracter informático a travñes de un formulario online.
De cualquier forma el tío no parece demasiado listo, parece el típico chavalín que ha leído unos cuantos doc's. Me atrevería a decir que no sabe ni compilar porque cualquiera que tenga una mínima experiencia programando siempre usa gcc -o talcual prog.c.
Yo también mandaría un mail a retecal, aunque es posible que el tío esté usando un PC infectado como bouncer, pero por si acaso..
Me voy a esperar con el tema de la denuncia pero el correo ya está enviado a varias personas de retecal (los que salen en la consulta whois, no se si retecal tiene algo parecido a abuse @ retecal . es)
El correo enviado es el siguiente:
============================================================
Hola soy Mario Izquierdo, administrador de algún equipo de
la Escuela Universitaria Politécnica, Universidad de Valladolid y
socio de la Oficina de software libre SOLEUP.
Realizando labores de mantenimiento en uno de nuestros servidores he observado comportamientos "extraños" de un cliente de Retecal/Ono.
Esta persona ha entrado a uno de nuestros servidores y ha intentado compilar e instalar un sniffer y un troyano. El sistema es Linux/Debian y hasta donde yo sé, no ha podido hacer más que eso.
Adjunto log de registro de acceso con fecha/hora y dirección IP para su identificación: (intruso.log)
Cuando se ha descubierto el intruso se han tomado las medidas
oportunas para que no pudiera entrar de nuevo, y aún así lo ha
intentado esta misma noche.
En mi diario he explicado todo lo que ha encontrado y ha estado
haciendo en nuestra máquina:
http://mariodebian.com
Antes de proceder a interponer la consiguiente denuncia ante la
policia en su sección de delitos informáticos me gustaria poder hablar con la susodicha persona personalmente ya que después de hacer un escaneo de los puertos de la última ip me he encontrado con esto:
PORT STATE SERVICE
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
411/tcp filtered rmt
412/tcp filtered synoptics-trap
445/tcp filtered microsoft-ds
515/tcp filtered printer
1214/tcp filtered fasttrack
1433/tcp filtered ms-sql-s
1434/tcp filtered ms-sql-m
3128/tcp filtered squid-http
4444/tcp filtered krb524
6346/tcp filtered gnutella
8888/tcp filtered sun-answerbook
27374/tcp filtered subseven
27665/tcp filtered Trinoo_Master
====================pausa=============================
Lo que ya no tengo tan claro si usa windows o Linux, ya que, que yo sepa, el subseven (Troyano archifamoso) sólo va en windows pero lo mosqueante es el puerto del squid. Seguramente sea un windowsero con la máquina infectada hasta las cejas!!!!
====================sigue=============================
Por lo que me da que pensar que la máquina pudiera contener algún
troyano y el propio usuario no haberse dado cuenta, por lo que otra persona estaría usando su máquina y su ancho de banda como lanzadera para sus delitos.
Espero su respuesta y que se pongan en contacto con este usuario para bien darle una reprimenda o para avisarle de lo que su máquina está haciendo.
Perdonen por las molestias
Un saludo cordial...
Mario Izquierdo
NOTA: las direcciones de correo a las que se envía este mail han sido obtenidas a través de la consulta whois para la ip de acceso.
============================================================
Espero que en retecal haya alguna persona que se interese por la seguridad de sus clientes y me contesten pronto.
No sé si habrás enviado bien el correo o no porque retecal forma parte de ono y quizá ya no tengan los mails de soporte antiguos, de todas formas voto por mandarlo a la guardia-civil y que le den un escarmiento en el caso de ser posible, por pasarse de listo. Sinceramente dudo mucho que un troyano sea capaz de averiguar que tenemos un usuario llamado soleupix y su contraseña y nuestro servidor, me parecen demasiadas coincidencias.
Mis últimas investigaciones apuntan a un alumno de la escuela, si recordais, la semana anterior vino un chico al despacho (ese que se paseaba por los pasillos buscando wireless con un PDA...) amigo tuyo jorge si mal no recuerdo. Había bastante gente en el despacho por lo que HAY TESTIGOS DIRECTOS.
Ese fue el que nos dijo que se podía entrar desde fuera con ssh con el usuario soleupix, y ayer que lo recordé me puse a mirar que cosas podía haber estado haciendo.
Con los log de la mano y después de un escaneo de puertos han empezado mis dudas ya que usa windows pero sabe bastante de linux (no conocía ningún troyano en linux) ahora ya conozco el lrk5, si buscais en google sale bastante info de este troyano.
Esta noche ha intentado volver a conectarse por lo que el delito sigue fresco. (solo por ftp el ssh no ha encontrado el puerto)
Los mail tienes razón ¿a quién lo envío dentro de ONO/Retecal?
Me da pena ir directamente a denunciar porque con un buen escarmiento segúramente aprenda a NO meterse donde no debe. Y si es alumno de la escuela y como mis investigaciones hacen parecer amigo de alguien de la asociación.
Voy a investigar a idefix y a capar el ssh, porque si recordais también hablamos de algo parecido durante la visita de este chico.
He llegado aquí desde la lista de debian, y me he quedado alucinado :). Se me ocurren un par de comentarios:
Los resultados que obtuviste con el nmap, ¿no podrían ser falsos? Yo he probado en mi propio pc una aplicación llamada portsentry, y lo que hace es colocarse a la escucha en una cantidad enorme de puertos conocidos, y da una imagen similar a la que pegabas tu.
Por otra parte, si hubiese sido alguien con más idea, no habría dejado las pistas obvias del .bash_history, (las de auth.log supongo que serán más difíciles de eliminar), ni ningún archivo en esa cuenta que no quisiese que se viera. Me parece o un novato o alguien con muy mala leche y la intención de culpar a otro. Venga, un saludo y suerte.
(contactadme en la lista de debian, no me mola dejar los mails por ahí, ya me llega spam suficiente :D)
Dos cosas:
- Si no tiene permisos de root y la cuenta no tieene demasiados permisos no habrá demasidados problemas.
- Si usa un bouncer (que es lo que parece) es posible que el mismo troyano guarde logs de conexión y se pueda saber qué IP conecta al mismo y con ella saber el personaje en cuestión.
De todas maneras es obvio que el tío no tiene demasiada idea, será un pobrecito que se ha leído algún doc de h4x0rs
En cuanto a lo de los troyanos para linux yo conozco los root kits, que vienen a ser unas herramientas que se apoderan del sistema de forma oculta. Entre sus acciones: crear usuarios con permisos de root, poner backdoors, ocultar esas backdoors (este para mi es el punto más interesante porque incluso instalan módulos en el kernel par que ciertas syscall no saquen información sobre el intruso), etc, etc.
No estoy demasiado puesto en estos temas, pero si he hablando con gente que le gusta la seguridad, eso sí a nivel técnico, no para entrar en un servidor a putear (en el fondo es un negocio que, a mi modo de ver, es de una proyección increible). La página de la gene en cuestión: www.7a69ezine.org
saludos
Mi primera búsqueda en el auth.log la filtré con la palabra soleupix y dió buenos frutos, ahora estoy revisando logs filtrando por sshd y me estoy encontrando grandes sorpresas:
Apr 23 03:14:25 localhost sshd[16959]: Failed keyboard-interactive/pam for illegal user db2inst1 from ::ffff:212.183.XXX.XX port 48111 ssh2
Resulta que hay una vulnerabilidad por lo que un usuario de sistema con login db2inst1 y pass idem podría joer la marrana:
http://www.securityspace.com/smysecure/catid.html?id=11862
En /etc/passwd no hay ni rastro de ese usuario, ni en group ni shadow por lo que creo que esa vulnerabilidad ya está corregida en debian.
Por lo visto también lo ha intentado con db2fenc1, db2as, bash, ro, rwa, swift, en fin, que ha probado todas las vulnerabilidaddes que habrá leido en algún foro de lammers...
Lo que me parece extraño es la hora de conexión.
En esta ha sido a las 3 de la mañana, hora donde la gente en España durme, si tiene que ir a clase o trabajar, por lo que toma vida la hipótesis del windosero con pc infectado y alguien jugando desde fuera.
Otra cosa que me estoy dando cuenta ahora es que faltan los logs de accesso desde el 4 de abril al 15 (semanas de vacaciones), y SI deberían constar las paradas y arranques del server, ya que se reinicia todas las noches a las 5. ¿¿Qué menos de poner parrada y arranque del servicio sshd??
El primer acceso de este fulano es de Apr 16 22:51:35 , hora más normal que la anterior. Entra la hipótesis de que pude haber más de una persona intentando entrar en el server.
No veo nada de raro en la hora y tampoco coinciden sus vacaciones de semana santa con las mías (las mías terminaron el 4 de abril). Lo que haya podido hacer depende mucho de los permisos que tuviera el usuario en cuestión.
Lo que tampoco puedes evitar es que ataquen tu máquina, la solución es chapar esa IP en el router y ver si atacan desde otra, de esa forma sabrás si el susodicho está usando un bouncer.
De cualquier forma el tío podría estar leyendo esto y si tiene el control podría eliminar pruebas o similar, con lo cual evitaría dar información muy exlícita.
Siguiendo vuestro consejo he entrado en la web de la guardiacivil.org en delitos informáticos y dispuesto a poner la denuncia resulta que la web no funciona con firefox :(
Bueno ya he mandado el mail con los datos que veo que pueden pedir mirando el código fuente de la misma. Decir que no es aún denuncia legal sino un simple aviso de incidencia.
Además estoy leyendo algún artículo que consta en su web:
=====================================
Artículo 197.
1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
Artículo 264.
2.- El que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos...
Artículo 256.
El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a 400 euros, será castigado con la pena de multa de tres a 12 meses.
=====================================
Resumiendo, creo más constructivo dar un torón de orejas a éste que se ha pasado de listo antes que interponer algo más serio, aunque no descarto la denuncia.
Saludos y gracias a los colaboradores!!!
Resultó ser un amigo de maci y jorge haciendo pruebas.
Me ha llamado hace un rato pidiendo disculpas, disculpas aceptadas.
Creo que hubiera sido más sencillo que alguien me hubiese avisado antes de que habia una persona "probando nuestro servidor".