Kirjoittaja Aihe: Onko joku pöpö ubuntu server editioniin tullut (Luettu 7592 kertaa)

Walde · « : 12.02.10 - klo:16.20 »

Terve,

Asensin uuden LAMP -setin pörisemään tulevia projekteja varten. No kone on suoraan verkossa kiinni. Laitoin uudet päivitykset jonka jälkeen kone on ollut muutaman viikon "yksinään" Tänään sitten Elisalta soitettiin, että teehän jotain, kun lähtee rankasti spämmiä IP-osoitteestasi. No kyllä sinä vähän ihmettelyä heräsi. No em. projekti kone esiin ja tutkailua. Tulos:

eli koneella oli aktiivinen yhteys it.mil.pl hostiin portti 9000, samoin kone on yhteydessä miekka.saunalahti.fi hostiin Ircd palvelulla porttiin 6667. Eli onko nyt niin, että joku on onnistunut löytämään pöntön ja ottanut se ns omiin näppeihinsä? Koneet on itsellä ollut lähes aina ns. räpellyskoneita, mutta aikaisemmin vastaava ei ole ollut ongelma. Mites tämmöistä vyyhtiä kannattaisi purkaa? En aio tehdä ns. uutta asennusta tämän takia vaan oman oppimisen kannalta saada sen fiksattua.

Tha-Fox · « **Vastaus #1 :** 12.02.10 - klo:16.43 »

Oletko asentanut Postfixiä, Dovecotia tai vastaavaa koneellesi? Mietin vain, ettei tuo sentään omista konffailuista voi johtua... Kannattaa varmaan alkaa ensimmäisenä perkaamaan logia ja katsella sieltä ainakin kirjautumisia.

Walde · « **Vastaus #2 :** 12.02.10 - klo:16.56 »

Lisänä on asennettu ainoastaan Webmin ja tänään Firestarter lähinnä liikenteen tarkkailuun. itse järjestelmän ohessa meni LAMP optiolla PHP, apache ja MySQL.

PHP sai vielä lisäksi PHP-Curl:in ja php5-imap -modulin

Mites saan selville sen mikä ohjelma/moduuli jne. on se joka yrittää avata/käyttää porttia 9000 tai 6667 ? Toistaiseksi laitoin siten, että kaikki ulospäin menevä liikenne on säpessä, jotta ei ainakaan enää lähti mitään roskaa.

Tha-Fox · « **Vastaus #3 :** 12.02.10 - klo:17.07 »

6667 on ainakin muistaakseni ircin oletusportti.

Walde · « **Vastaus #4 :** 12.02.10 - klo:17.14 »

jep se on ircin portti.

eli kaksi vielä tuntematonta ohjelmaa yrittää kokoajan ottaa yhteyttä seuraavasti:

IP Address    87.118.92.121:9000
Host      honeypot.it.mil.pl

IP Address    195.197.52.90:6667
Host      miekka.saunalahti.fi

Nyt pitäis siis jollain keksiä, miten nähdä mitkä prosessit on kyseessä. syslog ei taida auttaa tässä, kun ei siitä oikein selviä kyseistatä tietoa.

Tha-Fox · « **Vastaus #5 :** 12.02.10 - klo:17.16 »

netstat-komennolla saattaisi selvitä. Kannattanee katsoa man-sivuilta sen parametreista, itselle ei ainakaan nyt suoraan muistu mieleen.

Walde · « **Vastaus #6 :** 12.02.10 - klo:18.30 »

No niin nyt oli aikaa hieman penkoa, niin alkaa hahmottua.

Eli joku on siis jotain reittiä pitkin päässyt ko. palvelimelle. Erään käyttäjän kansiosta löytyi BitchX ircci clientin binäärit ja olipa saanut sen asennettuakin. Auth logi on pullollaan yrityksiä päästä palvelimeen sisään. CRON:in logi on taas täynnä tehtäviä koskien juuri samaista käyttäjää, joten jäljet johtaa sinnepäin. Mielenkiintoista on se että kyseinen käyttäjä oli juuri kirjautuneena sisään. users lista ei näyttänyt häntä, mutta kun yritin poistaa userin, niin tuli ilmoitus että current user is logged in.

Eli oisko niin että minun projektipalvelimeni on myös jonkin porukan ns. projekti hackki

No nyt en aio palvelinta poistaa vaan lähteä leikkiin mukaan. Oppiipahan tämänkin puolen linukka maailmasta. Nyt otetaan vinkkejä vastaa miten voin pelata peliä eteenpäin

Walde · « **Vastaus #7 :** 12.02.10 - klo:18.41 »

Ja jos jotain nyt sattuu kiinnostamaan, niin joku oikotie näyttää olevan CRON:in läpi logeista päätellen.

Feb 11 10:10:01 XXXX-SERVER CRON[21018]: pam_unix(cron:session): session opened for user "tässä_oli_käyttäjä"
Feb 11 10:17:01 XXXX-SERVER CRON[21024]: pam_unix(cron:session): session opened for user root by (uid=0)

ajaaskel · « **Vastaus #8 :** 12.02.10 - klo:20.14 »

Olethan jo vaihtanut Webmin salasanasi ?

Walde · « **Vastaus #9 :** 12.02.10 - klo:22.16 »

Jep, webmin lähti kuin leppäkeihäs. Logien pohjalta webminin asennus ja logien täyttyminen on aika hyvin linjassa. Itse uskoin ja luulin tähän mennessä että webmin on kohtuu turvallinen, mutta eipä taida olla näin. no oma moga, kun laitoin laiskana portin 10000 auki maailmalle ilman mitään IP, ym muita rajoituksia. No sinänsä mitään menetystä ei ole tullut, kun kysessä on vain leikkikenttä eikä tuotannossa oleva kone.

toisin sanoen tällä hetkellä ubuntu server +LAMP & webmin, PHP-Curl, php5-imap -moduleilla on reikäinen jostain, perusasennuksella. Sen yritän vielä selvittää miksi juuri tietty user on saanut kaiken tämän aikaan. Kyseinen user ei ole ikinä edes loggautunut järjestelmään. Ulospäin testissä oli myös SugarCRM joka tietysti voisi olla ongelman ydin, koska imap moduli liittyy tähän. Sitä taas en ymmärrä miten CRON liittyy tähän koko soppaan, vai onko kyse siitä että cronin avulla vain pystyttiin ajamaan jollain kikalla komentoja. No jatkan monitorointi ja laitan taas ko. user nimen aktiiviseksi joka liittyy asiaan. Lisään kyllä ko. userin loginiin tekstin että "ole hyvä ota yhteyttä anonyymisti haluamallasi tavalla" Haluisin jutella miten homma toteutettiin

ajaaskel · « **Vastaus #10 :** 13.02.10 - klo:10.05 »

Webmin on jossain asioissa kätevä mutta suojaus on yhtä vahva/heikko kuin salasanasi ellet viritä lisärajoituksia. Tuli mieleen että millähän kielellä ajattelit tuon "ota yhteyttä" viestin jättää ?

zepotus · « **Vastaus #11 :** 13.02.10 - klo:11.19 »

Tuon webminin kanssa saa olla tarkkana.. Se jää yleensä asentamatta, mikäli koneen pitää näkyä ulospäin.

http://en.wikipedia.org/wiki/Port_knocking
http://www.soloport.com/iptables.html

Ja whitelist tuohon "koputteluun"..

SSH ja sieltä webmin?

Itse käytän tuota "koputusta" ssh yhteyden avaukseen. Eipä ole edes "herätellyt" ssh daemonia salasanan tarkisteluun...

Taro Turtiainen · « **Vastaus #12 :** 13.02.10 - klo:11.53 »

Lainaus käyttäjältä: Tha-Fox - 12.02.10 - klo:17.07

6667 on ainakin muistaakseni ircin oletusportti.

http://www.pc-library.com/ports/tcp-udp-port/6667/

Lainaus

Technical description for port 6667:
Port 6667 is one of the dedicated ports for Internet Relay Chat clients and servers. Most IRC applications use port 6667 as the default access point for IRC-based services and features. Other ports used for IRC are 6665, 6666, 6668, and 6669.
IRC clients send messages for other IRC users to the IRC server via port 6667. Depending on the configuration of the user's IRC program, as well as their default ports to connect to the network, the server will forward these messages to its respective destinations.
Port 6667 is also a common port exploited by remote users and malware applications to infect other computers through the program. These malware variants include spyware, Trojan, worms with capabilities, like keyloggers, Denial of Service (DoS), backdoor creation, and the like.

Walde · « **Vastaus #13 :** 13.02.10 - klo:12.19 »

Juu näinhän sen salasanan käyttö yksinään on aika riskaabeliä. Joskin salasana on 13 merkin pituinen ja sisältää numeroita eikö mikään selkeä sana. Mitä siihen viestiin tulee, niin eniten tulee Saksasta ja Kiinasta yhteydenottoja. No kai se menee englannilla

Ilokaasu · « **Vastaus #14 :** 13.02.10 - klo:12.49 »

Tässähän oli myös uutinen siitä, että adsl modeemeja olisi jotenkin päästy kopeloimaan ja sitä kautta irc aiheisia ongelmia ilmennyt. En lukenut uutista kuin otsikkotasolla ja tämä Walden ongelma tuskin kuuluu siihen kategoriaan, mutta olisihan sekin tietysti hyvä tarkistaa.

Näitä graafisia työkaluja (webmin, phpmyadmin jne yms) yritetään aika ajoin käyttää hyväksi murtautumisessa.

mrl586 · « **Vastaus #15 :** 13.02.10 - klo:22.29 »

Minulla on webmin asennettuna, mutta olen konfannut sen niin, että se kuuntelee vain yhdestä ip-numerosta tulevia yhteydenottoja. Kaikki muut ip:t se blokkaa.

ajaaskel · « **Vastaus #16 :** 14.02.10 - klo:16.22 »

Helppo ja hyvä suoja jos voi itse pysyä yhdessä osoitteessa.

Walde · « **Vastaus #17 :** 15.02.10 - klo:11.08 »

No niin. edelleen on ongelmana selvittää mikä ohjelma/palvelu ottaa yhtettä. Netstat ei auttanut, koska nythän ei aktiivista yhteyttä ole. Ainoa vinkkki on siis edelleen syslog, jonne tulee merkintä aina kun palomuuri estää yhteyden.

Näen siis logista että joku ohjelma yritti ottaa yhteyttä ip-osoitteeseen porttiin 6667 tai 9000 muuta ei näy. ps -aux ei myöskään auttanut juurikaan, koska imho kaikki ohjelma on ns. mitä kuuluukin.

sniveri · « **Vastaus #18 :** 15.02.10 - klo:11.43 »

Voisiko tässä nyt olla semmoinen hyvä lähtökipinä semmoiselle aiheelle että joku tekisi seikkaperäisen ohjeen jolla palvelinympäristön saa turvallisesti etähallittavaksi ja muutenkin käytettäväksi? Itseäni ainakin kiinnostaa seuraavat asiat:

-SSH avaimet + port knocking (voiko molempia käyttää yhtäaikaa?)
-SSH avaimien päivitys esim. kerran viikossa (windows koneille oon joutunu aina puttygen työkalulla tekemään avaimet ja kopioimaan palvelimen suuntaan, ubuntuissa pelaa fiksummatkin työkalut)
-Webmin vain SSH:n kautta (kait tämänkin saa konffattua kuuntelemaan vain localhostia?)
-Snort + loggaus/mailiin ilmoituksia jos tulee jotain höpöä (Snortista ei ole mitään käsityksiä, mutta ilmeisesti olisi melko tärkeä?

)
-Automaattiset virustarkistukset tiedostoille (clamav:n kai saa jollain nuuskimaan levyjä automaattisesti aina kun uusi tiedosto putkahtaa levylle?)
-Turvalliset säännöt palomuuriin + loggaus/mailiin ilmoituksia jos tulee jotain höpöjä

Walde · « **Vastaus #19 :** 15.02.10 - klo:11.45 »

No niin ohjelma löydetty ja ainakin toistaiseksi tapettu. Ohjelman saatiin esiin komennolla portin mukaan. tätä joutui siis spämmäämään eli greppi tuli vain jos juuri sillä hetkellä ohjelma yritti ottaa yhteyden ulospäin.

sudo netstat -anp|grep 9000

sudo netstat -anp|grep 6667

PID oli 2064/sshd ja se nurin sudo killall sshd ja yhetyden otot loppu. Nyt on seuraavaksi tehtävänä poistaa kaikki ssh daemoniin liittyvät jutut.

Ubuntu Suomen keskustelualueet

Uutiset:

Kirjoittaja Aihe: Onko joku pöpö ubuntu server editioniin tullut (Luettu 7592 kertaa)