Collegamento indesiderato tramite ssh

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

Collegamento indesiderato tramite ssh

Messaggioda Mark17 » 22/05/2017, 17:27

Buongiorno a tutti, sono nuovo del forum, e sono qui (disperato) a chiedere qualche dritta... grazie in anticipo.

Espongo il mio problema:
Ho un piccolo server debian jessy che uso come serverino di backup, quindi con samba installato e configurato, tale server invia anche qualche mail di conferma all'esterno, e quindi dotato di dns e gateway, ho commesso il tragico errore di lasciare un utente test attivo e con pwd blanda, e purtroppo sempre per test la 22 rediretta... erogo, brute force e mi hanno bucato..
Ho tempestivamente rimosso utenti indesiderati e sostituito pwd per tutti gli user (root, io, e user test), e rimosso il gw dalla macchina.

Col gateway attivo ho eseguito questi controlli:

netstat -n | grep 22 (e oltre alla mia sessione, vedo una sessione che va su verso un ip cinese (ip che a seguito di controlli risulta un ip usato per brute force 218.....))

lsof -i mi dice che la connessione è aperta da root, ed un'altra da user1 (io) entrambe da con sshd

who mi dice che sono solo io autenticato.

Ho il sospetto che sia stato installato o scriptato qualcosa che dal mio server, chiama questi ip.

come potrei procedere per capirci qualcosa in piu?
come capire chi "indica" ad sshd di mettersi in ascolto?

ho rimosso --purge ssh e opensshserver, e rimesso il tutto, ma nulla di risolto.

grazie mille in anticipo
ciao.

p.s.
in var log system note anche delle tastiere virtuali (altre ad esserli accordo proprio da quel log che veniva effettuato un accesso tramite quel maledetto user test)
Mark17
Newbie
Newbie
 
Messaggi: 3
Iscritto il: 22/05/2017, 17:13

Re: Collegamento indesiderato tramite ssh

Messaggioda byte64 » 22/05/2017, 17:47

Dai un occhiata qui: http://www.chkrootkit.org/
Installalo e fallo girare il prima possibile.
Però la cosa migliore penso sia una bella reinstallazione, magari di una debian più aggiornata, a breve uscirà la nuova stable, stretch, quindi potresti passare direttamente a quella.
Ti salvi la /etc attuale come promemoria per le configurazioni più importanti, e ovviamente i dati, poi con un po' di pazienza rimetti su il server.

Ciao
byte64
Sr. Member
Sr. Member
 
Messaggi: 351
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: Collegamento indesiderato tramite ssh

Messaggioda Mark17 » 22/05/2017, 19:04

Grazie mille per le info, ho eseguito apt-get install chkrootkit, e poi chkrootkit, e dall'output mi sembra non ci sia nulla di rilevato, posso postare l'output qui?
Mark17
Newbie
Newbie
 
Messaggi: 3
Iscritto il: 22/05/2017, 17:13

Re: Collegamento indesiderato tramite ssh

Messaggioda byte64 » 22/05/2017, 20:35

Se non supera il numero di caratteri consentito, perchè no?
Altrimenti lo comprimi e lo metti in qualche sito di condivisione.
byte64
Sr. Member
Sr. Member
 
Messaggi: 351
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: Collegamento indesiderato tramite ssh

Messaggioda Mark17 » 22/05/2017, 21:09

Ok, lo carico da qualche parte e posto il link...
Riflettendo (adesso, che il panico e la lotta tra me ed sshd, verso lip cinese, è finita) pensavo..
Netstat grep 22 mi ha indicato la connessione 22 verso ip cinese lsof -i mi ha indicato che è stata instaurata da sshd.

ora, premesso che sono dietro fw hw, e che la policy input è drop, ma che le connessioni related ed established sono accept, posso ipotizzare che qualche rootkit chiamava il server dell'attaccante, e che esse poi si colleggasse mezzo ssh, o ancora meglio che il rootkit si collegava in ssh verso il server?

in net stat ho visto piu volte, synrecv, established , e close ma mai listening, quindi era il mio che si collegava all'attaccante...

Ipotesi corretta, se no, dove sbaglio?

grazie mille ancora
Mark17
Newbie
Newbie
 
Messaggi: 3
Iscritto il: 22/05/2017, 17:13

Re: Collegamento indesiderato tramite ssh

Messaggioda byte64 » 23/05/2017, 7:29

Era proprio così, dal tuo server usciva una connessione via ssh verso il server cinese che poi probabilmente creava un revers tunneling per operaare nuovamente dal tuo server.
In questi casi è sempre bene disabilitare completamente ssh ed anche telnet, ed inoltre fino a che non si risolve droppare tutto il traffico del server, magari scollegando anche fisicamente lo stesso, ovviamente devi avere accesso fisico alla macchina.
byte64
Sr. Member
Sr. Member
 
Messaggi: 351
Iscritto il: 07/01/2017, 19:02
Località: Bergamo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti