hackingul vazut din perspectiva adminului

[escalation666]

Salutare!

Ma bucur sa va revad, si sa observ ca rst-crew a devenit un grup de ethical hackers, schimbare ce a coincis si cu schimbarea mea la statutul de administrator si ethical hacker

Va voi prezenta un mic articol despre viata de admin, si hackingul vazut dintr-o alta perspectiva acuma.

Se pare hackerii sunt inca tineri si nelinistiti...de fapt sunt din ce in ce mai tineri si din ce in ce mai script kiddies. Va voi prezenta aici de cate ori voi avea ocazia, tentativele de hack impotriva serverului, in scop educativ ca sa spun asa, dar si ca o avertizare pentru amatori. Nu inteleg de ce unii oameni prefera sa isi foloseasca energia si cunostintele in scopuri destructive si inutile, in loc sa prefere sa realizeze ceva constructiv si util. Probabil acest fapt se datoreaza si naturii umane, inclinata mai mult spre rau decat spre bine, dar si usurinta de a distruge un lucru sau munca unei persoane, in comparatie cu satisfactiile obtinute de realizarile proprii. Acum, va voi prezenta fragmente din fisierele log, cronologic, dar si actiunea mea de backtracking si de depistare a kinderilor malefici. Trebuie sa precizez ca cele mai multe atacuri sunt de tipul ssh brute-force, dar am inregistrat si alte tipuri, cum ar fi, mysql worms sau scanari.

Feb 25 15:39:02 (none) sshd[8059]: Did not receive identification string from 210.188.217.208

Feb 25 15:43:00 (none) sshd[8518]: Invalid user jack from 210.188.217.208

Feb 25 15:43:00 (none) sshd[8518]: Failed password for invalid user jack from 210.188.217.208 port 34238 ssh2

Feb 25 15:43:05 (none) sshd[8528]: Invalid user marvin from 210.188.217.208

Feb 25 15:43:05 (none) sshd[8528]: Failed password for invalid user marvin from 210.188.217.208 port 34320 ssh2

Feb 25 15:43:09 (none) sshd[8540]: Invalid user andres from 210.188.217.208

Feb 25 15:43:09 (none) sshd[8540]: Failed password for invalid user andres from 210.188.217.208 port 34413 ssh2

Feb 25 15:43:17 (none) sshd[8556]: Invalid user barbara from 210.188.217.208

Feb 25 15:43:17 (none) sshd[8556]: Failed password for invalid user barbara from 210.188.217.208 port 34486 ssh2

Feb 25 15:43:22 (none) sshd[8566]: Invalid user adine from 210.188.217.208

Feb 25 15:43:22 (none) sshd[8566]: Failed password for invalid user adine from 210.188.217.208 port 34640 ssh2

Feb 25 15:43:26 (none) sshd[8578]: Invalid user test from 210.188.217.208

Feb 25 15:43:26 (none) sshd[8578]: Failed password for invalid user test from 210.188.217.208 port 34722 ssh2

Feb 25 15:43:32 (none) sshd[8588]: Invalid user guest from 210.188.217.208

Feb 25 15:43:32 (none) sshd[8588]: Failed password for invalid user guest from 210.188.217.208 port 34810 ssh2

Feb 25 15:43:43 (none) sshd[8602]: Invalid user db from 210.188.217.208

Feb 25 15:43:43 (none) sshd[8602]: Failed password for invalid user db from 210.188.217.208 port 34936 ssh2

Un host compromis din Japonia, lanseaza atacuri de tip bruteforce. Sa vedem, ce ne spune site-ul http://wq.apnic.net/apnic-bin/whois.pl, despre ip:

inetnum: 210.188.217.0 - 210.188.217.255

netname: SAKURA-NET

descr: SAKURA Internet Inc.

country: JP

admin-c: KT749JP

tech-c: KW419JP

Mai mult, sa aflam detalii despre hostul compromis, folosind nmap:

Interesting ports on 210.188.217.208:

Not shown: 1664 closed ports

PORT STATE SERVICE VERSION

21/tcp open ftp vsftpd 1.1.3

22/tcp open ssh OpenSSH 3.5p1 (protocol 1.99)

23/tcp open telnet Linux telnetd

25/tcp open smtp Sendmail 8.12.11.20060308/8.12.8

80/tcp open http Apache httpd 2.0.40 ((Red Hat Linux))

110/tcp open pop3 UW Imap pop3d 2001.78rh

113/tcp filtered auth

135/tcp filtered msrpc

137/tcp filtered netbios-ns

139/tcp filtered netbios-ssn

443/tcp open http Apache httpd 2.0.40 ((Red Hat Linux))

445/tcp filtered microsoft-ds

1720/tcp filtered H.323/Q.931

3306/tcp open mysql MySQL 3.23.58

8009/tcp open ajp13?

10000/tcp open http Webmin httpd

Device type: general purpose

Running: Linux 2.4.X|2.5.X

OS details: Linux 2.4.0 - 2.5.20

Uptime 195.309 days (since Mon Aug 21 03:29:09 2006)

Service Info: Host: www.insilicobiology.jp; OSs: Unix, Linux

Dupa cum vedem, nmap ne-a oferit o multime de informatii utile despre serverul in cauza, de asemenea conectandu-ma prin telnet, am mai aflat si versiunea de kernel, si anume, 2.4.20-31.9.progeny.8smp, o versiune cam veche, si probabil fara patch-uri. Cum a fost compromis acel host? Cu toate ca n-am intreprins nici o actiune in sensul acesta, adica sa scanez dupa vulnerabilitati sau sa incerc un bruteforce, pot presupune doar ca a fost compromis prin una dintre aceste metode. Sunt destul de multe servicii deschise, versiuni vechi, si probabil vulnerabile la diferite exploituri. De asemenea, telnetul si ssh sunt o invitatie irezistibila pentru script kiddies sa isi incerce noile programe si scripturi de bruteforce, iar un username comun, si o parola la fel de comuna, sau si mai bine, aceeasi ca si username-ul, pot duce la compromiterea serverului.

Un atac, destul de finutz, vine de la un host din Brazilia:

Feb 25 22:39:15 (none) sshd[14714]: Did not receive identification string from 201.63.40.18

Feb 25 22:42:04 (none) sshd[15056]: Failed password for root from 201.63.40.18 port 52194 ssh2

Feb 25 22:42:04 (none) sshd[15056]: reverse mapping checking getaddrinfo for 201-63-40-18.customer.tdatabrasil.net.br failed - POSSIBLE BREAK-IN ATTEMPT!

Feb 25 22:42:16 (none) sshd[15086]: Did not receive identification string from UNKNOWN

Si atacul se opreste aici. Spre binele lui....poate ca omul acela era doar curios dar neah...don't think so

Sincer, vroiam sa fac un honneypot, ca sa vad si eu dintr-o perspectiva unica atacurile si pulsul comunitatii de hackeri si cu ce se mai ocupa, dar momentan se pare ca am parte de actiune si aici, asa ca ideea si realiarea unui honneypot va fi ceva mai departata in timp.

Ziua urmatoare, un alt host comprmis doreste sa se "afirme":

Feb 26 20:10:25 (none) sshd[10049]: Did not receive identification string from 67.15.2.36

Feb 26 20:14:11 (none) sshd[10521]: Failed password for root from 67.15.2.36 port 49177 ssh2

Feb 26 20:14:11 (none) sshd[10521]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT!

Feb 26 20:14:12 (none) sshd[10525]: Failed password for root from 67.15.2.36 port 49452 ssh2

Feb 26 20:14:13 (none) sshd[10525]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT!

Feb 26 20:14:14 (none) sshd[10531]: Failed password for root from 67.15.2.36 port 49559 ssh2

Feb 26 20:14:14 (none) sshd[10531]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT!

Feb 26 20:14:17 (none) sshd[10535]: Invalid user admin from 67.15.2.36

Feb 26 20:14:17 (none) sshd[10535]: reverse mapping checking getaddrinfo for servidor5.molservidores.com failed - POSSIBLE BREAK-IN ATTEMPT!

Feb 26 20:14:17 (none) sshd[10535]: Failed password for invalid user admin from 67.15.2.36 port 49657 ssh2

Feb 26 20:14:18 (none) sshd[10543]: Invalid user miquelfi from 67.15.2.36

Clara care este originea atacului. As putea face un backtracking, dar in lipsa de timp, modelul japonez va servi drept exemplu.

Alte exemple:

Feb 27 16:00:34 (none) sshd[22062]: Did not receive identification string from 62.193.234.15

Feb 27 16:04:32 (none) sshd[22533]: Failed password for root from 62.193.234.15 port 44709 ssh2

Feb 27 16:04:33 (none) sshd[22537]: Failed password for root from 62.193.234.15 port 44796 ssh2

Feb 27 16:04:34 (none) sshd[22541]: Failed password for root from 62.193.234.15 port 44848 ssh2

------------------------------------------etc------------------------------------------------

221.126.133.161, 83.170.28.56, 210.189.105.123, 193.47.83.157, 89.106.26.172, 200.93.130.236, 88.208.210.210, 211.223.127.50 sunt alte exemple negative.

Cu toate ca altor administratori vizualizarea de log-uri li se pare plictisitoare, inutila, sau probabil nu au timp de asa ceva, ei nu fac decat sa inchida ochii si sa ignore. Dupa cum spuneam, natura umana este mereu inclinata spre rau, si trebuie sa gasim energia necesara sa-i educam pe acesti script kiddies, ca astfel, sa ne scutim reciproc eforturile, adminsitratorii de a-i depista si raporta, si kizii de a-si pierde timpul cu astfel de inutilitati. Voi reveni cu articole pe tema aceasta.

Metodele de aparare impotriva acestui tip de atac sunt banele:

-blocarea ip-ului dupa cateva incercari esuate;

-autentificarea prin ssh folosind chei publice;

-autentificarea ssh v 2.0, pentru a ne feri de cei care snifuiesc in retea si cei care incearca MITMSSH;

-folosirea de parole puternice pentru root dar si pentru useri(diferite de cuvintele din dictionare, sa contina caractere de genul !@#$%^, si sa aiba o lungime mai mare de opt caractere);

Dezavantajul blocarii ip-ului dupa cateva incercari ar fi faptul ca atacul s-ar putea ascunde in marea de informatii din log, si ar fi mai greu de depistat, dar si posibilitatea ca, in cazul in care ai o parola greu de memorat sa risti sa fii banat. Mie, cel putin, imi place sa vad cum se chinuie baietii cu bruteforce-ul lasand urme imense in log-uri .

[buRn]

Foarte interesant .

Intotdeauna am apreciat tutorialele tale !

[quate=sysgh0st]Bravo poate ne vei lasa (doar pe cativa) sa facem un pentest la servedrul tau si daca putem sa lasam un mic fisier text in root...[/quate]

Sys , nu prea intelg partea cu "pentes" imi explici ;-) ?

Sunt curios si vreau sa prind cat mai multe .

[escalation666]

@sysgh0st: i don't know....cred ca te-ai plictisii

@Stress: http://en.wikipedia.org/wiki/Pentesting si ar fi mai multe de spus despre pentesting, si un lucru important, si care observ ca nu este specificat pe wikipedia este asa numitul get-out-of-jail card , un document semnat de cel care te angajeaza pt pentesting, si care te poate scoate din posibilile probleme.

[buRn]

escalation666 a scris:

@sysgh0st: i don't know....cred ca te-ai plictisii

@Stress: http://en.wikipedia.org/wiki/Pentesting si ar fi mai multe de spus despre pentesting, si un lucru important, si care observ ca nu este specificat pe wikipedia este asa numitul get-out-of-jail card , un document semnat de cel care te angajeaza pt pentesting, si care te poate scoate din posibilile probleme.

Thanks tinere , iti raman dator.