Hacked or not Hacked

[evkar]

παιδιά ,

τρέχω στο σπίτι έναν media server (πάνω σε μια Linux version σε fedora core ) για streaming τραγούδακια κλπ.

Ρίχνω μια ματιά σήμερα στο Syslog και βλέπω αυτό :

Oct 18 00:40:48 nas sshd[12997]: Received disconnect from 203.158.1.163: 11: Bye Bye

Oct 18 00:40:52 nas sshd[13004]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.158.1.163 user=root

Oct 18 00:40:54 nas sshd[13004]: Failed password for root from 203.158.1.163 port 34086 ssh2

Oct 18 00:40:54 nas sshd[13005]: Received disconnect from 203.158.1.163: 11: Bye Bye

Oct 18 00:40:57 nas sshd[13010]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.158.1.163 user=root

Oct 18 00:41:00 nas sshd[13010]: Failed password for root from 203.158.1.163 port 34267 ssh2

Oct 18 00:41:01 nas sshd[13011]: Received disconnect from 203.158.1.163: 11: Bye Bye

Oct 18 00:41:04 nas sshd[13019]: Accepted password for root from 203.158.1.163 port 34442 ssh2

Oct 18 00:41:04 nas sshd[13019]: pam_unix(sshd:session): session opened for user root by (uid=0)

Oct 18 00:41:11 nas sshd[13019]: pam_unix(sshd:session): session closed for user root

 

η ip παραπέμπει σε ταυλάνδη (πολυτεχνείο πρέπει να είναι) .

Επειεδή από Linux είμαι ψιλό- έως πολύ άσχετος , βλέποντας τα παραπάνω τοχουν χακάρει το μηχανάκι ή όχι ?

όχι ότι έτρεχε τίποτα critical αρχεία , αλλά για να ξέρω και να λάβω τα μέτρα μου.

ευχαριστώ

[macabre_sunsets]

>Oct 18 00:41:04 nas sshd[13019]: Accepted password for root from 203.158.1.163 port 34442 ssh2
Oct 18 00:41:04 nas sshd[13019]: pam_unix(sshd:session): session opened for user root by (uid=0)
Oct 18 00:41:11 nas sshd[13019]: pam_unix(sshd:session): session closed for user root

Η αναφορά των "Accepted password" και "session opened" (μάλλον) σημαίνει πως την έχεις πάθει την «ζημιά».

Βέβαια έμειμε μόνο για 7" αλλά ποτέ δεν ξέρεις τι μπορεί να έκανε.

[NullScan]

Τρέξε το παρακάτω για να δείς άν έχουν γίνει modify αρχεία όσο αυτός ήταν logged in.

>find / -type f -newermt "Oct 18 00:41:04" ! -newermt "Oct 18 00:41:11"

 

Επίσης, ρίξε μιά ματιά στα processes που τρέχουν στο σύστημά σου κυρίως για nohup εντολές ή για detached screen sessions.

>ps afx | grep nohup

και

>screen -l

αντίστοιχα.

Άν έχεις καμμιά απορία για τα αποτελέσματα, εδώ είμαστε.

[capthookb]

Τρέξε το παρακάτω για να δείς άν έχουν γίνει modify αρχεία όσο αυτός ήταν logged in.

>find / -type f -newermt "Oct 18 00:41:04" ! -newermt "Oct 18 00:41:11"

Έπαθα πλάκα τώρα! Δε θα το φανταζόμουν/σκεφτόμουν ποτέ οτι μπορούσε να γίνει κατι τέτοιο.

[NullScan]

Ενταάξει, δέν είναι και πολύ σίγουρο οτι θα βγάλει αποτέλεσμα, αν θέλεις να κρύψεις τα ίχνη σου το λογικότερο είναι πρίν αλλάξεις κάποιο αρχείο σε σύστημα που έχεις μπεί να κρατήσεις το last modification time με stat και μετά την αλλαγή σου να το κάνεις και touch με αυτό το timestamp, αλλά είναι μιά αρχή. Το επόμενο βήνα είναι να κάνεις audit το shell history (άν δέν το έχει σβήσει και αυτό) για να δείς λίγο πιό αναλυτικά τι έγινε κατά τη διάρκεια του session και αν συνεχίζεις να είσαι καχύποπτος κάνεις αυτό:

>find / -type f -exec stat --printf "%n %Z\n" {} \; > cngtime

και μετά με ένα μικρό script ψάχνεις για τα Change times όλων των αρχείων του συστήματός σου που βρίσκονται στο range που θέλεις, δηλαδή κάτι τέτοιο:

>#!/bin/bash
START= `date +"%s" -d "Oct 18 00:41:04"`
END=`date +"%s" -d "Oct 18 00:41:11"`

for i in `cat cngtime`; do
   TIMEV=`awk '{print $2} $i`
   if [ "$TIMEV -gt $START" -a "$TIMEV -lt $END" ]; then
       echo "$i canghed"
   fi
done

Ή τέλος πάντων κάτι παρόμοιο χωρίς τα συντακτικά λάθη που έχει το παραπάνω

[corrupted]

Επισης κλεισε τον sshd αν δεν τον χρειαζεσαι η αν τον χρειαζεσαι καντου κανα update και στο αρχειο sshd_config προσθεσε μια γραμμη που θα γραφει

>PermitRootLogin no

. Καλυτερα να κανεις login σαν user και μετα με su να γινεσαι root.

 

Βασικα δεν πρεπει να σου εκανε τιποτα, μαλλον για testing σε ειχε.

Μην το παιρνεις αψηφιστα ομως γιατι αν ηταν αλλος μπορει να σου ειχε σβησει ολο το δισκο/δισκους...

[evkar]

Να εξηγήσω λίγο για τι μηχανάκι μιλάμε .

Πρόκειται για ένα DC01 media server της silverstone που μου έφερε ο αδερφός μου από γερμανία .Στην Ελλάδα δεν πρέπει να κυκλοφορεί . Δυστυχώς η silverstone δεν δίνει root p/w για το μηχανάκι . Το menu σπαρτιάτικο . Έτσι μπαίνω από ένα wind μηχάνημα με putty αλλά φθάνω μέχρι admin αφού στον root μου ζητάει pass που δεν ξέρω .

Από admin και στην εντολή " ps afx | grep nohup " , μου δίνει " 1796 pts/0 S+ 0:00 \_ grep nohup " δεν ξέρω αν βγάζετε άκρη , εγώ σίγουρα όχι .

Το θέμα μου δεν είναι αν μπήκε στο μηχανάκι , μόνο τραγουδάκια είχα μέσα , το θέμα είναι ότι μπόρεσε να περάσει τον 2820 draytek router με firewall full ενεργοποιήμένο (port sniffering , Dos attack κλπ) να μπει στο μηχανάκι και να μπει και root σε πολύ σύντομο χρόνο (από το syslog προκύπτει ότι μπήκε σε 8 λεπτά περίπου , τόσο χρειάστηκε ) . Ή ήταν απίστευτα ....αρδος ή δουλεύει μέσα στην silverstone, τι άλλο να πω ?

Και ο ...μακάλας έχω ένα switch της HP που σου δίνει τη δυνατότητα για vpn (όπως και ο draytek εξάλλου) και μου έλεγε ένα φιλαράκι νάρθω να στο φτιάξω , και άστο για αύριο, άστο για αύριο , να τα αποτελέσματα .

[corrupted]

Αυτο ειναι ενδιαφερον. Εισαι σιγουρος οτι δεν βγαινει κανενα port του ρουτερ εξω στο internet? Εχεις κανει και online tests για να το διαπιστωσεις π.χ στο shields up?

[firewalker]

Ενταάξει, δέν είναι και πολύ σίγουρο οτι θα βγάλει αποτέλεσμα, αν θέλεις να κρύψεις τα ίχνη σου το λογικότερο είναι πρίν αλλάξεις κάποιο αρχείο σε σύστημα που έχεις μπεί να κρατήσεις το last modification time με stat και μετά την αλλαγή σου να το κάνεις και touch με αυτό το timestamp, αλλά είναι μιά αρχή. Το επόμενο βήνα είναι να κάνεις audit το shell history (άν δέν το έχει σβήσει και αυτό) για να δείς λίγο πιό αναλυτικά τι έγινε κατά τη διάρκεια του session και αν συνεχίζεις να είσαι καχύποπτος κάνεις αυτό:

>find / -type f -exec stat --printf "%n %Z\n" {} \; > cngtime

και μετά με ένα μικρό script ψάχνεις για τα Change times όλων των αρχείων του συστήματός σου που βρίσκονται στο range που θέλεις, δηλαδή κάτι τέτοιο:

>#!/bin/bash
START= `date +"%s" -d "Oct 18 00:41:04"`
END=`date +"%s" -d "Oct 18 00:41:11"`

for i in `cat cngtime`; do
   TIMEV=`awk '{print $2} $i`
   if [ "$TIMEV -gt $START" -a "$TIMEV -lt $END" ]; then
       echo "$i canghed"
   fi
done

Ή τέλος πάντων κάτι παρόμοιο χωρίς τα συντακτικά λάθη που έχει το παραπάνω

 

Poser...

[NullScan]

1ον, firewalker είσαι troll

2ον, το root password του συστήματος μπορεί να είναι κάτι του στύλ root, rootpassword, admin κτλ, μπορείς να το δοκιμάσεις και μόνος σου για να δείς.

3ον, το οτι έχεις ενεργοποιημένο το firewall δέν σημαίνει και πολλά από μόνο του, αν π.χ. δέν απαγορεύει τα inbound connections στην πόρτα 22, δεν προστατεύεσαι από ssh όπως έγινε στα logs σου.

[koslibpro]

Συμφωνω μαζι σου nullscan..

Και επισης φιλε σκεψου να βαλεις ενα honeypot,πιστευω θα σε βοηθισει σε παρομοια περιπτωση.

 

[corrupted]

3ον, το οτι έχεις ενεργοποιημένο το firewall δέν σημαίνει και πολλά από μόνο του, αν π.χ. δέν απαγορεύει τα inbound connections στην πόρτα 22, δεν προστατεύεσαι από ssh όπως έγινε στα logs σου.

 

Τα open ports των LAN μηχανηματων δεν βγαινουν εξω, εφοσον εισαι πισω απο NAT+firewall. Μονο αν βαλεις το μηχανημα σε DMZ. Οποτε, καλα κανει ο φιλος και απορει πως περασε μεσα.

[NullScan]

Τα open ports των LAN μηχανηματων δεν βγαινουν εξω, εφοσον εισαι πισω απο NAT+firewall. Μονο αν βαλεις το μηχανημα σε DMZ. Οποτε, καλα κανει ο φιλος και απορει πως περασε μεσα.

 

Ναι, γίνεται. Λέγεται Internet Gateway Device Protocol που ΑΝ υποστηρίζεται από τον router μιας και δέν είναι IETF standard ακόμα (υπο την προϋπόθεση οτι υποστηρίζει UPnP και είναι enabled) αλλά δέν ήταν αυτό που ήθελα να πώ. Για το configuration του firewall μιλούσα.