image

Hoe je van een Linux server een zombie maakt

vrijdag 17 augustus 2007, 11:06 door Redactie, 16 reacties

Bij het hacken van systemen wordt meestal aan Windows gedacht, maar uiteindelijk is geen enkel besturingssysteem onkwetsbaar is. Deze analyse toont hoe een Linux server door een wat slordige aanvaller tot zombie werd omgetoverd. Via een shell script wist de aanvaller een backdoor te installeren, maar hij maakte wat essentiële fouten, zoals het vergeten te verwijderen van de .bash_history, het wel verwijderen van alles onder "/var/log/*, het wijzigen van het root wachtwoord en het niet beveiligen van zijn IRC-kanaal waar alle zombies mee bestuurd werden.

Reacties (16)
17-08-2007, 11:14 door [Account Verwijderd]
[Verwijderd]
17-08-2007, 12:11 door Anoniem
Hoe linux machines in zomies veranderen vind ik niet niet
bijzonder. Als iemand controle heeft is wat hier te lezen
viel bijna een standaard opsomming van gebeurtenissen.

Het meest opvallende is de overblijvende vraag aan het eind:
nog steeds was niet bekend hoe de kwaadwillende persoon
toegang had verkregen tot de machine. En nog wel het root
account.

Als ik het artikel zo lees is de eigenaar de zoveelste
huis-tuin-keuken gebruiker die niet precies weet hoe het
systeem te beheren. Dan kan je aan het eind wel laten
concluderen dat er is ingebroken terwijl het systeem een van
de nieuwste distributies met de laatste patches draait, maar
dan vraag ik me toch af waar die eigenaren nu helemaal mee
bezich zijn.
17-08-2007, 13:03 door Anoniem
Installeer tripwire, chkrootkit en je weet meteen wanneer je
systeem gehacked is.
17-08-2007, 15:59 door Anoniem
Door Anoniem
Installeer tripwire, chkrootkit en je weet meteen wanneer je
systeem gehacked is.

Veel rootkits trojanen of verwijderen juist die tools. Als
ze verwijderd zijn ben je meteen achterdochtig maar weet je
nog niet wat er gebeurd is, met een ge-trojan-de binary hoef
je het verschil niet eens te zien...
17-08-2007, 17:38 door SirDice
Door Anoniem
Door Anoniem
Installeer tripwire, chkrootkit en je weet meteen wanneer je
systeem gehacked is.

Veel rootkits trojanen of verwijderen juist die tools. Als
ze verwijderd zijn ben je meteen achterdochtig maar weet je
nog niet wat er gebeurd is, met een ge-trojan-de binary hoef
je het verschil niet eens te zien...
Klopt en daarom moet je je tripwire hashes ergens anders
opslaan. Dan kun je dus wel precies nakijken wat er allemaal
aangepast is. Helaas alleen achteraf, dat wel.


Zoals anoniem van 12:17 al aangaf is het niet duidelijk
hoe ze nu precies binnengekomen zijn. Dikke kans
echter (omdat juist die logs zijn verwijderd) dat ze via een
lek php script iets hebben kunnen uploaden (mooi command en
control php script bijv). Een andere mogelijkheid om binnen
te komen is, zoals een reactie op het stuk laat zien, via
een ssh bruteforce.

Eenmaal binnen wordt middels een local exploit (ik meen me
te herinneren dat samba zoiets had niet al te lang geleden)
de rechten verhoogd van de anonieme www (apache) of ssh
gebruiker naar root. Pwn3d tot en met.
17-08-2007, 17:53 door ml2mst
Onzin! ik heb met virus scanners gewerkt, gebruik met enige
regelmaat rootkit detectors en zit heerlijk mijn network
traffic te bespienzen met tcpdum en zo.

Ik heb zelfs, hier op security.nl, SirDice helemaal gek
gemaakt met mijn Snort logs. Nothing to see here :-)

En ja, iedere zichzelf respecterende Unixied verwijderd zijn
BASH history van tijd tot tijd.

Consclusie: misinformatie. Gewoon een g3k die
zichzelf weer mateloos interessant vindt :-p
17-08-2007, 18:14 door Anoniem
Door ml2mstknip heel klok klepel verhaal
ml2mst, ik ben heel blij voor je dat je die tooltjes
allemaal weet op te noemen, maar ga aub de wereld niet wijs
maken dat als je niets ziet er geen probleem kan zijn.
Tools zijn handig bij zowel verdediging als aanval, maar
uiteindelijk komt het op gezond verstand neer. Denken dat je
veilig bent is een van de meest gemaakte blunders in de
wereld van beveiliging.
17-08-2007, 21:35 door Anoniem
mv $SSHDIR/sshd /sbin/ttyload
chmod a+xr /sbin/ttyload
chmod o-w /sbin/ttyload
touch -acmr /bin/ls /sbin/ttyload
chattr +isa /sbin/ttyload
kill -9 `pidof ttyload` >/dev/null 2>&1
Er van afgezien dat bij mij 'echo $SSHDIR' een lege regel
opgeeft, heb je root-rechten nodig om enige van deze
opdrachten uit te mogen voeren.
Dus dan werkte de 'hacker' al als root, of hij had op een
andere manier die rechten bemachtigd en vertelt niet hoe.
En vooral dat laatste vind ik vreemd voor iemand die zo
openlijk vertelt hoe hij/zij/het een linux-box gehakt heeft.
17-08-2007, 23:23 door [Account Verwijderd]
[Verwijderd]
18-08-2007, 00:16 door Anoniem
Door rookie
chflags is ook een goed commando, daar kan je bijvoorbeeld
mee aangeven dat er alleen data aan een file toegevoegd mag
worden, maar niet verwijderd mag worden.
Je kan met chflags bijvoorbeeld ook files alleen read-only
maken, zodat ze niet verwijderd of overschreven kunnen
worden (dus ook niet onder root).

Je vergeet voor het gemak dat als je eenmaal root rechten alles mag. Dus
ook attributen wijzigen.
18-08-2007, 11:06 door [Account Verwijderd]
[Verwijderd]
18-08-2007, 11:23 door Anoniem
Door Anoniem
Door Anoniem
Installeer tripwire, chkrootkit en je weet meteen wanneer je
systeem gehacked is.

Veel rootkits trojanen of verwijderen juist die tools. Als
ze verwijderd zijn ben je meteen achterdochtig maar weet je
nog niet wat er gebeurd is, met een ge-trojan-de binary hoef
je het verschil niet eens te zien...
Maar dezelfde tools vanaf read-only media draaien kan wel
wat toevoegen denk ik. Alleen voor de hashes van tripwire
zou je wat moeten verzinnen :-)
18-08-2007, 12:16 door Anoniem
Door rookie
Door Anoniem
Door rookie
chflags is ook een goed commando, daar kan je bijvoorbeeld
mee aangeven dat er alleen data aan een file toegevoegd mag
worden, maar niet verwijderd mag worden.
Je kan met chflags bijvoorbeeld ook files alleen read-only
maken, zodat ze niet verwijderd of overschreven kunnen
worden (dus ook niet onder root).

Je vergeet voor het gemak dat als je eenmaal root rechten
alles mag. Dus
ook attributen wijzigen.



Nee. Dat is dus het mooie van chflags, om die weg te halen
moet je rebooten in single user mode.
Onder BSD mag root dus niet alles wanneer het systeem
opstart in securelevel = 1 of 2

http://www.openbsd101.com/security.html

Volgens mij kennen heel veel van die linuxgasten dit
commando niet.
Bedankt, dit commando kende ik nog niet. Is machtig handig
voor je .bash_history (append-only) oa, voor log rotation
wordt dat wat lastiger.

Onder Linux ken ik chattr wel, maar daarvoor hoef je niet
naar single-user mode te rebooten om die attributes er weer
af te halen, dus dan helpt dat ook niet echt.
18-08-2007, 13:10 door Anoniem
Al met al, Linux is dus ook niet zo veilig zoals men altijd suggereerde! Nu
deze aanval openbaar is, en de aanvaller leest dit dus ook, zal hij/zij deze
gemaakte fouten niet nog eens maken en wel onzichtbaar blijven. Met alle
risico's vandien.
Of het nu een amateur is of niet, het is wel gelukt om in het systeem door
te dringen. En dat is al erg genoeg, Linux, Windows of wat dan ook voor
een OS ten spijt.

Ted
21-08-2007, 08:02 door Anoniem
Heb je uberhaupt het artikel en de rest er achter gelezen?
Er staat namelijk helemaal niet bij hoe precies het systeem
gehacked is.
Feit is dat de veiligheid van het systeem een combinatie is
vasn tenminste architectuur en configuratie.
Tegen een bruteforce begin je nog steeds weinig, al kun je
natuurlijk ip-adressen gaan blokkeren en locken na een
aantal pogingen.

Degene die de amateur is, is degene die de server draaide,
dat blijkt uit het stuk.
Dus denk a.u.b. even na voor je zegt dat Linux niet zo
veilig is als men suggereerde. Wie is men? En wat is veilig?
Er is in ieder geval 1 OS dat niet zo veilig is als men
suggereert, raad maar welke.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.