LINUX.ORG.RU
ФорумAdmin

Не пойму, объявился хакер что ли? pppd....


0

0

Имею FreeBSD 4.1.1 с поднятым pppd версии 2.3.11
Недавно заметил такую странную вещь.
Завелся какой-то юзер невидимка, который начал работать вечерами.

Заметил это следующим образом, по "ps ax" виден дополнительный запущенный процесс pppd на определенное устройство, например ttyd8, хотя по списку работающих в системе на данный момент юзеров никакого пользователя на линии d8 нет!
Нет ничего, только висящий процесс и соответственно занятый номер телефона. Сшибаешь этот процесс, запускается спустя время другой, на этой же или другой линии, то есть это не зомби и не прочие системные ошибки, а что-то имено интеллектуальное!

Вот пример запущенных процессов по ps ax, относящихся к pppd:

4056 dc Is+ 0:00.07 pppd auth refuse-chap require-pap login lock debug
87068 dg IWs+ 0:00.00 pppd auth refuse-chap require-pap login lock debug


Более того, у меня запускаются скрипты auth-up и auth-down во время
подключения\отключения пользователя, с записью имени последнего и прочей сопутствующей информации в файл. При подключении пользователя-невидимки эти скрипты не отрабатываются вовсе!
В /var/log/pppd.log каким-то нелепым образом "опускается" момент
авторизации, то есть не фиксируется логин подключающегося пользователя, как при подключении остальных, то есть опускаются примерно следующие строки авторизации:

...
Dec 25 23:19:03 mrrc pppd[3777]: rcvd [PAP AuthReq id=0x2 user="vasya"
password=<hidden>]
Dec 25 23:19:03 mrrc pppd[3777]: user vasya logged in
Dec 25 23:19:03 mrrc pppd[3777]: sent [PAP AuthAck id=0x2 "Login ok"]
...

Вот сессия подключения такого пользователя из /var/log/pppd.log:


Dec 25 22:56:25 mrrc pppd[3934]: pppd 2.3.11 started by root, uid 0
Dec 25 22:56:25 mrrc pppd[3934]: Using interface ppp1
Dec 25 22:56:25 mrrc pppd[3934]: Connect: ppp1 <--> /dev/ttydd
Dec 25 22:56:25 mrrc pppd[3934]: sent [LCP ConfReq id=0x1 <asyncmap 0x0>
<auth pap> <magic 0x72de0be6> <pcomp> <accomp>]
Dec 25 22:56:28 mrrc pppd[3934]: rcvd [LCP ConfReq id=0x3 <asyncmap 0xa0000>
<magic 0x6637d6> <pcomp> <accomp> <callback CBCP>]
Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfRej id=0x3 <callback CBCP>]
Dec 25 22:56:28 mrrc pppd[3934]: rcvd [LCP ConfReq id=0x4 <asyncmap 0xa0000>
<magic 0x6637d6> <pcomp> <accomp>]
Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfAck id=0x4 <asyncmap 0xa0000>
<magic 0x6637d6> <pcomp> <accomp>]
Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfReq id=0x1 <asyncmap 0x0>
<auth pap> <magic 0x72de0be6> <pcomp> <accomp>]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [LCP ConfNak id=0x1 <auth chap 80>
<magic 0x72de0be6>]
Dec 25 22:56:29 mrrc pppd[3934]: sent [LCP ConfReq id=0x2 <asyncmap 0x0>
<magic 0xaed288c3> <pcomp> <accomp>]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [LCP ConfAck id=0x2 <asyncmap 0x0>
<magic 0xaed288c3> <pcomp> <accomp>]
Dec 25 22:56:29 mrrc pppd[3934]: sent [IPCP ConfReq id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [CCP ConfReq id=0x1 < 12 06 00 00 00
01> < 11 05 00 01 04>]
Dec 25 22:56:29 mrrc pppd[3934]: Unsupported protocol 'Compression Control
Protocol' (0x80fd) received
Dec 25 22:56:29 mrrc pppd[3934]: sent [LCP ProtRej id=0x3 80 fd 01 01 00 0f
12 06 00 00 00 01 11 05 00 01 04]
Dec 25 22:56:29 mrrc pppd[3934]: rcvd [IPCP ConfAck id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x2 <compress VJ 0f
01> <addr 192.168.2.1> <ms-dns1 0.0.0.0> <ms-wins 0.0.0.0> <ms-dns3 0.0.0.0>
<ms-wins 0.0.0.0>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfRej id=0x2 <ms-wins 0.0.0.0>
<ms-wins 0.0.0.0>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfReq id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x3 <compress VJ 0f
01> <addr 192.168.2.1> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfNak id=0x3 <addr
192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfAck id=0x1 <addr
192.168.2.1> <compress VJ 0f 01>]
Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x4 <compress VJ 0f
01> <addr 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfAck id=0x4 <compress VJ 0f
01> <addr 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
Dec 25 22:56:32 mrrc pppd[3934]: local IP address 192.168.2.1
Dec 25 22:56:32 mrrc pppd[3934]: remote IP address 192.168.2.11


То есть все как бы нормально, "нечто" подключилось к системе и работает, присвоенный "ему" IP-адрес 192.168.2.11 пропинговывается нормально!


Что это такое вообще?


Re: Не пойму, объявился хакер что ли? pppd....

Появившиеся и полученные мысли по моему сабжу:


Основной на мой взгляд упор делается на содержание файла /etc/ppp/pap-secrets, а именно * в имени юзера, вследствие чего появляется возможность подключиться используя некий NULL-login, о котором я признаться даже не слышал.

Предлагается либо прописать всех разрешенных пользователей (более 200, кстати сказать) в /etc/ppp/pap-secrets явным образом, дабы исключить подключение посредством NULL-login, либо поправить в исходниках самого pppd что-то на предмет этого и пересобрать последний. Но где именно нужно внести изменения в сырцах, кто скажет?

Очень хотелось бы еще услышать каким образом человеку удается
подключиться используя NULL-login (на самом деле дыру), в свое время сам искал подобный способ сделать пользователей невидимок в системе.

Еще попробую послушать данное устройство при возможности tcpdump -i pppХ что там на самом деле происходит..


Кто сталкивался, поделитсь мыслями и советами.

mrrc ()

Re: Не пойму, объявился хакер что ли? pppd....

Может "червь"???

HellDog ()

Re: Не пойму, объявился хакер что ли? pppd....

Хм, не думаю! :(
Номер то занят, то есть кто-то осуществляет звонок на модем и подключается, причем не на один и тот же, а на разные номера, причем на номера имеющие доступ из города только.
Если сегодня удастся, то обязательно послушаю сие дело tcpdump -i pppХ, что там в действительности передается в этот момент.

mrrc ()

Re: Не пойму, объявился хакер что ли? pppd....

Вчера не догадался посмотреть по last, сейчас просмотрел за вчерашний вечер, вообще псевдо-юзер a_ppp должен всегда в паре с реальным именем вошедшего юзера фиксироваться, а тут только a_ppp фигурирует, оно и не удивительно, имя то никакое не передается от этого моего "посетителя"...

a_ppp ttyd8 19200/ARQ/V34/LA Tue Dec 25 23:04 - 23:06 (00:01)
a_ppp ttyd8 26400/ARQ/V34/LA Tue Dec 25 23:02 - 23:03 (00:00)


Заглянул также в лог mgetty, вот пример такой сессии /var/log/mgetty.ttyd8

--
12/25 23:01:39 yd8 mgetty: experimental test release 1.1.22-Aug17
12/25 23:01:39 yd8 check for lockfiles
12/25 23:01:39 yd8 locking the line
12/25 23:01:42 yd8 lowering DTR to reset Modem
12/25 23:01:43 yd8 send: ATS0=0Q0&D3&C1[0d]
12/25 23:01:43 yd8 waiting for ``OK'' ** found **
12/25 23:01:43 yd8 waiting...
12/25 23:02:29 yd8 wfr: waiting for ``RING''
12/25 23:02:29 yd8 send: ATA[0d]
12/25 23:02:29 yd8 waiting for ``CONNECT'' ** found **
12/25 23:02:42 yd8 send:
12/25 23:02:42 yd8 waiting for ``_'' ** found **
12/25 23:02:55 ##### data dev=ttyd8, pid=4057, caller='none',
conn='26400/ARQ/V34/LAPM/V42BIS', name='', cmd='/usr/sbin/pppd',
user='/AutoPPP/'


Этот "хакер" заходит используя AutoPPP всегда. Что, стоит увелить уровель логирования в конфиге mgetty может, напрмиер, до debug 10?
Да хотя есть ли в этом смысл, итак же ясно, что звонок то поступает..

mrrc ()

Re: Не пойму, объявился хакер что ли? pppd....

Некоторые модемы позволяют определить номер удаленного абонента, можно попробовать один-два таких модемов воткнуть в пул. Курьер, например. Ну это на дурачка, конечно рассчитано.

ansky ★★★★★ ()

Re: Не пойму, объявился хакер что ли? pppd....

У нас курьеры и стоят собственно, но ни callback-ом, ни функцией АОН-а я пока не пользовался :(

Все решил явной пропиской всех своих пользователей в /etc/ppp/pap-secrets, вместо использования * * "" *, помогло, но так и осталась непонятной сама технология подключения этого "хакера" через данную дыру...

mrrc ()

Re: Не пойму, объявился хакер что ли? pppd....

Все-таки надо было хакера идентифицировать, хорошо еще на ГТС позвонить и выяснить с какого телефона звонят.

ansky ★★★★★ ()

Re: Не пойму, объявился хакер что ли? pppd....

Да можно было в принципе, хотя бы в тупую срубить его и подсунуть вместо модема телефон с АОН-он сразу, он обычно перезванивал сразу по этому же номеру, ладно, пускай живет, вонючка.

mrrc ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.