LINUX.ORG.RU
решено ФорумSecurity

Порутали домашнюю машину

 , ,


1

3

Снова здравствуй, ЛОР!
На этот раз я к тебе по делу.

После внепланового ребута домашней машины с аптаймом в несколько месяцев обнаружил на логинскрине в GNOME странного пользователя.
В $HOME у этого пользователя была директория с китайским иероглифом в названии.

root@undercity:/root# ls /home/daapd/
模板

Отключил машину от интернета, стал разбираться.
Этого пользователя я создал сам, для одной софтины (owntone-server, бывш. daapd), однако, очевидно, никаких директорий в его хомяке не создавал, тем более с китайским иероглифом в названии.

Увидел в истории шелла запуск этой софтины от рута и подумал – ну всё, приехали.
Софт хоть и достаточно популярный, но после бэкдоров в xz уже никому и ничему не веришь.

Однако, сегодня обнаружился куда более интересный факт:

root@undercity:~# ls -l /home/hana/
total 153808
drwxr-xr-x 2 hana hana      4096 Jul  8  2022 laptop
drwxr-xr-x 3 hana hana      4096 Jun  9  2022 vanitygen
drwxr-xr-x 4 hana hana      4096 Jun  9  2024 vanitygen-plusplus
-rwxrwxrwx 1 hana hana 157475346 Jun  2  2024 zaberi_menja.zip
drwxr-xr-x 2 root root      4096 Feb 10 17:30 模板

root@undercity:~# ls -l /home/asxpi/
total 8
drwxr-xr-x 14 asxpi asxpi 4096 Dec 24 00:45 invidious
drwxr-xr-x  2 root  root  4096 Feb 10 17:30 模板

То есть, у всех пользователей в системе (upd: не у всех – у моего, например, не было) есть эта пустая директория с иероглифом в названии в хомяке.
Раскопки глубже показали наличие этой (пустой) директории с иероглифом в /etc/skel:

root@undercity:~# ls -la /etc/skel/
total 40
drwxr-xr-x   3 root root  4096 Feb 10 17:27 .
drwxr-xr-x 166 root root 12288 May  7 12:21 ..
-rw-r--r--   1 root root   220 Dec  8  2020 .bash_logout
-rw-r--r--   1 root root  3526 Dec  8  2020 .bashrc
-rw-r--r--   1 root root  5290 Apr 13  2023 .face
lrwxrwxrwx   1 root root     5 Jul 12  2023 .face.icon -> .face
-rw-r--r--   1 root root   807 Dec  8  2020 .profile
drwxr-xr-x   2 root root  4096 Feb 10 17:30 模板

Остальные файлы в /etc/skel не тронуты. Других признаков взлома нету. rkhunter не нашёл ничего.
В /var/log/auth.log ничего примечательного не обнаружено.

Из занимательного: я почти уверен, что в марте этого файла не было в /home/asxpi как минимум. (но не на 100% уверен, конечно же)
Из куда более занимательного: в хомяке лежали приватные ключи от криптокошельков общей суммой в несколько битков плейнтекстом – всё целое, ничего не пропало.

Что ещё посмотреть, прежде чем грохнуть систему?
Как вообще такое могло произойти?

Есть ли (хотя бы мизерный) шанс, что это следствие побитой ФС после аварийного отключения электричества, после которого и была обнаружена эта странная директория? (отключение было вчера, всё ещё вопросы как появилась директория с mtime = 10 Feb)

Систему в любом случае буду переустанавливать и сносить, как и инвалидировать все приватные ключи, естественно – интерес чисто спортивный, как же так вышло и как не допустить такого в дальнейшем.



Последнее исправление: ann_lortemp2 (всего исправлений: 1)
Криптографический шифр
RSA vs Elliptic Curve

Это не похоже на взлом. «Иероглиф» это название каталога для шаблонов из пакета xdg-user-dirs для китайской локали. Зачем он у тебя оказался в /etc/skel — разбирайся сам, но никакого криминала тут не видно даже близко.

anonymous
()
Ответ на: комментарий от anonymous

Где гарантия, что если уж злоумышленник получил рута, он не изменил debsums так, чтобы он тупо всегда рапортовал, что всё нормально?

(хотя в данном случае это и правда скорее всего не взлом, а последствия кривизны рук на каком-то моменте)

CrX ★★★★★
()
Последнее исправление: CrX (всего исправлений: 1)
Ответ на: комментарий от anonymous

seems legit.
в моём $HOME, в котором не создалось никаких директорий с иероглифами, нашлось вот такое:

ann@undercity ~ » ls -la|grep Templates                                      
drwxr-xr-x   2 ann     ann           4096 Feb 10 17:30 Templates

с точно такой же датой создания. забавное.

ann_lortemp2
() автор топика

Как вообще такое могло произойти?

Я тут дебиан обновлял, и не заметил что у меня

Было

#   ForwardX11Trusted yes
    PasswordAuthentication no
#   HostbasedAuthentication no

Стало

#   ForwardX11Trusted yes
#    PasswordAuthentication no
#   HostbasedAuthentication no

В данном случае не страшно так как к этой машине доступ по ssh вообще невозможен, а вот если бы был, то может быть меня тоже ещё раз, забрутфорсили

Если не почистили, глянь

grep -in Accept /var/log/auth.log

Когда к тебе пришёл твой «друг»

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от u5er

Он хоть предупреждает об откате пользовательских конфигов или молча трёт?

Ни в каком случае изменённый конфиг не заменяется на поставляемый, кроме того, когда администратор выбрал замену. То есть либо интерактивный запрос заменить/оставить/объединить/запустить новый шелл, либо поставляемый конфиг кладётся рядом, а ты потом сам разбирайся.

anonymous
()
Ответ на: комментарий от anonymous

Буквально.

 Filesystem filenames
       During unpacking and configuration dpkg uses various filenames for
       backup and rollback purposes.  The following is a simplified
       explanation of how these filenames get used during package
       installation.

       *.dpkg-new
           During unpack, dpkg extracts new filesystem objects into
           pathname.dpkg-new (except for existing directories or symlinks
           to directories which get skipped), once that is done and after
           having performed backups of the old objects, the objects get
           renamed to pathname.

       *.dpkg-tmp
           During unpack, dpkg makes backups of the old filesystem
           objects into pathname.dpkg-tmp after extracting the new
           objects.  These backups are performed as either a rename for
           directories (but only if they switch file type), a new symlink
           copy for symlinks, or a hard link for any other filesystem
           object, except for conffiles which get no backups because they
           are processed at a later stage.

           In case of needing to rollback, these backups get used to
           restore the previous contents of the objects.  These get
           removed automatically after the installation is complete.

       *.dpkg-old
           During configuration, when installing a new version, dpkg can
           make a backup of the previous modified conffile into
           pathname.dpkg-old.

       *.dpkg-dist
           During configuration, when keeping the old version, dpkg can
           make a backup of the new unmodified conffile into
           pathname.dpkg-dist.
anonymous
()

Сейчас проверил: если в /etc/skel создать директорию, то при создании нового юзера он во-первых с правильным владельцем (юзером) а во-вторых с текущей датой, а не датой из skel. Возможно это и так все знают, но у меня просто было подозрение что в skel только файлы, а директории может быть как-то не так обрабатываются.

И второе: у твоего skel дата 17:27, у skel/XX дата 17:30, то есть его походу создали за 3 минуты до этого, потом ещё внутри него что-то делали и потерли в итоге. Хотя лучше сделай stat и посмотри остальные таймстампы (create time, change time) - и в skel и в homedirs. Зачем так делать, да ещё и копировать это всё в разные home, я не представляю.

И посмотри вообще все логи в /var/log в районе этого времени (включая логи программ, такие как dpkg).

Из занимательного: я почти уверен, что в марте этого файла не было в /home/asxpi как минимум. (но не на 100% уверен, конечно же)

А что-то ещё трогал? Таймстамп /home/asxpi может остался с того времени?

firkax ★★★★★
()
Ответ на: комментарий от anonymous

А кто наполняет структуру /etc/skel? Может быть это какой-то китаец залогинился в рута, включил привычную для себя локаль и выполнил какую-то команду которая побочным эффектом skel генерирует?

firkax ★★★★★
()

Ты лучше скажи что у тебя наружу торчит? Потому как выглядит что тебя не чел поломал, а босявый или чел ну очень тупой и ленивый как жопа. Тем более чел скорее всего спёр бы твои битки, а босявому они без надобности. Хотя я не уверен что тебя вообще ломали.

anonymous
()
Ответ на: комментарий от firkax

Маловероятно что браузер виноват. Иначе у нас такая эпидемия бы была краж битков, что ух. Тут либо экзотика какая-то торчит, либо руки у ТС-а из попы растут и он сам что-то не так как надо настроил.

anonymous
()
Ответ на: комментарий от firkax

Наружу торчит как минимум браузер

это порожняк… оставляю браузер отрытым на лоре на сутки - давай ломай… короче вердикт такой - наружу ничего не торчало и никто ничего не ломал - у тс шизофрения.

anonymous
()
Ответ на: комментарий от firkax

А кто наполняет структуру /etc/skel?

Любой пакет может добавлять туда файлы. У меня их три показывает dpkg -S.

Может быть это какой-то китаец залогинился в рута, включил привычную для себя локаль

Ботам не нужны локали. А если ТС такого масштаба персонаж, что за ним охотится живой взломщик, то этой темы бы не было.

побочным эффектом skel генерирует?

Это всё сложные объяснения. Зато автор темы неоднократно упоминал, что балуется веществами (ну окей, травой) — и действия под дурью являются намного более реалистичным вариантом, чем взлом. Или просто баг в каком-нибудь пакете.

anonymous
()
Ответ на: комментарий от anonymous

Я выдвинул предположение что могло случиться. Ты же в ответ начал писать что-то про ботов (где я про ботов писал?) и про таргетированное преследование (опять какие-то твои фантазии, не имеющие отношения к моему сообщению).

firkax ★★★★★
()
Ответ на: комментарий от firkax

Ты же в ответ начал писать что-то про ботов

Ну потому что это фантастика, когда на домашний компьютер какого-то чувака вламывается живой взломщик по SSH. Но если рассматривать твой вариант как просто гипотетический — ну да, что-то такое не невозможно.

anonymous
()
Ответ на: комментарий от anonymous

Домашний комп или не домашний - снаружи не видно, видно только открытый ssh (автор так и не сказал был ли он). Вручную разумеется никто не вламывается, а вот после успешного подбора пароля и, возможно, при каком-то стечении обстоятельств, могут и зайти. Мало ли почему? Китайцев много разных, каждому в голову не залезешь. Кто-то может скачал бота-брутфорсера но не осилил автоматизировать заражение. У кого-то бот настроен на оповещение при каких-то условиях для последущей ручной проверки ситуации. Кто-то может просто от скуки решил полазить по чужим компам.

firkax ★★★★★
()

вот поэтому нужны докер для консольных утилит и snap/flatpak для графических. а рут вообще должен быть недоступен для логина. через пакетный менеджер позволительно ставить только что-то общеизвестное типа фф и тп, да и то, если конфликтов нет при обновлении. ну а если уж совсем ноулайфер и мучает паранойя, то используй selinux/apparmor. проверь свой айпи в базах спамеров и тп. с твоего компа скорее всего сеть сканировали или дудосили кого, если реально взлом был, что тоже сомнительно

rtxtxtrx ★★★
()
Последнее исправление: rtxtxtrx (всего исправлений: 1)
Ответ на: комментарий от rtxtxtrx

альтернатив кроме запуска в виртуалке нет

selinux/apparmor ты сам написал

ну и виртуалка кстати тоже вариант, с аппаратной виртуализацией накладные расходы там в пределах погрешности

anonymous
()
Криптографический шифр
Security
RSA vs Elliptic Curve