Vps bucato (forse)

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5182
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Vps bucato (forse)

Messaggioda ZeroUno » lun ago 19, 2019 18:13

Ho un vps centos 6 su internet che lo uso per un po' di tutto.
Stamattina non mi funzionava la connettività, ne in ingresso ne in uscita, potevo andare solo in console.
La rete mi pareva tutto ok ma visto che uso una configurazione particolare ho riavviato. Non risolto.
Chiamo il provider che mi gira una mail si Sony.
Dai loro sistemi anti intrusione hanno trovato dal mio vps una request da spammer ad uno dei loro siti e l'hanno segnalato al mio provider, che mi ha bloccato.
Attendono la messa in sicurezza per lo sblocco.

Ho cercato in lungo e largo. Ho trovato un po' di vulnerabilità e misconfiguration ma nessuna che possa ricondurre ad un attacco ai danni di Sony.

La compromissione potrebbe portare ad essere entrato a far parte di una botnet.
In questo caso significherebbe non lo sfruttamento di una vulnerabilità per l'attacco (buco ssh, open proxy, ecc) ma un processo running.
Il problema è che la macchina ormai è riavviata e quindi eventuali processi sono spenti.
Ho cercato un po' ovunque ma non sono riuscito a trovare nulla.
Prima di scrivere a Sony (e non saprei cosa) voglio trovare la falla.

Provvederò in ogni caso a reinstallare il server perché da un server compromesso non saprai mai che aspettarti. Ma se non trovo la falla potrei ricaderci.

Come li posso scovare eventuali rootkit (installati chissà quando) o trojan o backdoor ecc?

Grazie
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2631
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 5.3.2
Desktop: lxde
Località: Pisa
Contatta:

Re: Vps bucato (forse)

Messaggioda ponce » mar ago 20, 2019 10:13

puoi provare ad usare chkrootkit ma se avevi vulnerabilita' tali sulla macchina (con escalation di privilegi) per cui ti possono aver installato un rootkit io la reinstallerei aggiornandola all'uopo e basta.
se invece hanno sfruttato delle vulnerabilita' di un'applicativo per ottenere una shell (un account utente e' piu' che sufficiente per mandare spam, spesso si puo' fare anche senza), ad esempio tramite qualche applicazione web vulnerabile, allora puoi anche provare a ripulire.

ti cito un aneddoto per darti qualche idea: diverso tempo fa mi chiesero di dare un'occhio a una macchina multiutente con migliaia di processi funzionanti che faceva spam e ci trovai sopra un sacco di processi attivi (dai nomi assurdi, e' una macchina per il calcolo) che mandavo schifezze in modo massivo.
vidi che erano stati lanciati da un utente e allora mi informai sullo stesso: era uno che non usava piu' il suo account da almeno due anni e a cui avevano probabilmente craccato la password (sicuramente debole) col brute force.
ammazzai i processi e disabilitai il login via ssh all'utente ma dopo un po' ritrovai i processi attivi.
allora guardai meglio in giro: dentro /tmp niente, nella home dell'utente sembrava non esserci niente di che, ma guardando meglio trovai, in una directory nascosta, un altro binario di sshd che ripartiva alla bisogna (cron o che altro). per fortuna che non gli aveva cambiato il nome, senno' ci sarei stato saddio quanto tempo!
doveva essere un hacker poco esperto, perche' io, per esempio, avrei usato autossh (che non ha bisogno di un server locale).
disabilitato completamente l'account utente, cancellata la /home, e la macchina e' ancora li' funzionante.

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5182
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Vps bucato (forse)

Messaggioda ZeroUno » mar ago 20, 2019 10:40

Si, l'ho già reistallata ma prima di riportarci tutto voglio assicurarmi di non portarci pure le vulnerabilità.

Ho escluso lo spam da shell o sfruttando vulnerabilità di processi conosciuti in quell'arco temporale perchè ho fatto il giro di tutti i log possibili, incrociati, e né ci sono state login né accessi in uscita riconducibili a quanto segnalato.
Certo, l'attaccante potrebbe aver pulito come si deve i log (come si deve perchè non vedo buchi nei log, cioè cancellazione totale di un'ora di log per esempio, ma puntuale). Ma per fare questo serve root e se ho root sfrutto qualcos'altro invece di una semplice shell ssh.
Dico processi conosciuti perchè la macchina è stata riavviata e qualsiasi processo farlocco che poteva essere running non lo era più e non ho visto niente di cose che sembrano false (ripartite al boot).

Una volta su un pc, installato da poco, non avevo finito di configurarlo quindi aveva ancora root/root (una volta la password alla prima installazione si metteva quella) ho trovato una directory chiamata "..<spazio>" e dentro un binario a 32bit che però non funzionava perchè la macchina era a 64bit pura e l'attaccante non ci si è sprecato a ricompilarlo, e non ci ha fatto un granchè visto che la macchina era vuota. Però l'idea di quel nome di directory mi è piaciuta, ma soprattutto per la prima volta mi ha fatto capire le tipologie di offuscamento degli attacchi (è passato molto tempo).

Darò una occhiata a chkrootkit.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5182
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Vps bucato (forse)

Messaggioda ZeroUno » mar ago 20, 2019 11:40

non ha trovato niente.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2631
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 5.3.2
Desktop: lxde
Località: Pisa
Contatta:

Re: Vps bucato (forse)

Messaggioda ponce » mar ago 20, 2019 15:26

se avevi qualche form di input su qualche sito web ospitato sulla macchina e' anche probabile che ti abbiano bucato quello, e' una delle prime cose che vengono usate per mandare spam...

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5182
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Vps bucato (forse)

Messaggioda ZeroUno » mar ago 20, 2019 15:47

Già verificato.
A parte l'avere tutte le request readonly e in GET, sui log non si notano request strambe a php, e quelle strambe non-php ritornano 404.
Invece ho trovato (poche) richieste di tipo CONNECT (che non avevo disabilitato a suo tempo) e che ha potenzialmente consentito l'uso come openproxy. Tuttavia (a parte non esserci all'orario interessato) nessuna di queste è riconducibile al pseudo attacco a sony, né in quell'orario né nei mesi precedenti. Comunque non sono riuscito a replicare l'uso dell'apache come openproxy.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

rik70
Iper Master
Iper Master
Messaggi: 2092
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.2
Kernel: 5.0.21
Desktop: Xfce 4.14
Distribuzione: Arch Linux

Re: Vps bucato (forse)

Messaggioda rik70 » mar ago 20, 2019 18:17

Perdonate la domanda:
ma non sarebbe più logico, come è anche stato detto, contattare il provider e pretendere da chi ha lamentato un abuso del servizio quantomeno uno straccio di log, comprensivo di data e ora, per consentire un'analisi mirata della faccenda?

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5182
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Vps bucato (forse)

Messaggioda ZeroUno » mar ago 20, 2019 18:39

Già fatto.
A quanto pare non è isolato ad un range che mi avevano dato all'inizio ma sono 2000 connessioni in 10gg.
Si tratta di tentativi di autenticazione con utenze quasi tutte inesistenti. Un attacco brute force distribuito tipico da botnet di pc compromessi.

Sto ancora cercando nel filesystem, ma a questo punto la compromissione - e non lo sfruttamento di un servizio bacato - pare palese. Ma non so quanto troverò, anche perché non è possibile sapere quando sono stato bucato.

Sulla nuova macchina oltre ad altre misure di sicurezza sto vedendo di inserire anche un migliore sistema di logging.

Intanto il gestore ha messo una lista di ip segnalati in un elenco per cui in caso di ulteriori attività mi arriva una segnalazione immediata.
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111

rik70
Iper Master
Iper Master
Messaggi: 2092
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.2
Kernel: 5.0.21
Desktop: Xfce 4.14
Distribuzione: Arch Linux

Re: Vps bucato (forse)

Messaggioda rik70 » mer ago 21, 2019 10:25

Quindi ti hanno fornito un riscontro preciso che gli attacchi provenivano anche dall'indirizzo ip del tuo vps?

Avatar utente
ZeroUno
Staff
Staff
Messaggi: 5182
Iscritto il: ven giu 02, 2006 14:52
Nome Cognome: Matteo Rossini
Slackware: current
Kernel: slack-current
Desktop: ktown-latest
Distribuzione: 01000000-current
Località: Roma / Castelli
Contatta:

Re: Vps bucato (forse)

Messaggioda ZeroUno » mer ago 21, 2019 10:26

Si
Packages finder: slakfinder.org | Slackpkg+, per aggiungere repository a slackpkg

Codice: Seleziona tutto

1011010 1100101 1110010 1101111 - 0100000 - 1010101 1101110 1101111