bucato tramite CUPS?!

[chris70]

Mi sa che m'hanno bucato attraverso una delle falle di CUPS segnalate qui http://www.debian.org/security/2008/dsa-1530; credo sia quello perchè ad un certo momento ho notato la CPU imballata al 100%, top segnalava che il processo che la occupava era "usb"; la stampante, condivisa, in quel momento era spenta, accendendola la CPU s'è scaricata, ma il sistema era insolitamente instabile, e dando un ps (come top, o lsof) il listing si bloccava, queste le ultime (e credo interessanti) righe:

Codice:

15710 ?        S      0:00 /bin/sh /usr/bin/rkhunter --cronjob --report-warnings-only --appendlog
15711 ?        D      0:00 /usr/bin/lsof -F n -w -n
15712 ?        S      0:00 /usr/bin/lsof -F n -w -n
15713 ?        S      0:00 grep ^n/
15714 ?        S      0:00 sed -e s/^n//
15715 ?        S      0:00 /usr/bin/sort
15716 ?        S      0:00 /usr/bin/uniq
15717 ?        S      0:00 egrep /(backdoor|adore\.o|mod_rootme\.so|phide_mod\.o|lbk\.ko|vlogger\.o|cleaner\.o|mod_klgr\.o|hydra|hydra\.restore)$
16116 ?        S      0:00 [pdflush]
16189 ?        S      0:00 /USR/SBIN/CRON
16190 ?        Ss     0:00 /bin/sh -c test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
16191 ?        S      0:00 /bin/sh -c test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

(se è normale attività di rkhunter non ho mai visto nulla di simile ) ho quindi spento immediatamente il modem, dopodichè ho provato a lanciare sia rkhunter sia chkrootkit, che però freezavano entrambi; allora, dato l'orario, ho spento tutto, e i log proverò a smazzarmeli stasera (se volete che posti qualcosa in particolare...). Preciso che la macchina in questione non è quella direttamente esposta a internet, cioè il gateway (su cui non ho notato nulla di insolito), ma una della rete interna. Ora, io che non ho chissà quale esigenza, e non sono affatto un esperto in materia, sul gateway per firewall e NAT ho due semplicissimi scripts, che finora mi pare avessero fatto il loro lavoro:

Codice:

#!/bin/bash
iptables -F INPUT
iptables -F OUTPUT
iptables -P INPUT DROP
iptables -A INPUT -j LOG
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_nat
modprobe ipt_MASQUERADE
iptables -t nat -A POSTROUTING -d ! 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -j DROP
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Aggiungo che su quelle macchine non gira software P2P, non navigo per siti loschi, insomma, una normalissima utenza domestica. C'è qualche anima pia che possa darmi qualche dritta, suggerimento?

[tindal]

mah... a me non sembra ci sia nulla di allarmante

rkhunter è evidentemente uno script (viene eseguito da /bin/sh), che tra altre cose (immagino) lancia lsof in pipe con qualcos'altro (l'opzione -F serve a formattare l'output per trattarlo con un altro comando)
questo qualcos'altro pare essere grep, che nel caso in questione seleziona tutte le righe che iniziano con la stringa "n/" (prova a lanciare lsof in quel modo e vedi perchè)
successivamente l'output passa a sed, che toglie i "n/" iniziali (comando "s" = substitute, vedi "man sed")
l'output di sed viene poi messo in ordine alfabetico (sort) e vengono eliminate li righe doppie (uniq), poi viene filtrato (grep) in cerca di nomi noti di virus e programmi malevoli (backdoor, adore.o, mod_rootme.so, phide_mod.o lbk.ko, vlogger.o, cleaner.o, mod_klgr.o, hydra, hydra.restore)

la cosa che mi risulta più curiosa è quel /USR/SBIN/CRON (unix è case sensitive), ma penso che la spiegazione non coinvolga penetrazioni dall'esterno

peraltro, non vedo come un attaccante da internet potrebbe sfruttare una vulnerabilità di CUPS, dal momento che CUPS è dietro NAT e non hai nessun forward della porta 631 (su cui ascolta CUPS), a meno che non sia stato compromesso prima il gateway

comunque, non dico che non sia possibile che ti abbiano bucato, ma in quello che hai postato non ne vedo le tracce... magari se qualcun altro ha più esperienza in materia può vedere qualcosa che io non ho visto

ciao
tindal

[chris70]

Ciao tindal, e grazie per la risposta; anch'io avevo fatto le tue stesse considerazioni circa il modus operandi di cron e rkhunter, e avevo anche cercato di replicare su un altra macchina, senza però riuscire a far saltare fuori i PID dei processi figli (che sarà anche ovvio, dato che nella normale esecuzione dovrebbero essere molto rapidi, mentre nell'altro caso evidentemente qualcosa che si era impallato per bene); comunque proprio adesso mi sto scartabellando un po' i log, e vedo che ieri sera, all'ora in cui s'è verificata l'anomalia, è partita una connessione samba dall'IP del gateway; che non ci dovrebbe essere, perchè samba tra quelle due macchine lo uso rarissimamente, e di certo non ieri sera (per dire, il precedente accesso è registrato ad Agosto 2007). Ora sul gateway sta girando una live con le solite quattro regole di iptables e l'altra macchina interessata è spenta. Vorrei approfondire e indagare per cercare di capire esattamente che è successo, ma questo non poteva essere momento peggiore, tempo zero e lucidità meno. Ergo se non c'è nessuno che ha qualche sospetto mirato (con relativo consiglio mirato), mi sa che faccio prima a rasare a zero entrambe le macchine [sospirone], almeno dormo tranquillo.

PS: comunque il PC era completamente inutilizzabile, tutte le app grafiche che ho provato a lanciare non partivano (tranne nautilus, anche se con molta calma), ma soprattutto qualsiasi comando impallava la shell, comprese le tty (infatti dopo la sesta non potevo fare più nulla e sono andato di alt+stamp+b). E' solo due anni che uso GNU/Linux, ma non l'ho mai vista una roba così, se non in occasione di problemi hardware (e l'ho già fatto il memtest ).

[metaldaze]

Mah, io pure, come Tindal,  escluderei un attacco esterno per il fatto che sei sotto NAT. Comunque per toglierti ogni dubbio potresti usare uno sniffer (tcpdump ad esempio) e vedere se vedi del traffico sospetto. Io avrei ancora qualche dubbio sul problema hardware nonostante il memtest, magari potrebbe esserci un problema sulla mobo. Hai provato ad avviare la macchina incriminata con una live e vedere se la lentezza rimane?

[chris70]

OK, anch'io vorrei escludere tra le esclusioni comunque credo di poterci mettere il problema hardware, l'altra sera i log me li sono salvati con Sabayon, ieri poi mi sono installato su una partizione parallela la Sid AMD64 da cui sto scrivendo, e l'ho stressata con una furibonda sessione di OpenArena; va tutto benone, come suo solito. Quando avrò un po' ti tempo e calma seguirò il tuo consiglio di analizzare il traffico con tcpdump, mentre riguardo al gateway ho deciso di tagliare la testa al toro: una macchina da vivisezionare è già abbastanza, al momento, inoltre sto così sul minimale che ci metterò un ora a sistemare tutto. Grazie per gli interventi.