[securite] machine gentoo hackée

damsos

Bonjour à tous,
je me suis fait hacké ma machine

des que je la branche au net, elle bombarde le reseau en tentatives de connection ssh (j'ai bloqué le protocole sur la livebox), qui rend
celui ci inutilisable.
Auriez vous un conseil à donner pour essayer de recupérer la situation ?
merci,
_________________
so much to do, so little time.

netfab · Posted: Tue Mar 22, 2011 12:33 pm Post subject:

Au final, le meilleur conseil que tu auras sera de réinstaller le système. Fais toi une raison tout de suite

sunseb7 · n00b Joined: 06 Feb 2011 Posts: 15

Tu as une idée de comment tu as pu te faire hacker ?
_________________
sunse8

aCOSwt · Posted: Tue Mar 22, 2011 1:07 pm Post subject:

Pour commencer avec 2 centimes...

1/ Bloque le(s) ports concernés
2/ lsat te raconte-t-il des choses intéressantes
3/ Identifier les processus qui utilisent le(s) ports concernés

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

C'est toujours chiant cette utilisation du mot "hack" à tord et à travers... laissez ça aux journaleux qui ne pigent rien à rien.

Tu t'es fais piraté (hijhacked si tu veux) mais pas "hacké".

Poussin · l33t Joined: 08 Jun 2007 Posts: 659 Location: Liège

damsos · Posted: Tue Mar 22, 2011 2:15 pm Post subject:

lsat ne donne rien de particulier. (merci pour le conseil)
je ne sais pas trop comment c'est arrivé, peut etre parceque
j'avais laissé le port ssh ouvert sur la livebox avec un mdp root un peu
trop evident.
C'est la premiere fois que je me fais rooté, ca me servira de lecon.
_________________
so much to do, so little time.

aCOSwt · Posted: Tue Mar 22, 2011 2:26 pm Post subject:

damsos · Posted: Tue Mar 22, 2011 2:36 pm Post subject:

toujours rien

_________________
so much to do, so little time.

aCOSwt · Posted: Tue Mar 22, 2011 2:46 pm Post subject:

Quand ta bécane bombarde le réseau, tu dois avoir un certain nombre de sockets actives.
- Si besoin est, trouve les toutes avec find
- Puis passe fuser sur chacune d'elles.

Fenril · Apprentice Joined: 16 May 2009 Posts: 209

Mon post ne sert à rien mais je suis curieux : comment cela peut arriver ? Non pas dans le sens que j'émets de jugement, mais pour parer éventuellement si cela m'arrivais.

damsos · Posted: Tue Mar 22, 2011 5:10 pm Post subject:

j'avais un process louche ssh

blackcube ~ # lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
i 23916 root 2u IPv4 257699 0t0 TCP blackcube.livebox.home:50889->ANantes-553-1-175-57.w2-0.abo.wanadoo.fr:ssh (ESTABLISHED)

des que j'ai tué le process, l'exploit a recommencé immediatement a bombarder en ssh.
il y'a des appels sur des machines louches genre ilove15.selfip.com
_________________
so much to do, so little time.

geekounet · Posted: Tue Mar 22, 2011 8:42 pm Post subject:

À part le temps de chercher l'origine du piratage (à priori t'as déjà une petite idée de ce que c'était : pass root trop simple), ça ne sert à rien de garder l'install en vie. Dans tous les cas, il faut réinstaller à zéro rapidement pour être sur de ne garder aucune trace des trojans/rootkits installés et éviter ainsi que ton IP soit rapidement blacklistée partout.

damsos · Posted: Tue Mar 22, 2011 8:52 pm Post subject:

en fait c'etait un rootkit signé "Opyum Team" installé automatiquement qui lancait via cron
du spam avec sendmail, plus de peur que de mal, mais j'ai compris la lecon

merci pour tous les conseils.
Damsos
_________________
so much to do, so little time.

guilc · Posted: Tue Mar 22, 2011 8:59 pm Post subject:

Hmmmmmmm
Ce n'est pas parceque tu as trouvé ça en crontab que c'est la seule saleté sur ton système.

On va paraître lourds mais.. la SEULE option est le formatage et réinstallation au propre... Avec bien sûr la correction de l'origine du piratage !
Tu ne peux absolument pas considérer le système comme sain sans ça. C'est une règle de base dont on ne peut pas faire l’économie, même si ça fait perdre du temps !
_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing

aCOSwt · Posted: Tue Mar 22, 2011 9:06 pm Post subject:

nexus6 · Tux's lil' helper Joined: 10 Jan 2007 Posts: 92

d2_racing · Posted: Thu Mar 31, 2011 11:31 am Post subject:

Oui, la meilleur chose à faire c'est un beau format.

Regarde aussi si tu peux pas backuper ton home si ce n'est déjà fait.

mysix · Apprentice Joined: 26 Mar 2010 Posts: 183

Install fail2ban si tu ouvres ton ssh sur le net.

geekounet · Posted: Thu Mar 31, 2011 4:17 pm Post subject:

Le backup du home c'est à faire avant de se faire pirater, ça sert à rien après. Restaurer un /home d'une machine piratée peut tout autant ramener des saletés.

On ne récupère pas un seul bit d'une machine piratée, on fait une réinstall complète et on récupère les données depuis un backup sain.

Zentoo · Posted: Thu Mar 31, 2011 10:24 pm Post subject: forensic system

Au passage si ca peut aider pour le forensic:

Vérification des paquets système:

Zentoo · Posted: Sat Apr 02, 2011 4:05 pm Post subject: système compromis...

Bon en fait j'ai vu directement sur la box de damsos (le jour même) et il s'agissait d'une compromission du mot de passe SSH root trop faible.

L'intrusion était grossière et automatique (heureusement...).

En voici l'arbre des processus observé après blocage par iptable du port 22 (donc SSH) en sortie:

|-cron
| `-cron
| |-f Opyum Team
| | |-(f)
| | |-(f)
| | |-(f)
.......................
| | |-(f)
| | `-i
| | |-i
| | |-i
.......................
| | |-i
| | |-i
| | `-i
| `-sendmail -FCronDaemon -odi -oem -oi -t

Trouver les binaires incriminés a été simple car il s'agissait de binaires 32 bits statiques sur un système 64 bits comportant majoritairement des binaires dynamiques. Une rapide passe sur les directory du PATH suivi d'un "file" ont permis de voir les binaires utilisés. De plus l'attaque de type "attaque par dictionnaire sur un port SSH ouvert" était rudimentaire.
En effet, le binaire "f" était flagué "immutable" sur les attributs étendus et la commande "chattr" permettant de changer cet état avait disparue (confirmé par un "qcheck sys-fs/e2fsprogs"). une recompilation du package incriminé ré-installant la commande, le binaire a pu être déplacé et effacé sans problème.

En fait le but du déploiement de l'attaque était de constituer un botnet par attaque systématique des ports SSH de plages d'adresses choisies en fonction d'une communication par mail. Hors sur la box incriminé, aucun mailer système n'était configuré donc la commande sendmail de base issue du paquet mail-mta/ssmtp renvoyait les mails vers le fichier "/root/deadletter". Aucune info n'est donc partie directement empechant la box de communiquer avec le reste du botnet et donc d'être plus coopérante dans le choix des plages réseaux cibles.

Le côté positif malgrès tout et que l'attaque étant rudimentaire et automatique, le système n'a pas eu le temps d'être conpromis en profondeur par un rootkit ou un cheval de troie. En effet à part le coup du binaire immutable et l'effacement de chattr, rien de bien compliqué mis a part le code des binaires (gros en l'occurence car embarquant les composantes du dictionnaires d'attaque). La signature de la "team" du botnet affiché dans l'arbre des processus montre bien le niveau de l'attaque. Préférer se faire de la pub que de se cacher efficacement en dis long sur les personnes qui sont derrière....

J'ai confié les binaires à des personnes spécialisées pour en savoir plus et voir si il serait possible de détruire le botnet en avertissant les possesseurs de box incriminés. J'essayerai de vous tenir au courant si vous êtes intéréssé.

Il n'empêche que conserver la trace des md5sums de l'ensemble des fichiers du système reste toujours une bonne chose en cas d'attaque. Normalement cet ensemble de traces étant stockés hors du serveur. Gentoo utilise un mécanisme partiel de traces de type md5sum pour l'intégrité des packages et pour connaître entre autre si des fichiers de conf sont à modifier ou pas (etc-update, dispach-conf). On peut donc facilement vérifié l'intégrité des packages installés. Il reste néanmoins à vérifier les fichiers hors packages du système ainsi que les fichiers du /home. Des logiciels tels que app-forensics/aide (remplacant du devenu commercial tripwire) permettant d'automatiser ce type de vérification.
_________________
Kernel 5.14.15-zen | Gcc 11.2 | Glibc 2.34
Core i7 6700K @ 4.6GHz | 32Gb
ACCEPT_KEYWORDS="~amd64"
CFLAGS="-march=native -O2 -pipe"

aCOSwt · Posted: Sat Apr 02, 2011 4:14 pm Post subject:

@Zentoo : Bravo ! Epaté je suis !
Au passage de ta découverte du binaire flaggé, les extended attributes cela pourrait finalement s'avérer aussi chiant qu'utile alors ?

Zentoo · Posted: Sat Apr 02, 2011 4:32 pm Post subject: attributs étendus

En fait les attribus étendus sont très utiles pour avoir des droits plus fins que les droix unix posix classiques.
Tu peux par exemple flagué des fichiers tels que les logs pour qu'il ne soit pas effacés ou modifiés et dans lesquels tu ne peux que rajouter des données (mode append).
Ces attributs s'avèrent très utiles dans l'administration système et notamment pour la sécurité.
Néanmoins si un attaquant est root, il peut faire aussi bien que toi si il comprend/remarque les attributs que tu as mis.
Donc oui c'est utile mais il faudrait enlever les binaires le permettant pour qu'une compromission root ne permette pas de contourner ce qui a été choisi. C'est le rôle des mécanismes de type ACL que tu retrouves dans les politiques de sécurité comme SELINUX ou GRSEC qui permettent dans la pratique de limiter même root lui même.
_________________
Kernel 5.14.15-zen | Gcc 11.2 | Glibc 2.34
Core i7 6700K @ 4.6GHz | 32Gb
ACCEPT_KEYWORDS="~amd64"
CFLAGS="-march=native -O2 -pipe"

aCOSwt · Posted: Sat Apr 02, 2011 7:44 pm Post subject: Re: attributs étendus