Szpieg

[ann.k]

witam serdecznie

bo ja tu pierwszy raz :)

sluchajcie sprawa jest taka; ktos mi sie namietnie wlamuje do serwera;
musi miec u siebie na komputerze jakis program, ktory odszyfrowuje mu haslo
roota i wylacza logi na serwerze, bo dzialanie goscia jest takie:
ja zmieniam haslo roota codziennie i nie na typowe - sklada sie z liter i
cyfr - a potem w logu mam, ze ma nieudana probe logowania i za kilka sekund
juz wchodzi na serwer jako root; od tego momentu logi serwera "sie
wylaczaja"; podejrzewam, ze sprawe zalatwia mu jakis program;

mam do was dwa pytania:
1) jaki to moze byc program? dziala najprawdopodobniej pod windowsem;
2) chce sie dowiedziec co on robi na tym serwerze, jakie wydaje polecenia, po
czym lazi; poszukuje wiec jakiegos programiku, ktory szpiegowalby jego
dzialalnosc; ma chodzic w tle i zapisywac co bylo uruchamiane, moze nawet
jakie klawisze wciskane; znacie takie program? jesli tak, podrzuccie prosze
linka;

wiem, ze najprosciej byloby zglosci sprawe w prokuraturze, ale zanim to
zrobie, chce wiedziec co ten gosc robi;

[yuurei]

W zasadzie to ja sie nie znam ale... możliwe, że podrzucił Ci jakiegoś
trojana. Spróbuj zrobić coś takiego: odłącz serwer od sieci na moment zmień
hasło i zobacz, czy będzie właził na nowe hasło. Przy odłączeniu od sieci
raczej nie ma fizycznej możliwości, żeby ktoś zdalnie to hasło odczytał. Jeśli
wepniesz kompa do sieci z powrotem i nadal ktoś będzie to hasło przejmował to
możliwości jest parę:
- albo ktoś znalazł u Ciebie jakiegoś exploita (podobno ostatnio w Sambie
znaleziono coś poważnego)
- albo jest coś nie tak z katalogiem z hasłami (brak shadow passwords na
przykład)

A jak nie to nie wiem. Trza by większych specjalistów. Aczkolwiek chętnie się
dowiem co to mogło być, jak się dowiesz :)

I wogóle lepiej na roota się nie logować. Pobawić się z sudo na przykład. Albo
korzystać z 'su' chociaż nie wiem, czy to daje jakieś bezpieczeństwo większe.

[ann.k]

no wiec wyjasniam; w poniedzialek wypielam serwer z sieci; wrocil do niej
wczoraj i godzine po tym jak wrocil, gosc sie znowu tam dostal; przejrzalam
caly serwer, ale nie widze tam zadnego trojana;
sprawa jest dosc.... zlozona; ten koles co sie wlamuje byl kiedys adminem w
naszej firmie; odszedl sam, ale z niezrozumialych dla nas powodow, probuje sie
mscic; niby nic nie miesza, nic nie sciaga, ale nas wkurza to, ze sie wciaz
loguje do nas; do poniedzalku jeszcze mogl lazic po sieci wewnetrznej, teraz
juz nie ma takich mozliwosci;

[yuurei]

Przydała by się konfiguracja serwera. Możliwe, że
korzysta z jakiejś dziury na kernelu/demonie lub innej
usłudze. Albo czyta katalog z hasłami... lub zostawił
sobie jakąś tylną furtkę. :)

[petert]

No czesc

Widze ze pierwszy raz, Czytam Co piszesz i wlosy mi staja
deba na glowie ...

Tragedia ...

Jezeli juz wqiesz ze ktos Ci sie wlamal, to server MUSI
zostac natychmiast odlaczony od SIECI, FIZYCZNIE, czyli
przez wyjecie kabelka ( dla wiekszego dramatu kabelek
mozna uwalic wielka siekiera :) ), i PZREINSTALOWANY z OD
ZERA, bop tak naprawde nie wiesz co gosc Ci zostawil, a
bedac rootem mogl zrobic wszystko, poczawszy od czytania
klawiatury a skonczywszy na podmianie kernela. Ozatym,
kto pozwala rootowi na remote logowanie ...
polecam dowiedziec sie co to tcp wrapper i do czego sluza
/etc/host.denied i host allowed, jak dla mnie to
najlepsza i najprostsza metoda blokowania.

Aha, zanim zaczniesz kombinowac policz czy warto:
ile wydasz na zabezpieczenie servera podziel przez
wartosc danych, dla normalnych warunkow powinno byc max 0.5.

milego

[ann.k]

jest sobie kilkuosobowa firma; w firmie adminem byl jeden ze wspolwlascicieli;
wszyscy wiec mieli do niego nieograniczone zaufanie i nikt mu nie zagladal co
on robi z serwerami; nikomu nie przeszkadzalo, ze sie loguje zdalnie i zdalnie
wykonuje pewne czynnosci, bo dzieki temu nie musial byc na miejscu w firmie,
mogl wykonywac inna prace, a przy okazji cos pomoc na serwerze;

ktoregos dnia oswiadczyl nam, ze odchodzi z pracy; przy okazji ukradl nam
kluczowego klienta (czyli kilkanascie tysiecy comiesiecznych dochodow);
nie sadzilismy, ze bedzie ciagle wlazil na nasz serwer, zwlaszcza, ze tego
samego dnia co powiedzial, ze odchodzi, my zmienilismy hasla; ze cos jest nie
tak zorientowalismy sie dopiero po kilku dniach; wtedy odpielismy serwer od
sieci; niestety to nie jest takie proste, bo poza tym, ze byl on naszym proxy,
byl tez DNSem, a bez niego nie moglismy zlozyc u siebie zadnej domeny; wiec po
utworzeniu zmian w katalogach hosts.deny i hosts.allow musielismy go wpiac z
powrotem, ale tylko z wyjsciem zewnetrznym; w trakcie robienia tych zmian
okazalo sie, ze plik SYSLOG nic nie zapisuje; zmienilismy mu haslo ( w trakcie
wszystkich operacji byl poza jakakolwiek siecia), wlaczylismy logi (proces sie
sam odpalil po restarcie) i poszlismy go wpiac; nie mozemy sobie pozwolic na
kilkudniowe odpiecie go od sieci, niestety; mozemy na innej maszynie stawiac
nowy serwer, ale tamten musi dzialac nonstop;

w kazdym razie w jakas godzine po wpieciu serwera do sieci, nasz byly admin
znow sie tam zalogowal i wylaczyl logi; wtedy postanowilismy poszukac programu,
ktory by dzialal poza logami i zapisywal wszystkie jego dzialania, pomimo
wylaczenia sysloga;

chcemy goscia podac do sadu, a do tego potrzeba nam dowodow; to ze sie loguje
jako root na serwer w firmie, w ktorej nie pracuje i loguje sie zdalnie, jest
dowodem na to, ze sie wlamywal (nawet jesli robil to przy pomocy jakiegos
exploita czy innego syfu); jest na tyle glupi, ze ubija sysloga nie kasujac
jego zawartosci, wiec ostatnim wpisem jest zawsze : "accepted password for root
from <IP>"; no i zapomina o zawartosci pliku "bash-history", a chyba nie wie o
istnieniu innych powlok, bo jest tam sporo informacji o jego dzialaniach :)

[petert]

> ktoregos dnia oswiadczyl nam, ze odchodzi z pracy; przy
okazji ukradl nam
> kluczowego klienta (czyli kilkanascie tysiecy
comiesiecznych dochodow);
> nie sadzilismy, ze bedzie ciagle wlazil na nasz serwer,
zwlaszcza, ze tego
> samego dnia co powiedzial, ze odchodzi, my zmienilismy
hasla;
> tak zorientowalismy sie dopiero po kilku dniach; wtedy
odpielismy serwer od
> sieci; niestety to nie jest takie proste, bo poza tym,
ze byl on naszym proxy,

Tragedia ....
Wydajcie pare zloty i zatrudnijcie kogos kto ma pojecie ...

> byl tez DNSem, a bez niego nie moglismy zlozyc u siebie
zadnej domeny; wiec po

proxy i dns na jednej maszynie ... tego sie zwyczajnie
nie robi ... jezeli mi jeszcze powiesz ze wszystko
pracowalo na windows , to mi leb ze smiechu urwie.

> utworzeniu zmian w katalogach hosts.deny i hosts.allow
musielismy go wpiac z
> powrotem, ale tylko z wyjsciem zewnetrznym; w trakcie
robienia tych zmian
> okazalo sie, ze plik SYSLOG nic nie zapisuje;
zmienilismy mu haslo ( w trakcie
>
> wszystkich operacji byl poza jakakolwiek siecia),
wlaczylismy logi (proces sie
> sam odpalil po restarcie) i poszlismy go wpiac; nie
mozemy sobie pozwolic na
> kilkudniowe odpiecie go od sieci, niestety; mozemy na
innej maszynie stawiac
> nowy serwer, ale tamten musi dzialac nonstop;

Nie ma tak ze musi. Twoja firma musi sobie policzyc, co
jej sie bardziej oplaci 1 dzien przestoju, Czy ryzyko ze
ktos znow ukradnie dane i rozwali wam system w najgorszym
mozliwym momencie.
>
> w kazdym razie w jakas godzine po wpieciu serwera do
sieci, nasz byly admin
> znow sie tam zalogowal i wylaczyl logi; wtedy
postanowilismy poszukac programu,
>
> ktory by dzialal poza logami i zapisywal wszystkie jego
dzialania, pomimo
> wylaczenia sysloga;
>
> chcemy goscia podac do sadu, a do tego potrzeba nam
dowodow; to ze sie loguje

W normalnym sadzie, w normalnym kraju logi sa dowodem.
powinniscie miec date godzine i adres z ktorego sie
logowano, jak rowniez potwierdzenie/logi z tamtej
maszyny. Jezeli chodzi o sad w polsce to musisz sie
upewnic ze sad ma pojecie ile moga byc warte dane i ze na
prawde sa drozsze od samego komputera, Mala nadzieja cos
uzyskacie , ale zawsze jest.
> jako root na serwer w firmie, w ktorej nie pracuje i
loguje sie zdalnie, jest

powodzenia

aha, jak masz jakies pytania pisz na rudy@ruudy.com

[pollak]

ann.k napisała:

> ja zmieniam haslo roota codziennie i nie na typowe - sklada sie z liter i
> cyfr - a potem w logu mam, ze ma nieudana probe logowania i za kilka sekund
> juz wchodzi na serwer jako root; od tego momentu logi serwera "sie
> wylaczaja"; podejrzewam, ze sprawe zalatwia mu jakis program;

Wchodzi przez jaką usługę? Telnet, ssh? Może ssh jest trefne, uaktualnijcie. A
najlepiej zainstalujcie system od nowa, bo mógł zostawić sobie jakieś tylne
drzwi. Czy hasło roota po jego ingerencji pozostaje to samo?