Hace tiempo se hablaba de si Linux es seguro o no. Bien, esta noche he demostrado que lo es, pero el peor virus es el propio usuario, y la falta de cuidado en la selección de contraseñas.
He aquí un ejemplo de como una persona nos puede tirar abajo un sistema Linux, copio y pego de mi blog:
Ataque al servidor de SOLEUP
La seguridad nunca ha sido nuestro fuerte en la asociación, pero acabo de descubrir algo que me ha dejado la cara pálida en el servidor de SOLEUP. Si seguiis leyendo comprobareis que ganas tiene la gente de joder.
Me gustaria denunciar a este tipo a quien tenga que hacerlo (¿delitos informáticos?) porque más o menos lo tengo controlado, IP + fecha hora.
Hace tiempo cree un usuario soleupix para crear un skel y copiarlo en la metadistro. Como usuario sin permisos suponia que no pasaba nada por tenerlo allí, hasta que hace unos días alguien se paso por el despacho y nos dió el aviso que se podia entrar por ssh a ese usuario. Esta persona que dió el aviso es el principal presunto. La contraseña era muy original (soleupix)
Como primer punto a tocar he cambiado el puerto de accesso a ssh y borrado ese usuario. Pero la sorpresa me la he llevado al entrar a la /home/soleupix y me encuentro algo como esto:
Código:
soleup:/home/soleupix# ls -la
total 3376
drwxr-xr-x 20 1009 1009 4096 2005-04-23 00:58 .
drwxr-xr-x 14 root staff 4096 2005-04-14 09:52 ..
-rw------- 1 1009 1009 410 2005-04-20 16:16 .bash_history <======
-rw-r--r-- 1 1009 1009 567 2005-04-14 09:52 .bash_profile
-rw-r--r-- 1 1009 1009 1834 2005-04-14 09:52 .bashrc
drwx------ 3 1009 1009 4096 2005-04-15 15:48 .cache
drwxr-xr-x 3 1009 1009 4096 2005-04-15 15:48 .config
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:52 Desktop
-rw------- 1 1009 1009 26 2005-04-14 09:52 .dmrc
-rw-r--r-- 1 1009 1009 27419 2005-04-14 09:52 .fonts.cache-1
drwx------ 4 1009 1009 4096 2005-04-15 15:46 .gconf
drwx------ 2 1009 1009 4096 2005-04-15 20:25 .gconfd
-rw-r----- 1 1009 1009 0 2005-04-15 15:40 .gksu.lock
drwx------ 5 1009 1009 4096 2005-04-15 15:39 .gnome
drwx------ 8 1009 1009 4096 2005-04-15 15:17 .gnome2
drwx------ 2 1009 1009 4096 2005-04-14 09:52 .gnome2_private
drwx------ 3 1009 1009 4096 2005-04-14 10:34 .gphpedit
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:52 .gstreamer-0.8
-rw-r--r-- 1 1009 1009 136 2005-04-14 09:53 .gtkrc-1.2-gnome2
-rw------- 1 1009 1009 479 2005-04-15 15:17 .ICEauthority
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:53 .icons
-rwxrwxrwx 1 1009 1009 301099 2005-04-21 22:50 .ifconfig <======
drwxr-xr-x 3 1009 1009 4096 2005-04-15 15:48 .local
-rw-r--r-- 1 1009 1009 3301015 2005-04-21 22:50 lrk5.src.tar.gz <======
drwx------ 3 1009 1009 4096 2005-04-14 09:52 .metacity
drwxr-xr-x 3 1009 1009 4096 2005-04-14 09:52 .nautilus
drwxr-xr-x 3 1009 1009 4096 2005-04-15 15:39 .openoffice
-rw------- 1 1009 1009 290 2005-04-15 15:39 .recently-used
-rw-r--r-- 1 1009 1009 73 2005-04-15 15:39 .sversionrc
drwxr-xr-x 2 1009 1009 4096 2005-04-14 09:53 .themes
drwx------ 3 1009 1009 4096 2005-04-15 15:38 .thumbnails
-rw------- 1 1009 1009 269 2005-04-15 16:39 .Xauthority
-rw-r--r-- 1 1009 1009 799 2005-04-15 16:39 .xsession-errors
Este usuario no debería tener .bash_history ya que no recuerdo haber usado su consola, y ese archivo .ifconfig que resulta ser un binario. Hago un cat al history y nos encontramos con esto:
Código:
soleup:/home/soleupix# cat .bash_history
killall -HUP gnome-panel
nautilus applications:///
killall -HUP gnome-panel
cd .nautilus/
ls
cd metafiles/
ls
nano applications:%2F%2F%2F.xml
nano applications:%2F%2F%2FSOLEUPIX.xml
killall -HUP gnome-panel
ls
nano x-nautilus-desktop:%2F%2F%2F.xml
nano applications:%2F%2F%2F.
vi .bash_history <===
finger <===
ls
gcc ESniff.c <===
vi ESniff.c <====
ls
user
users
finger
ls
rm -rf ESniff.c <==
clear <===
vi .bash_history <===
exit
Los primeros comandos son míos configurando cosillas de nautilus (ya recuerdo alguna cosa que hice) o reiniciando el panel para ver el nuevo menú, cuando se pone vi .bash_history es porque han borrado los delitos que han hecho, pero en una de esas se le ha debido olvidar y HA ESTADO COMPILANDO UN SNIFFER, manda cojones.
Mirando el auth.log se ha conectado por ssh desde fuera, y ha estado jugando con el proftp, usa retecal/ono, el cerco se va cerrando:
Código:
Apr 19 00:08:32 localhost sshd[17486]: Accepted keyboard-interactive/pam
for soleupix from ::ffff:212.183.248.XXX port 32768 ssh2
Apr 20 15:37:58 localhost sshd[17665]: Accepted keyboard-interactive/pam
for soleupix from ::ffff:212.183.248.XXX port 32778 ssh2
Apr 19 00:21:39 localhost su[17891]: (pam_unix) authentication failure;
logname=soleupix uid=1009 euid=0 tty=pts/0 ruser=soleupix rhost= user=root
HA INTENTADO HACERSE ROOT EL MUY HIJO DE SU MADRE
Apr 19 21:51:25 localhost proftpd[16544]: localhost (cable248aXXX.usuarios.
retecal.es[212.183.248.XXX]) - USER soleupix: Login successful.
Apr 19 21:58:42 localhost proftpd[16606]: localhost (cable248aXXX.usuarios.
retecal.es[212.183.248.XXX]) - USER soleupix: Login successful.
Apr 20 15:46:26 localhost proftpd: (pam_unix) authentication failure;
logname= uid=0 euid=0 tty= ruser= rhost=cable248aXXX.usuarios.retecal.es user=soleupix
NO es muy listo ya que se ayuda de ftp para subir archivos al server. No debe conocer ni scp ni wget donde hubiera dejado menos rastro.
El archivo tar.gz me sonaba muy mal y después de descomprimirlo entro y resulta ser un juego de ganzúas para Linux:
Código:
- backdoored sshd-2.0.13
- better sniffer
- backdoored su
- better crontab (imo)
menuda joya lo que hay aquí dentro....
Al borrar el usuario soleupix ya no puedo mirar su crontab pero imagino cosas mu malitas (¿como se mira el crontab de un usuario sin crearlo? ¿se guarda en algún archivo de texto?)
En ese paquetico hay un shell y comandos como passwd o newgrp, ademas el troyano funciona por el puerto:
Código:
#define PORT 12497
y usa librerias del sistema para ascender de privilegios.
He pasado un chkrootkit y no ha devuelto nada sospechoso, pero podría ser que se haya contaminado el chrootkit tambien así que...
Espero que me ayudeis a pillar y denunciar a este CABRONAZO. De qué mala leche me pone la gente que se dedica a hacer estas cosas. ¡ CARCEL PARA LOS AUTÉNTICOS PIRATAS QUE JUEGAN A SER HACKERS!
De momento he enviado un mail a los responsables del servicio proeveedor de internet para que tomen las medidas oprtunas pero por investigaciones posteriores me hace pensar que quien yo creo que me está atacando resulta tener un windows lleno de virus hasta las cejas, con un escaneo de puertos he obtenido algo como esto:
Lo que me hace suponer que tiene el subseven como troyano o algún otro y otra persona ataca desde este equipo.
Espero que mucha gente apenda con esta historia, lo que está haciendo este lammer en España es delito y si las cosas se tuercen pienso denunciarlo.
