Byl jsem hacknut ?

[kejml]

Zdar vespolek !

Poslední dny jsem na mém Ubuntu 7.10 "servříku" ladil pár posledních věcí a nabízelo se mi pár aktualizací. Tak jsem je stáhnul a dnes před pokračováním v práci, jsem mašinku restartoval.

Nestačil jsem se divit ... první co mě zarazilo bylo zjištění, že nemůžu zadat ani příkaz "sudo mc" a do konzole se mi vypisovalo, že můj uživatel není mezi sudoers.

Jdu do menu Systém > Administrace a tam vidím jen asi 6 ikon...

Než se to stalo, tak jsem zadával poprvé nového uživatele v grafickém režimu ze správy uživatelů. Přidal jsem nějakého usera ale místo toho se tam objevil root. Pak už jsem nemohl vůbec nic ...

Pod sudem se mi nedařilo nic spustit a tak jsem rebootoval a spustil safe mod a uživateli root změnil heslo,
svého uživatele přidal do skupiny admin a změnil mu také heslo ...

Jenže teď mi mašinka už nebootuje do grafiky a nenechá mě se ani pod jedním z uživatelů přihlásit.
Jsem z toho úplně zoufalý, protože jsem to včera konečně po 2 měsících všechno dokončil včetně mého
webu a webu jednoho známého, kterému tam mám hostovat stránky a mail k jeho doméně a slíbil jsem
mu, že už to poběží minulý týden.

Napadlo mě nabootovat z Live CD a data na disku normálně vidím ... když chci ale nabootovat z disku, tak
mi systém v průběhu bootu vypisuje FAIL u spousty věcí včetně MySQL a pro mě dost důležitých věcí ...
Pochopitelně nemám zálohu toho webu, který jsem tenhle víkend složitě naplnil daty...

Najde se někdo, kdo by měl chvilku mi nějak pomoci, případně alespoň nějak nesměroval, jak systém dostat zpět do chodu, prosím ?
Nějaká oprava instalace z CD, nebo nějaké defaultní nastavení alespoň pro to bootování apod. ? S Linuxem
jako takovým dělám teprve pár měsíců (jen a jen díky Ubuntu, které mě hrozně uchvátilo) a i když
nejsem žádný guru, doteďka jsem neměl jediný problém a vše si nastavil a nainstaloval sám podle
různých návodů na ubuntu.cz a com, různých diskuzních fórech, manuálech apod.

Tady jsem ale v pasti a je mi z toho do breku ... nevím co přesně a jak prohlídnout, jestli to někdo hacknul
nebo ne, ale např. v /home jsem našel adresář /ftp s uvítacím textem o nějakém experimentálním FTP apod. o kterém si jsem jistý, že tam nebyl, protože jsem měl FTP řešeno zcela jinak a mnohem bezpečněji. O systému jako takovém si jsem taky vceklu jistý, že nebyly otevřené žádné porty, uživatelé bez hesla nebo slabá hesla apod.
V iptables bylo povoleno spojení jen pro 2 IP adresy, které mám v práci + pár portů jako FTP, WEB atd.

edit : teď jsem si např. všimnul, že v /boot/grub je nějaký gzip archiv initrd.img-2.6.22-14-generic který tam přibyl v pondělí 18.2.2008 v 8:44, což jsem tam já rozhodně nijak dát nemohl ani omylem. Má 6,9 MB a je tady od něj taky ještě záloha o stejné velikosti...

Pomůže někdo, prosíím ? 

[LS]

V prvni rade prozkoumejte /var/log/auth.log, pokud budete mit sebemensi podezreni ze se vam nekdo naboural do systemu, zazalohujte data a provedte kompletni reinstalaci.

[kejml]

V prvni rade prozkoumejte /var/log/auth.log, pokud budete mit sebemensi podezreni ze se vam nekdo naboural do systemu, zazalohujte data a provedte kompletni reinstalaci.

Díky moc za superrychlou reakci, Lukáši ! 

auth.log jsem prohlížel řádek po řádku, ale přiznám se, že nevím co konkrétně a jak hledat ... záznamů je tam spousta ...

Podezření opravdu mám ale zatím přesně nevím, jak si je mohu potvrdit, případně vyvrátit ...
Jsem ale vcelku přesvědčený, že to bylo nadstandartně zabezpečeno ... ale i tak asi málo. Laboroval jsem poslední
dny s smtp (postfix) a tak se mohla stát nějaká chyba ... Nevím , jsem z toho nešťastný ... 2 měsíce poctivé práce v trapu.

Stačí mi, když si zazálohuju adresáře bin, etc, home, sbin, usr, var abych to pak byl schopen dostat do nějaké
podoby jako to bylo před tím crashem ? Podaří se mi nějak dostat data z MySQL databáze, když bootnu např. z toho LiveCD, prosím ?

[LS]

Kazdy zaznam v logu odpovida jednomu prihlaseni. Pokud nejake prihlaseni vypada ze neni vase, muze se jednat o (pokus o) utok hackera.

Pokud se skutecne jednalo o utok hackera a nechal vam v systemu nejaky darecek v podobe rootkitu nebo backdooru, prenesenim obsahu adresare bin, sbin atd. si prenesete i toto svinstvo.

MySQL data jsou nekde v /var/lib/mysql (asi?).

[kejml]

OK, díky moc za tipy. Prozkoumám to. Už jsem to prohlížel, ale nezdá se, že by se na to přihlašoval nebo zkoušel přihlašovat nějaký jiný
uživatel ... Problém bude asi trošku jinde, když nad tím teď tak přemýšlím ...

Běžel mi na tom redakční systém Joomla a tak je možné, že někdo objevil nějakou bezpečnostní díru a nějak se dostal k heslu, které je uloženo v nějakém config.php souboru. Ten sice normálně nejde nechat vylistovat nebo nějak zobrazit apod. ale čert ví ... No a já měl pochopitelně v době testování to heslo stejné jako na admina, protože jsem byl shnilý zadávat milion rozdílných hesel, takže pokud by se to čistě teoreticky někdo prolomil touhle cestou, mohl to heslo získat 

[kkaarreell]

Ahoj, ja bych ti doporucil zalohu a reinstalaci a to z jednoho prosteho duvodu. At uz byl duvod tvych problemu jakykoliv, tak evidentne nebude az tak lehke zjistit, v cem problem je a i kdyby se ti nakrasne podarilo system rozchodit, dal bych ruku do ohne za to, ze tam jeste zustane spousta spiny. Nemyslim jen pripadne backdoory, ale taky chybne konfiguraky, poskozene soubory ci spousta dalsich veci, ktere neobjevis. Nemusi se hned projevit, ale po case (treba pri prvni aktualizaci) ti system totalne zes*rou.

[kejml]

Ahoj, ja bych ti doporucil zalohu a reinstalaci a to z jednoho prosteho duvodu. At uz byl duvod tvych problemu jakykoliv, tak evidentne nebude az tak lehke zjistit, v cem problem je a i kdyby se ti nakrasne podarilo system rozchodit, dal bych ruku do ohne za to, ze tam jeste zustane spousta spiny. Nemyslim jen pripadne backdoory, ale taky chybne konfiguraky, poskozene soubory ci spousta dalsich veci, ktere neobjevis. Nemusi se hned projevit, ale po case (treba pri prvni aktualizaci) ti system totalne zes*rou.

Jojo, díky za tipy, přeinstalaci mám v plánu, protože v tomhle stavu je systém stejně zcela nepoužitelný, ikdyž už se mi tam daří
aspoň přihlásit. Můžeš mě aspoň nasměrovat, jak a co mám zazálohovat, prosím ? Je mi jasné, že to nemá smysl zálohovat celé tím skriptem, co je tady na webu, když tam zřejmě bude spousta nějakých změn a špíny, ale pár klíčových věcí bych zazálohoval rád. Včera jsem zkoušel některá data zkopírovat na externí disk, ale nedaří se mi kvůli oprávněním. Rád bych si vykopíroval aspoň jednu databázi z MySQL + nějaké konfiguráky jako např. nastavení PHP, Postfixu atd.

Je to peklo, ale každopádně to určitě bude dobrá zkušenost. I když jsem měl dobře zabezpečený systém, zřejmě instalací méně zabezpečeného redakčního systému a mojí blbostí jsem někomu otevřel dveře dokořán ... protože jsem v Linuxu ještě pořád v začátcích, tak jsem tam měl nainstalovaného webmina, u kterého jsem měl stejné heslo jako na správu webu - moje blbost, přiznávám...Takže jestli někdo nějakým způsobem dostal heslo z toho konfiguráku webu a zkusil webmina,tak získal kontrolu nad celou mašinou. A to jsem měl na HW FW různě forwardované úplně jiné, nestandartní porty atd.

Můžeš mi prosím Tě poradit, jakým způsobem se na takovéhle situace připravit ? Jak nastavit nějaké denní, třeba rozdílové, zálohování, které bych spouštěl vždy před nějakou úpravou systému a pak třeba po ní a abych byl schopen v takovémto případě systém nějak jednoduše obnovit ze zálohy a fungovat dál bez nutnosti instalovat a konfigurovat vše znovu ?

(Možná jsem to měl pár dní nechat tak a sledovat, co se bude dít ... jenže to si teď nemůžu dovolit, protože ten stroj potřebuju...každopádně na tom FTP co se tam objevilo by se časem podle mě určitě začalo něco objevovat...na druhou stranu by to určitě nic legálního nebylo a nehodlám čekat,až mi u dveří zazvoní softwarová nebo mravnostní policie či kriminálka...)

[reaper]

db se da zalohovat takto:

Kód: [Vybrat]

mysqldump --all-databases -u root --password=heslo_roota_do_mysql | gzip - > zaloha_db.gz

[Petr Merlin Vaněček]

V prvni rade bych doporucoval nabootovat v recovery mode (pri spusteni PC vypisuje hlasku GRUB loading a odpocitava vteriny, stisknete ESC a vyberte nejaky ze starsich kernelu a recovery mode) - tim nabootujete masinu a budete prihlaseny jako root. V tu chvili muzete vykopirovavat dle libosti. Dost mozna bych okamzite Server odpojil od site, pripadne zakazal vzdalene prihlaseni.

Zalohovat bych doporucil pouze veci, o kterych si muzete myslet, ze nejsou napadene - /var/lib/mysql, dulezita data (dokumenty atd.), co se tyce konfiguraku, radeji bych vse nastavoval znova na cistem poli, protoze staci jedna pridana radka ... takze na /etc bych zapomenul ...

Doporucil bych vse udelat co nejrychleji, protoze jestlize se nekdo dokazal do systemu dostat, muze radit dle libosti. Zkopiroval bych si tak cele /var/log - to kvuli pozdejsimu hledani pruniku a zpusobu pruniku. Pravdepodobne se nekomu povedlo "uhadnout" vase heslo, nebo jste mel spatne nastavena opravneni na /boot a bezny uzivatel prepsal jadro svym vlastnim. Kazdopadne pokud si clovicek nedal praci se zahlazenim stop, dopatrame se, co se stalo. Take bych doporucoval zmenit heslo. Vytvorit silnejsi. Pokud pouzivate stejne heslo na vicero serverch/uctech/atd. zcela urcite jej zmente vsude.

Denni rozdilove zalohovani se nastavit da a je to docela jednoduche, nicmene ted by mne byt vami zajimal spise aktualni problem

[kejml]

V první řadě, ještě jednou mockrát díky za rady ! Pokud to není nutné, tak mi není třeba vykat, jestli to teda nevadí.

Do toho recovery modu jsem bootoval hned jako první pokus o záchranu systému. Změnil jsem rootovi heslo a pak
jej dle návodu tady na serveru zase deaktivoval. Jenže jsem nevěděl, jak z příkazové řádky namountovat ten USB
disk a nakopírovat si na to ta data...to musím teprve nastudovat, jak na to. Zatím jsem to vlastně nikdy nepotřeboval.

Už pátrám po možnostech zálohování atd.

Ten server je nejen odpojený od netu, ale dokonce i vypnutý ... v tomhle stavu v jakém je tam stejně nic nefungovalo
jak má, takže nemělo smysl jej nechat běžet ... :-(

Logy si vykopíruju - to je dobrá myšlenka !

Neřekl bych, že to heslo někdo uhádnul - spíš jsem narazil na bezpečnostní chybu v Joomla!, zvěřejněnou minulý týden.
Odtud si asi přečetl heslo z konfiguráku, které jsem měl po dobu testování bohužel nastavené stejné jako pro správce systému.
Velká, převeliká chyba ... nojo, co se dá dělat ... chybami se člověk učí ...

Nejen že pro jistotu změním všude hesla, ale zřejmě i uživatelská jména atd. A taky se asi velice rychle pro jistotu
zbavím různých udělátek jako je webmin apod. Pomalu začínám chápat, proč v Linuxu platí nepsané pravidlo že méně
může znamenat více ... s takovou se k výhradnímu používání konzole dostanu zřejmě velice rychle ...

[Petr Merlin Vaněček]

Tak Tvuj poslendi prispevek a zejmena posledni odstavec by si zaslouzil vytisknout a dat za sklo

Jinak pripojeni toho USB disku by nemel byt az takovy problem, pokud je linuxem podporovan - po pripojeni se vytvori v /dev dalsi zarizeni oznacene pravdepodobne jako sdx (kde x je lib. pismeno v poradi, protoze predpokladejme sda je prvni systemovy disk, takze napr. sdb, sdc, sdd ...), nasledne by tedy melo stacit toto (zalezi, co je na nem za filesystem):

Kód: [Vybrat]

sudo mkdir /media/extdisk
sudo mount -t ext3 -o iocharset=utf8 /dev/sdx /media/extdisk

a pak uz operovat dle libosti

[kejml]

Tak Tvuj poslendi prispevek a zejmena posledni odstavec by si zaslouzil vytisknout a dat za sklo

Jojo, já si to samozřejmě uvědomuju, ale znáš to ... je to přesně podle Murphyho zákonů ... "tak a teď už
jen doladím to smtp a mám to všechno hotovo a můžu to zazálohovat..." Omyl !! A aby toho nebylo málo, tak
mi zrovna teď volal ten kámoš co tam má web, že mu nejedou stránky, že už to změnil na Seznamu na tenhle
odkaz a že mu taky nejede mail apod. Nojo, normálně bych řekl, že co se může pokazit, to se taky pokazí, jenže
v tomhle případě si můžu tak maximálně sypat popel na hlavu sám sobě ... Nainstaluju to všechno v rámci hesla
"opakování matka moudrosti" znova ... jenže teď už mám docela strach tam znovu nasadit Joomlu!, aby mě nepotkalo
za pár dní zase něco obdobného ...

[reaper]

nesmis si davat stejne jmeno a heslo vsude jen.. pokud budes mit vsude jine heslo atd tak nebude problem imho ;-)

[nettezzaumana]

ja nemyslim, ze jsi byl "hacknut" // ps. najdi si na wiki co znamena vyraz 'hacker'
spis to tipuju, ze problem byl nekde jinde

[Pavelp]

Jestli ma ten stroj verejnou IP , je napadeni mozne. Napadeny stroj se ovsem chova velmi nenapadne. Zkuste prikaz.
# lsattr /*

Melo by to vypadat nejak takto.

------------------ /sbin/modprobe
... atd

Jestli je to hackle, budou u nekterych systemovych souboru nahozene atributy RO.

Dale proskenovat programem rkhunter, pripadne chkrootkit, oba jsou v repozitarich.

Pokud je system zkompromitovany, je nutna reinstalace, opravit to nejde.

Pred dalsi instalaci si pripravit nejaky funkcni firewall.

Edit: proskenovat vysoka cisla portu nad 1024, jestli neni otevreny nejaky neobvykly, napr. nmapem, nebo aspon knockerem.

[Firzen]

podle mě stroj nebyl hacknut.. spíš to bude těmi pokusy a různými instalacemi. navíc hackeři(nebo spíš crackeři) mívají jiné cíle, než server učinit nepoužitelným 

[kejml]

nesmis si davat stejne jmeno a heslo vsude jen.. pokud budes mit vsude jine heslo atd tak nebude problem imho ;-)

Vážně super rada ... na to bych sám nikdy nepřišel - díky ...  BTW: jako "ajťák", správce sítí, serverů a posledních pár let
jako IT manažer se živím už více než 13 let, takže to že jsem začátečník v linuxu ještě nutně nemusí znamenat, že jsem idiot, ne ? 

Já tady ty pravidla, kdo bude mít jaké heslo a jak často jej bude měnit a jak bude silné určuju, takže v tom bych vážně problém neviděl ... 
Problém je, že když nasadíš nějaký děravý systém nebo web na totálně zabezpečený systém, otevřeš zase dveře dokořán - viz. jak jsem
psal nahoře o nějaké té kritické bezpečnostní chybě v tom redakčním systému...každopádně moje blbost byla, že jsem měl pro tu správu toho webu dočasně nastavené stejné heslo, když jsem to ladil, abych nemusel pořád dokola zadávat milion hesel atd. Nojo, co už, za blbost se platí ...

[kejml]

ja nemyslim, ze jsi byl "hacknut" // ps. najdi si na wiki co znamena vyraz 'hacker'
spis to tipuju, ze problem byl nekde jinde

No, prosil jsem spíš o radu či o pomoc, než o vysvětlení rozdílu mezi pojmem hacker a cracker, ale budiž, souhlasím, máš pravdu 

Tak jinak : domnívám se, že na základě bezpečnostní chyby v redakčním systému, který jsem používal na mém serveru, došlu k úspěšnému útoku na můj systém, který po dlouhou dobu fungoval bez jediného problému a nedělal jsem žádné výrazné změny.

Po restartu jsem zjistil, že jsou změny v adresáři /boot , v /home/ se mi objevila složka "FTP" , která tam nikdy nebyla ani nemohla být, protože FTP mám řešeno jinak ... tato složka podle konfiguráků povolovala přihlášení anonymous ... uvítací zpráva FTP jasně hlásala Welcome on an experimental online storage ... in a case of trouble please contact : konkrétní mailová adresa kterou jsem v životě neviděl a neznám.

Při přihlášení do X Windows jsem v menu správa systému měl jen pár základních ikon , příkaz sudo mi vypisoval, že můj uživatel (kterého jsem doposud používal pro sudo) není v souboru /etc/sudoers a byl funknčí pouze uživatel root, kterého jsem nikdy nepoužil ani neaktivoval ...

Joomla! Nabízí možnost instalace různých komponent přímo ze svého rozhraní a jedna z nich je tzv. JoomlaXplorer, což není nic jiného než kompletní procházení disku s možností editování souborů, jejich práv atd. Lhal bych jak je to s právy, ale pokud to má právo roota, tak už celkem chápu, jak se to stalo ... nějak vyčetl asi z konfiguráku to heslo správce webu, pak se přihlásil jako správce na web, doinstaloval tu komponentu, zřejmě zeditoval některé potřebné soubory ... ale to je jen moje teorie ... dost možná se do toho dostal nějak přes webmina prolomením 12ti místného hesla, odchytáváním nějakých paketů (ale měl jsem ho na HTTPS) či co já vím 

[kejml]

Jestli ma ten stroj verejnou IP , je napadeni mozne. Napadeny stroj se ovsem chova velmi nenapadne. Zkuste prikaz.
# lsattr /*

Melo by to vypadat nejak takto.

------------------ /sbin/modprobe
... atd

Jestli je to hackle, budou u nekterych systemovych souboru nahozene atributy RO.

Dale proskenovat programem rkhunter, pripadne chkrootkit, oba jsou v repozitarich.

Pokud je system zkompromitovany, je nutna reinstalace, opravit to nejde.

Pred dalsi instalaci si pripravit nejaky funkcni firewall.

Edit: proskenovat vysoka cisla portu nad 1024, jestli neni otevreny nejaky neobvykly, napr. nmapem, nebo aspon knockerem.

Hned jakmile dorazím domů, tak to vyzkouším - díky moc za tipy a rady !! 

[nettezzaumana]

nesmis si davat stejne jmeno a heslo vsude jen.. pokud budes mit vsude jine heslo atd tak nebude problem imho ;-)

Vážně super rada ... na to bych sám nikdy nepřišel - díky ...  BTW: jako "ajťák", správce sítí, serverů a posledních pár let
jako IT manažer se živím už více než 13 let, takže to že jsem začátečník v linuxu ještě nutně nemusí znamenat, že jsem idiot, ne ? 

Já tady ty pravidla, kdo bude mít jaké heslo a jak často jej bude měnit a jak bude silné určuju, takže v tom bych vážně problém neviděl ... 
Problém je, že když nasadíš nějaký děravý systém nebo web na totálně zabezpečený systém, otevřeš zase dveře dokořán - viz. jak jsem
psal nahoře o nějaké té kritické bezpečnostní chybě v tom redakčním systému...každopádně moje blbost byla, že jsem měl pro tu správu toho webu dočasně nastavené stejné heslo, když jsem to ladil, abych nemusel pořád dokola zadávat milion hesel atd. Nojo, co už, za blbost se platí ...

<< LOL ty jeden "ajtaku" .. ps. 13 let? a na cem jsi delal a zacinal? na w95kach

[kejml]

podle mě stroj nebyl hacknut.. spíš to bude těmi pokusy a různými instalacemi. navíc hackeři(nebo spíš crackeři) mívají jiné cíle, než server učinit nepoužitelným 

No práávě - viz. můj popis toho, jak se tam najednou objevilo to nastavení FTPka s uvítací zprávou hlásající něco o experimentálním online úložišti dat a podobně ... Po těch instalacích a nastavování to normálně jelo ... já na tom žádné šílenosti neprováděl ... jen nějaké poslední drobnosti ohledně nastavení Postfixu.

[Firzen]

a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informací můžem věštit z koule 

[kejml]

<< LOL ty jeden "ajtaku" .. ps. 13 let? a na cem jsi delal a zacinal? na w95kach

No tak s 95kama jsme asi krapet někde jinde ... psal jsem, že se tím živím už více jak 13 let ...
Ne, že dělám s počítačema 13 let ... to je sakra rozdíl ... pokud dobře sedíš a nebo se pevně
držíš, tak já to na sebe teda prásknu ... 

Začínal jsem na PMD85 ... řekne Ti to něco ? Pak Atari 800 XE ... pak brutální přestup
na super vymakaný a rychlý stroj 286 s DOSem ... Na 386ce už se mi občas dařilo i spustit Windows 3.1, když
jsem měl kousíček volné paměti (btw: kdyby měl někdo zájem, mám ještě originální instalačky na disketách i s asi 4KG manuálem)

 

[nettezzaumana]

a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informacím můžem věštit z koule 

Ave.. navic cela historka nasledne popisovane obstrukce mi spis pripadaji, ze autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici u zapnuteho pocitace ::

(ps. tohle se mi stalo!!)

:: podpor necim sva tvrzeni. ja se taky nechvastam, ze me uneslo UFO a delali se mnou pokusy na sve lodi ..

[kejml]

a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informacím můžem věštit z koule 

auth.log jsem se neházel jednak proto, že jsem s tím nechtěl prudit, ale hlavně taky proto, že se tak na 99% přihlásil pod mým uživatelským účtem, tak nevím, co by tam z toho logu bylo vidět 

Je možný aby se na Ubuntu sám od sebe aktivoval uživatel root a odebral práva admina původnímu správci systému ?
To snad proboha ne ? Spíš mě napadá, jestli by nepomohlo, kdybych třeba někam postnul ten kernel nebo nějaký konkrétní konfigurák nebo něco z toho bootu apod.

startx se mi podařilo zprovoznit kolem půl 3. ráno znovu pod mým původním uživatelem ... ovšem při bootu Xka nenabíhají a hlásí, něco ohledně chybějícího uživatele GDM nebo tak něco.

Nejsem teď u té mašiny - jsem v práci a stroj mám doma, tak sem můžu něco hodit jak dorazím domů...