Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.

Novinky: Děkujeme všem návštěvníkům fóra, kteří ochotně radí ostatním. Vaše práce je velmi potřebná a vážíme si jí.

Autor Téma: ProFTPD - průnik do systému [vyřešeno]  (Přečteno 7834 krát)

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
ProFTPD - průnik do systému [vyřešeno]
« kdy: 23 Červen 2008, 21:54:53 »
Zjistil jsem, že pomocí mého proftpd+mysql se mi v systému pomocí scriptů php hrabou nežádoucí cizinci. Průnik se daří pomocí usera mysql, ale tohoto nemám zřízeného v databázi. Jak tomu zabránit?
Pomocí tohoto usera vytvoří chroot to directory /var/lib/mysql/public_html a tam uloží scripty nyck.php a bebe.php.
Dále se mi ve složce /var/tmp objeví další složka /.b ve kterém je umístěn nějaký prográmek demon (bash). Kde mám co blbě a jak to zalepit? Páč dokud toho usera mysql neodstavím, mazání a zabíjení procesu nebude brát konce.
« Poslední změna: 29 Červen 2008, 22:54:52 od Petr 'Merlin' Vaněček »
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #1 kdy: 24 Červen 2008, 23:10:43 »
No koukám, že děravé programy moc lidí nezajímá. Proftpd díru má, našel jsem o tom pár zmínek jako o debianím bugu kdy pomocí uživatele mysql je možný průnik. Ale bohužel jsem nenašel radu jak tu díru zaplátovat.  Dělá to na mne dojem jako kdyby to měly být zadní vrátka pro šťouraly v systémech a jejich obsahu. No a kdo jiný by měl mít největší zájem? A co s tím pak dělají nechť ať si každý domyslí. Když si prohlédnu log tak zírám jak snadno se dostane a co vše je schopen provést. Bezpečí Ubuntu je pověra. Čím více se bude rozšiřovat tím více bude napadán. A jak jsem zjistil tak velice snadno.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Rincewind

  • Stálý člen
  • ***
  • Příspěvků: 649
  • Karma: +107/-10
  • Na fórum jsem nezanevřel, jenom nestíhám....
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #2 kdy: 25 Červen 2008, 09:28:30 »
Asi je na místě zkusit jiného ftp démona, myslím, že jich je na výběr víc. S tou nebezpečností bych to tak tragicky neviděl - Ubuntu je mířeno spíš na desktop a tam tolik lidí s proftpd a mysql bez firewallu/natu nebo něčeho podobného nebude. Na server bych dal něco přece jenom "skalnějšího", počínaje Centosem, přes OpenSuSE po Debian (stable) a zapnul SELinux (tam kde je). Další možnost je ten ftp server vritualizovat (já takhle měl jeden čas ve vmware http server). Jinak je samozřejmé, že každý systém má chyby, tady o nich aspoň víš a můžeš se tomu přizpůsobit.

Pokud se ti tam už někdo navrtal tak je asi na místě to zcela po windowsovsku celé přeinstalovat, s tím, že logy ukazjí vše co provedl se na 100% počítat nedá :(

nettezzaumana

  • Host
Re: ProFTPD - průnik do systému
« Odpověď #3 kdy: 25 Červen 2008, 09:55:51 »
ad.1) servery naslouchajici na ext zone by se vzdy mely spoustet chrootovane (aby se v podobnych pripadech nemohli "cizinci hrabat v systemu")

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #4 kdy: 25 Červen 2008, 10:22:28 »
Jj. Jak jsem výše psal, chrootovaně to mám. On nenadělal škody, pouze špicloval v databázi. Ten script bebe.php mu posloužil jako souborový prohlížeč pomocí webu. Nevím k čemu mu posloužil ten nyck.php ale to ještě zjistím. Zajímá mne to a tak jsem to přesměroval na jiný server a tam si něj počkám. K tomu účelu jsem si postavil ze starého HW ftp server jako kopii toho hlavního. Ten bash, který spouštěl jako démona ze složky /var/tmp/.b měl za úkol odesílat práci na klávesnici v souvislosti s přihlašováním se kamkoli. On či oni rozhodně neskončili a jsem zvědav do jaké míry jsou schopni proniknout a oč jim pomocí těch nástrojů jde.
Zatím se mi zdá, že se jedná o sběr dat kde je hlavně zajímají poštovní adresy, možnosti zneužití webů na tom konkrétním serveru a přístupové ůdaje kamokoli ze serveru.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #5 kdy: 27 Červen 2008, 12:06:36 »
GlidingFLY: toto by mne zajímalo více :) Mám podobnou zkušenost a dlouho jsem taktéž nemohl přijít na to, jak se sakra dokázal někdo dostat přes chrootované FTP + jmena&hesla v DB do systému. Můžeš sem pastnout konfigurák proftpd? Nějak jsem to zalepil přímo v něm, jen už si nepamatuji jak :'( A sorry za pozdní odpověď, nějak jsem tenhle topic opravdu přehlédl :(
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Kazekage

  • Člen
  • **
  • Příspěvků: 256
  • Karma: +12/-1
  • Stand or Die
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #6 kdy: 27 Červen 2008, 15:45:31 »
tak toto ma velmi zaujima, posli urcite ten vypis proftpd, poslem kamosovi co sa tomuto venuje aj ked z inej strany :)

urcite ta to hneva ze tam niekto lozi a nevies presne co stavara ale mna to fascinuje ako sa mu podarilo obist celu ochranu.


chroot jail si neskusal?
« Poslední změna: 27 Červen 2008, 16:01:34 od Kazekage »
Asus_F3KA_Ubuntu_8.04_32bit
Desk:A8n32_sli_deluxe, 3700+ Amd_OC, 2GB_ram, 1950xt_ati_radeon: Ferdora_9, Win_XP_pro
Xbox_360_Premium :) flash Nokia_E61_Symbian_S60_3rd_edition Ghost_In_The_Shell Star_Wars_fan  HTC_HD_user

Kazekage

  • Člen
  • **
  • Příspěvků: 256
  • Karma: +12/-1
  • Stand or Die
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #7 kdy: 27 Červen 2008, 15:58:55 »
http://secunia.com/advisories/13915/ 
http://www.transcendlinux.com/mysql
skus pozret

inac ked das do google : bypass chroot FTP mysql user, popripade odoberses slova mysqol a user najdes dost vela clankov
Asus_F3KA_Ubuntu_8.04_32bit
Desk:A8n32_sli_deluxe, 3700+ Amd_OC, 2GB_ram, 1950xt_ati_radeon: Ferdora_9, Win_XP_pro
Xbox_360_Premium :) flash Nokia_E61_Symbian_S60_3rd_edition Ghost_In_The_Shell Star_Wars_fan  HTC_HD_user

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #8 kdy: 27 Červen 2008, 20:24:42 »
Jakmile zaútočí vystřihnu log a pošlu ho sem. Ale zatím se uklidnil. Musíme počkat až to zase zkusí. Já jsem zkoušel simulovat funkci toho jeho bashe (určitě se jedná o jednoho útočníka i když se vždy přihlašoval s jinou IP, ale kdopak ví kolik lidí to umí zneužít...), který sídlil v /var/tmp/.b a zjistil jsem, že pokud je aktivní což zajišťuje cron z téhož adresáře (když zabiju ten bash on za chvilku obživne), tak si pomocí prohlížeče zajistíte brouzování systémem jako file managerem. K tomu stačí jako adresu použít http://tvuj-server/~mysql a je to, páč browser zobrazí obsah složky /var/lib/mysql/public_html a tam sídlí ony dva php scripty (bebe.php (file-manager) a nyck.php (?)) Jakmile však zabijete toho bashe a složku /.b smažete můžete psát cokoli a stránka je nedostupná. Tedy to znamená, že pokud máte v mysql bázi uživatele s otevřeně napsaným heslem tak ho hladce přečte a má user účty kompletní (teď záleží na tom co vše má jeden přes mysql zřizováno a nejenom tam). A pozor! Pokud pouze smažete tu složku a nevšimnete si co z ní bylo puštěno a restartnete server, tak se situace obnoví. Šikulka ten bash. Musí být zabit jako první, pak následují další kroky.
No příčinou je pouze jedna jediná díra v proftpd+mysql modul. Že jakmile se přihlásíte jako uživatel mysql a napíšete správné heslo tak se automaticky vytvoří databáze public_html bez buněk, přímo ve struktuře mysql (/var/lib/mysql), tam má chrootdir a tam on uloží co potřebuje a zmizí. Pak už jede pouze krz apache, který za to ovšem vůbec nemůže. Celá operace trvá 3 vteřiny.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #9 kdy: 28 Červen 2008, 13:48:58 »
A ten konfigurák? :) Co si pamatuju, tak se mi v systému objevily soubory dva - a.php a b.php, pricemz b.php byl přesně jak říkáš emulátor bashe a co bylo a.php už nevím.

Už vím, jak jsem to řešil. Nastavil jsem minimální UID a GID loginů na takovou hodnotu, které nemá uživatel šanci dosáhnout (>63000).
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #10 kdy: 28 Červen 2008, 18:23:02 »
Nastavit SQLminID na 63000 není možné, neboť by se nemohl přihlásit nikdo. Je možné jej nastavit na max. 999 pokud chci, aby se mohl přihlásit i prvouživatel po instalaci systému.
Nicméně tím to nebude protože u mne bylo nastaveno na 500 a user i group mysql měli mnohem menší.
Svůj konfigurák tu zatím vystavovat nebudu, jak snad ti zkušenější chápou. Zveřejním pouze logy z proftpd a apache pokud dojde k dalšímu pokusu.
Ostatně všiml jsem si, že když se mu povedl ten průnik na usera mysql úspěšně tak to byl druhý pokus v té jeho session. První byl na usera oracle A to o něčem vypovídá. Tenhle člověk něco ví. Ti ostatní co tam mají neúspěšné pokusy na jména admin, administrator a všelijaké další vědí prdlačku, ti pouze zkoušejí zdali nějaký správce "náhodou" něco nezapoměl.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #11 kdy: 28 Červen 2008, 20:25:31 »
Nastavit SQLminID na 63000 není možné, neboť by se nemohl přihlásit nikdo. Je možné jej nastavit na max. 999 pokud chci, aby se mohl přihlásit i prvouživatel po instalaci systému.

No a to bude ten rozdíl :) Já jsem vlastně všechny uživatele, které jsou v systému (až na prvouživatele) převedl do mysql a ze systému je úplně eliminoval. Všechny potřebné služby - postfix, dovecot etc. využívají tu samou db. Tím pádem mohu vyloučit útok přes lib. účet (služby) v systému, protože nesplňuje požadavek na SQLminID - FTP se tak omezuje jen na uživatele v tabulce, kteří už jsou chrootováni přesně tak, jak je potřeba.

A ještě jedna věc - mám vypnutou autentifikaci přes PAM. Pomocí
Kód: [Vybrat]
AuthOrder mod_sql.c
vynucuji autentifikaci striktně přes MySQL.
« Poslední změna: 28 Červen 2008, 20:28:46 od Petr 'Merlin' Vaněček »
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #12 kdy: 28 Červen 2008, 21:07:19 »
Tak za toto moc děkuji. Ihned jsem toto vynucení zapsal do konfiguráku, neměl jsem to tam.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #13 kdy: 28 Červen 2008, 21:09:26 »
Bacha - pokud jsi používal originální konfigurák od ProFTPd, tak tuším, že tam tuhle direktivu někde schovanou má a primárně je použit právě PAM. Co se týče ověření, tak je to jednoduché - zkus se přihlásit jako uživatel, který je zanesen v systému a ne v mysql db, nesmí tě to tam pustit.
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #14 kdy: 28 Červen 2008, 21:22:24 »
Nepoužil jsem originál. A ověřil jsem tu funkčnost na sobě. Dokud jsem to tam neměl tak přestože jsem měl v db určen chroot vnořený do home tak jsem se svým testovacím ftp klientem přihlašoval do / Tedy umožnil mi jako prvouživateli pohybovat se celým systémem, ale změny jsem mohl provádět pouze ve svém ftp chroot directory. Ostatní uživatelé přistupovali normálně pouze do svého což se jim jevilo jako kořen.
Nyní  po zápisu vynucení se přihlásím i jako prvouživatel pouze tam, kam mám určeno v db a jeví se mi to jako kořen. A to znamená, že to funguje. Nyní zbývá počkat na toho "šikulu" a ověřit na něm zdali tato změna v konfiguráku bude stačit.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #15 kdy: 28 Červen 2008, 21:38:54 »
Ok, kdyby ne, tak mi pošli ten konfig na mail, nebo do PMka a mrknu na to, co tam mam já od tebe jinak. Protože jak jsem psal, stejného šikulu jsem taky v systému měl a povedlo se mi jej eliminovat.
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #16 kdy: 29 Červen 2008, 20:37:24 »
Tak Petře, dnes šikula v 15:15:54 hod. otevřel proftpd připojení jako user mysql. 4x se pokusil přihlásit, marně!!! Ale pak pokračoval jako user ftp v 15:16:07 hod. se třemi pokusy, marně!!! Vše prováděl z této IP adresy: 77.81.246.184
Ještě hledal pomocí browseru obsah /var/lib/mysql/public_html v 15:15:43 hod. (tím vlastně začal)

Takže ta directiva zabrala pro tento typ průniku.

Veliká pochvala a dík. Ale budu ho sledovat dál...
« Poslední změna: 29 Červen 2008, 20:41:45 od GlidingFLY »
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #17 kdy: 29 Červen 2008, 22:39:41 »
Super, alespoň tak :) Když já paranoik nemám rád uživatele v systému, proto vše striktně přes DB a v systému jen to nejnutnější :) Vyřešeno?
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému
« Odpověď #18 kdy: 29 Červen 2008, 22:48:57 »
Ano, považuji to za vyřešeno. Ale ukazuje se, že jak stoupá popularita linuxu obecně, hlavně díky Ubuntu distribucím, tak se budou množit pokusy o průniky a hledat cesty kudy a jak získat citlivá data či prostor na serverech.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • *****
  • Příspěvků: 4986
  • Karma: +353/-11
    • Zobrazit profil
    • Lomítkáři
Re: ProFTPD - průnik do systému
« Odpověď #19 kdy: 29 Červen 2008, 22:54:38 »
Hele to si nemyslím. Tihle lidi ví co dělají a pokusy o průnik na servery eviduji už od roku raz dva :) To, že si někde nějaký jouza pustí brute-force attack na 22 ještě nic neznamená a zpravidla alespoň trochu administrovaný systém je schopen jim bez problémů odolat.
Registered Linux user #421281
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Teyras

  • Člen
  • **
  • Příspěvků: 227
  • Karma: +16/-4
  • $life = "fight";
    • Zobrazit profil
Re: ProFTPD - průnik do systému [vyřešeno]
« Odpověď #20 kdy: 29 Červen 2008, 23:32:01 »
hehe... kdyby tě zajímalo co je zač, tak tumáš :)
Country Name:   Romania 
Country Code:  ROU  (RO)
IP Address Region: Mures
IP Address City:   Sighisoara
IP Address Latitude: (46.2167)
IP Address Longtitude: (24.8)
IP Address Lookup for 77.81.246.184 show that IP belongs to:  SC Teleson SRL
AMD Athlon X2 4400+, 2GB DDR2, Asus GeForce EN8600GT 512MB DDR3, Seagate Barracuda 7200.10 160GB SATAII, Seagate Barracuda 7200.10 120GB IDE
Arch Linux, KDEmod 4.2

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému [vyřešeno]
« Odpověď #21 kdy: 30 Červen 2008, 13:38:48 »
Jo to už jsem zjistil, ale to nebude jeho pravá. On se určitě maskuje.
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«

nettezzaumana

  • Host
Re: ProFTPD - průnik do systému [vyřešeno]
« Odpověď #22 kdy: 30 Červen 2008, 14:51:08 »
no, na Tvem miste bych na nej nachystal nejakou "pasticku" .. // a moc bych ho nestrasil

roj

  • Člen
  • **
  • Příspěvků: 271
  • Karma: +19/-41
    • Zobrazit profil
    • ipsace i tiskace
Re: ProFTPD - průnik do systému [vyřešeno]
« Odpověď #23 kdy: 30 Červen 2008, 23:01:27 »
Myslim, ze ho nechytis. Urcite ma google a tohle vlakno si s pobavenim cte.
Ale treba neumi moc cesky :-)
Xubuntu 18.4.

GlidingFLY

  • Závislák
  • ****
  • Příspěvků: 1200
  • Karma: +56/-11
    • Zobrazit profil
Re: ProFTPD - průnik do systému [vyřešeno]
« Odpověď #24 kdy: 01 Červenec 2008, 16:57:36 »
Jasně, že mne napadlo, že to může být i někdo znající česky. Ale o to v zásadě nejde. Podstatné je, že kdosi našel vstupní vrata do tajné komnaty a správcovi se daří ta vrata zajistit dříve než dojde ke krádeži pokladů  ;) Alespoň zatím. Práce těch co hledají díry v systémech či jednotlivých programech je vlastně prospěšná neboť pomáhá vylepšovat zabezpečení systému jako celku. Tito lidé nikdy nepřestanou, je to jejich koníček, zábava a mají to v povaze, takže budování nějakých pastiček ani nemá moc smyslu. Ledaže bych to dokázal tak, že ho fyzicky dostihnu a dám pěstí mezi kukadla  ;D
» ASUS® M4A87TD EVO, CPU Phenom II X4 905e, RAM 8GB, SW Raid1 2xWD1002FAEX 1TB, ATI™Radeon™HD 4670, PCIcombo USB2/FW, Samsung SH-S223C * 10.04 64-bit - Gnome«