Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    maverick_cba
    Visitante

    Padrão Invasão Hacker

    Galera, venho atráves desde lhes comunicar uma experiência que me fora relatada hoje por um amigo meu e que me causou um certo medo.

    Pois bem, um amigo meu me contou hoje sobre uma invasão que recem fizeram à um servidor deles. O servidor roda Debian 3.1 com todas as atualizações em dia.

    Detalhes da invasão:
    Percevendo que ao tentar executar qualquer comando do shell como por exemplo ls, cd, e etc acontecia um erro do tipo segmentation fault. Achando estranho isso, meu amigo decidiu averiguar pois era um servidor de testes e que iria para a produção.

    Sem descobrir nada o motivo, ele resolve averiguar nos logs. E eis o espanto. Diversos acessos foram feitos na máquina utilizando o ssh com conta de root. Detalhe: a senha possuia 13 digitos

    Os bastidores:

    A invasão se deu pelo fato da instalação de algum pacote Debian infectado (que ainda não sabemos qual) que monitorava os comandos digitados no shell, com isso o hacker conseguiu seu primeiro sucesso, invadir uma conta não privilegiada. Apartir do momento que alguem logou com a senha do root, o bendito script (vírus ou sei lá) capturou a senha e enviou para o invasor, com isso ele acessou a máquina e liberou o acesso via ssh direto a conta de root.

    Em seguida habilitou um serviço de smtp na máquina (acho que ele queria disseminar spam) e tb a porta 7000.

    Depois começou a vasculhar os arquivos do servidor. Como era um servidor web, o danado abriu os fontes dos arquivos e achou a senha do servidor mysql remoto.

    Ele tentou uma série de invasões inserindo scripts em pearl no servidor mysql. A sorte foi que em nehuma das tentativas de invasão ao mysql foi bem sucedida, porem ele já possuia informações demais para manipular toda a infra-estrutura da máquina.

    A solução foi formatar a máquina e liberar o acesso ao shell somente a um determinado ip.

    Agora lhes faço a pergunta que me deixou indignado e com medo.
    Quem nos garante a integridade dos pacotes que estão disponíveis no Debian atráves do apt-get?

    Pelo que eu sei, qualquer um pode desenvolver seus pacotes e coloca-los disponíveis para download através do apt-get sem que haja nenhuma verificação disso.

    Estou indignado, pois pensei que tinha achado uma ótima distribuição.
    Estou voltando para o slackware que ainda considero seguro e leve.

    Fica aqui o alerta aos senhores adminstradores de sistemas que tanto penam assim como eu para manter a segurança dos mesmos.

  2. #2

    Padrão Invasão Hacker

    Fica um alerta a seu amigo que ao inves de botar o servidor pra funcionar com pacotes stables, botou com pacotes instables e com fontes desconhecidas... sem contar que nao deve ter posto firewall...

    Se era um servidor web deve ter deixado um monte de portas abertas ao invés da 80...

    Pede pra ele reinstalar tudo e fazer outra verificação (não estou querendo com isso dizer que o sistema é 100% a prova de falhas e a culpa foi dele)

    Ele tem pelo menos nos logs dele o ip do invasor?

  3. #3
    maverick_cba
    Visitante

    Padrão Invasão Hacker

    Ainda não sei se o motivo foi o uso de pacotes unstable, pois irei averiguar com ele, mas de qualquer forma avia um programa espião que estava enviando dados para o invasor e ele me garante que não instalou nenhum software que não fosse através do apt-get. Portanto acredito eu que existe programas maliciosos nos mirrors do Debian. Afinal alguem com mas intenções poderia imbutir um espião em algum programa.

    Até onde sei havia instalado no servidor somente o apache + mysql + php.

    Quanto ao firewall, ele não implantou um sistema de firewall pois o PC estava por trás de um firewall de uma Organização (que não vou falar o nome) que do tamanho que ela é e o tipo de informações que ela trabalha, no mínimo deveria ter o maior sistema de segurança do estado. Mas depois dessa percebeu-se que o firewall dos caras era só fachada, pois a porta 7000 estava liberada.

  4. #4

    Padrão Invasão Hacker

    O mesmo se o cara usar versão unstable, é feio se isso for verdade, porque uma distro que prima pela segurança e tals permitir que qq um poste programas nos repositorios nao da certo, acho que se for verdade isso teria de ser repassado para a comunidade ficar esperta.

    falows

  5. #5
    alex_sorocaba
    Visitante

    Padrão Invasão Hacker

    hehehehe, de uma coisa eu sei o "hacker" num eh muito bom nao, pois colocou um rootkit muito porco no sistema ou nao soube configurar ou portar o rootkit pro sistema em questao
    um servico muito mal feito.

    Pra que ele vasculharia arquivos no servidor em busca senhas ou vulnerabilidades do mysql sendo que ele jah tinha root?

    creio eu que foi assim, pois num ficou muito claro: o invasor deve ter acessado primeiramente os scripts do servidor, conseguiu ver a senha do mysql nos scripts que por acaso acessam o bd com senha de root que seria a mesma do ssh. dai comecou o ataque. colocou um rootkit e um sniffer, creio eu que essa porta 7000 seria uma cmd com suid.

    ssh pra root

  6. #6

    Padrão Invasão Hacker

    Citação Postado originalmente por alex_sorocaba

    ssh pra root
    eh td bem liberar acesso soh p um ip...mas pq o acesso pelo ssh do root seu amigo precisa mesmo? naum pode criar um user p poder acessar?

  7. #7

    Padrão Invasão Hacker

    Acho que foi má configuração.... o qual experiente é esse seu amigo em linux?

    Por exemplo, tanto Debian quanto Slackware, out-of-the-box, dependendo da instalação sao relativamentes um tanto "abertos" com muito servicos desnecessarios e entre outras coisas, quanto aos pacotes instables realmente nao é uma boa utilizar mas nao deveria trazer falhas de segurancas assim, que pacotes seriam esses? se fosse disse que so havia o trio infernal (php mysql apache) ? sera q ele nao instalou anda mais? so havia mysql e apache para fora? ou mais alguma porta? ops tirando o ssh.. e pow accesso ao ssh de root é feio... PermitRootLogin so em maquina cobaia q eu to preguissa de copiar para o home do usuario normal.

    Sao muitos casos a se analisar, quanto a 13 digitos, isso nao implica em nenhum aumento na seguranca a nao ser a ataques de forca bruta, pois o hash md5 (default no linux) nao varia conforme o tamanho da string.

    Na boa, nao da para culpar o SO/Distro so por causa de um caso... eu sempre tento manter meus sistemas atualizados e sempre bem configurados, mas isso nem sempre é o caso, hoje em dia eu tenho um cliente a mais de um ano rodando um Debian 3.0 (sem patches, durante um ano obvio) e ate onde eu sei nao houve problemas de invasao. E antes que me culpem eu tenho q receber $$$ para manter os sistemas atualizados, mas entretanto tenho outras maquinas com o 3.1 atualizado e bem configurado, Conectiva, RedHat, etc que nao dao dor de cabeca, basta voce ter os servicos bem configurados e atualizados e minimizar o acesso fisico (principalmente) e shell local a maquina.

    O unico SO que se gaba de security out of the box é o OpenBSD, o resto nao vem com essa visao de ser "totalmente" seguro apos uma instalacao padrao, exceto as distros voltadas para seguranca/firewall.

    Entao antes de voltar para o seu Slackware ou qualquer outra distro, voce nao pode condenar um SO por um unico caso isolado e maquina de teste, que ainda iria para producao, se ele ainda iria para producao o que estava fazendo em uma rede "desprotegida" , servidor só entra em producao quando esta REDONDO. Ah e outro nota, ja usei Slackware por muito tempo tambem.

    Eu tenho é medo de plugar SO na rede sem atualizar, so da bronca, ainda mais na internet, infelizmente tenho um caso a citar que quando tenho q instalar Windows 2000 eu nem plugo ele na rede, porque ele ja pega o Blaster antes deu terminar o 1o boot, ou seja, tenho q atualizar ele offline e depois plugar o cabo, ate que com os meus penguins e diabinhos eu nao tenho esse problema... mas na internet sem atualizacao nunca (os meus é claro hehe)

    Espero que o post nao tenha ficado muito grande (mas ficou) ai entao ja da para ter alguma ideia da situacao, vale a pena voce averiguar toda a situacao que ocorreu de fato e fazer um full checkup no seu ja que voce esta desconfiado e tentar voce mesmo encontrar alguma vulnerabilidade, pois sempre serão abertas portas, afinal ninguem 'hackeia' e vai embora, quer manter a porta aberta, afinal um host na internet é sempre um host para fazer o mal.

  8. #8

    Padrão Invasão Hacker

    esse rootkit chama-se "SuckIT", ele tema habilidade de sniffar um tty em busca de passwords de conexoes ssh ou do sudo...
    nc acredito que mesmo os pakotes do debian tenham esses buracos..
    é bem provavel que tenha sido um script PHP mal escrito que tenha aberto a brecha..

    viva aos IDS/Logserver centralizados!!

  9. #9
    silmar
    Visitante

    Padrão Invasão Hacker

    Agora eu acredito que ele deva ter feito como trampei como um doido num final de semana prolongado e depois de tudo funcionando os dois servidores linux eu liguei na net e fiz um monte de coisas .. mas deixei de colocar o firewaal ja prono no ar ..
    huhauuhaua conclusão .. no dia que a turma foi trampar .. nada funcava
    e quando fui ver .. foi a minha burrice de ter deixado de colar o firewall no ar ...

  10. #10

    Padrão Invasão Hacker

    Calma, minha gente. Vamos destrinchar um pouco o assunto.

    Os pacotes .deb dos repositórios oficiais da Debian são extensivamente testados durante todo o processo de inclusão de um pacote, independente do release (Stable, Testing ou Unstable). Não entendam que pelo desenvolvimento de uma distribuição ser aberto à comunidade, isso quer dizer que ele é bagunçado. Sempre tem alguém organizando e olhando os conteúdos dos pacotes oficiais da Debian.

    Se a conjectura de que o pacote que seu amigo puxou pelo apt-get foi realmente o causador de todo o mal for verídica, eu boto a minha mão no fogo que não foi nos repositórios oficiais que ele encontrou tal pacote. O que me leva a acreditar nisso é o fato dele ter pacotes da Unstable no servidor. Onde já se viu um pacote da Unstable em um servidor de produção?

    Levando o meu raciocínio mais adiante: Para seu amigo utilizar pacotes da Unstable no servidor, ele logo teria que editar o /etc/sources.list e ter adicionado o repositório lá. O que impede que ele tenha adicionado um repositório não-oficial?

    Não estou tentando acusar ninguém, mas eu nunca ouvi falar de uma invasão por pacotes oficiais da Debian. Nenhum sistema é 100% seguro, mas também não vai ser inseguro a ponto disto, sem mencionar que a Debian possui um nome a zelar.


    Um abraço, saúde e cuca-fresca.

  11. #11

    Padrão Invasão Hacker

    Citação Postado originalmente por xstefanox
    Calma, minha gente. Vamos destrinchar um pouco o assunto.

    Os pacotes .deb dos repositórios oficiais da Debian são extensivamente testados durante todo o processo de inclusão de um pacote, independente do release (Stable, Testing ou Unstable). Não entendam que pelo desenvolvimento de uma distribuição ser aberto à comunidade, isso quer dizer que ele é bagunçado. Sempre tem alguém organizando e olhando os conteúdos dos pacotes oficiais da Debian.

    Se a conjectura de que o pacote que seu amigo puxou pelo apt-get foi realmente o causador de todo o mal for verídica, eu boto a minha mão no fogo que não foi nos repositórios oficiais que ele encontrou tal pacote. O que me leva a acreditar nisso é o fato dele ter pacotes da Unstable no servidor. Onde já se viu um pacote da Unstable em um servidor de produção?

    Levando o meu raciocínio mais adiante: Para seu amigo utilizar pacotes da Unstable no servidor, ele logo teria que editar o /etc/sources.list e ter adicionado o repositório lá. O que impede que ele tenha adicionado um repositório não-oficial?

    Não estou tentando acusar ninguém, mas eu nunca ouvi falar de uma invasão por pacotes oficiais da Debian. Nenhum sistema é 100% seguro, mas também não vai ser inseguro a ponto disto, sem mencionar que a Debian possui um nome a zelar.


    Um abraço, saúde e cuca-fresca.

    Obrigado pela pequena aula stefano realmente achava que era assim que funcionava o repositorio, mas como o cara veio dizendo que pegou pelo apt e nao disse se foi do repositorio oficial fiquei de pe atras, pois achava que o sistema do debian era assim, mas agora tenhoc erteza que foi algum erro de quem fez o servidor, falows

  12. #12

    Padrão Invasão Hacker

    E se os mirrors oficiais (ou pelo menos algum deles) tenham sido comprometidos ? Os responsáveis pela segurança, em geral, não publicam o caso. Seria mais um ? Há tantas perguntas sem respostas...

    Vamos nos ater ao fato de que o servidor do nosso amigo tenha sido invadido.

    Deseja descobrir como ocorreu e se realmente ocorreu ?
    Este servidor está parado, em modo RO (read-only) ?
    Pode nos informar qual versão do sistema, kernel e daemons (inclusive os módulos) ?

    Bom, como diria meu amigo Jack, vamos por partes.

    Abraços.

  13. #13
    mcm
    Visitante

    Padrão Invasão Hacker

    Eu acho que muita coisa tem que ser analizada e verificada antes de condenarmos um SO (a não ser que seja Windows :twisted: ).

    Mas, muita coisa tem que ser verificada antes de colocarmos um SO que possa ser alcançado através da Internet na rede.

    Inicialmente, além do processo de blindagem padrão (desativação de serviços desnecessários e recompilação de kernel para a também remoção de recursos desnecessários), os serviços que ficaram ativos (se era necessário que permanecessem todos ativos), deveriam ser protegidos pelo IPTABLES local da máquina (tudo bem que a empresa tenha Firewall, mas sempre vai existir a chance de um ataque interno).

    Se depois de todas essas ações tomadas o SO fosse ainda comprometido, e ainda assim todos os pacotes instalados forem oficiais do Debian (ou de algum Mirror oficial do Debian), aí sim eu acreditaria que algum pacote poderia ter trazido isso.

    Muito cuidado para esse tópico não virar uma "Flame War".

    []s!

  14. #14

    Padrão Invasão Hacker

    Hehe esta proximo disso... estao cutucando os fãs do debian, no meu caso, eu uso debian sim para servidores de producao
    Quanto a alguem invadir um mirror, essa possibilidade tambem existe mas os mirrors sao sincronizados diariamente e ate mais de uma vez por dia na maioria deles, logo se alguem colocou um pacote "hacked" ele acusaria diferenca na hora da sincronização e provavelmente seria substituido pelo pacote "bom", ou o nosso amigo teve muito azar na hora de baixar nesse exato momento? (acho que o cara tava querendo ownar uma maquina de teste buggando justo o mirror que ele tava catando.. hehe bom brincadeirinha)

    e aí alguem jah descartou a possibilidade de invasão local? onde estava fisicamente o servidor? qualquer SO é uma crianca quando alguem ta sentado na frente dele do monitor e teclado, aí é facil de tirar doce de criança.

    Hehe quanto a condenar o windows é legal :P, mas a cada dia que passa eu fico preocupado com os meus, mas fazer oque né.. a gente nao manda em tudo... so da para obdecer :roll: aí nao tem como tirar eles da internet hehe :cry: :cry: :cry: (gracas a deus que eles estao virgens ate hj 6) )

  15. #15

    Padrão Invasão Hacker

    Citação Postado originalmente por ph0enix
    E se os mirrors oficiais (ou pelo menos algum deles) tenham sido comprometidos ? Os responsáveis pela segurança, em geral, não publicam o caso. Seria mais um ? Há tantas perguntas sem respostas...

    Vamos nos ater ao fato de que o servidor do nosso amigo tenha sido invadido.

    Deseja descobrir como ocorreu e se realmente ocorreu ?
    Este servidor está parado, em modo RO (read-only) ?
    Pode nos informar qual versão do sistema, kernel e daemons (inclusive os módulos) ?

    Bom, como diria meu amigo Jack, vamos por partes.

    Abraços.
    Quando o servidor deles (Na época o gluck) foi derrubado, eles avisaram.

  16. #16

    Padrão Invasão Hacker

    LOGS LOGS LOGS!!! meus caros...lá tem tudo!..
    se eles já n existirem, uma análise forense de certo que vai dar mais informaçoes preciosas já agora, o firewall n loga tb?

  17. #17
    mcm
    Visitante

    Padrão Invasão Hacker

    Até poderia ser, mas a análise Forense ter que ser realizada o mais rápido o possível (até mesmo para capturar os vestígios do ataque que ainda poderiam estar na RAM).

  18. #18
    truta...
    Visitante

    Padrão invasão no debian 3.1

    engraçado, o cara faz um bocado de invasão, faz estripulias, e esquece de apagar arquivos de log...
    hackerzinho fuleiro esse.

  19. #19

    Padrão Invasão Hacker

    Mas vale o alerta a galera que fique esperta !!!


    Abraçao !!!

  20. #20

    Padrão Invasão Hacker

    Citação Postado originalmente por ph0enix
    E se os mirrors oficiais (ou pelo menos algum deles) tenham sido comprometidos ? Os responsáveis pela segurança, em geral, não publicam o caso. Seria mais um ?
    Abraços.
    tenho a impressão de que vc esteja confundindo os SO. TODOS os SO de código aberto publicam sistematicamente as vulnerabilidades encontradas e suas correções, às vêzes algumas horas depois destas terem sido descobertas. NENHUM SO de código aberto OMITE/SONEGA informações à comunidade. 6)