hack attack - BITTE UM HILFE!

[cyber_bushi]

Hallo Roots,

ich hatte vor kurzem auf einer Linux 8.0 / Confixx - Kiste einen Angriff, bei dem scheinbar per BruteForce o.ä. 2 Kunden-FTP-Accounts gehackt wurden und eine andere index.html + ein bild upgeloadet wurden. Dies scheint von einem Programm durchgeführt worden zu sein.

Nun habe ich als erstes mal in der /etc/hosts.deny die ip-Adresse, von der dieser Angriff kam und die komplette tld des Landes aus der die IP "stammt" geblockt mit
ALL:ip-adresse1, ip-adresse2, .tld

Für wie effektiv haltet ihr diese Methode (wahrscheinlich nicht allzu toll) und was würdet Ihr sonst vorschlagen?

So wie's aussieht hat das Programm irgendwie Lesezugriff auf die /etc/shadow oder passwd bekommen, weil nur vorhandene Accounts attackiert wurden. Aber wie's aussieht war der Rest dann Brute Force, weil nur die Passwortschwächsten Accounts geknackt wurden.

Meine zweite Frage: wie könnte dieses auslesen geschehen sein? Kann ich mich dagegen schützen? Wenn ja, habt Ihr einen Tip für mich?

Außerdem ist mir bei netstat aufgefallen, dass auf port 800 ein service namens mdbs_daemon läuft. Sagt das jemandem etwas? Ich kann mich nicht daran erinnern, irgend einen service auf dem port laufen zu haben.

Bitte schreibt mir auch Teilantworten, ich bin froh über jede Hilfe!

Vielen Dank,

cb

[captaincrunch]

Außerdem ist mir bei netstat aufgefallen, dass auf port 800 ein service namens mdbs_daemon läuft. Sagt das jemandem etwas? Ich kann mich nicht daran erinnern, irgend einen service auf dem port laufen zu haben.

Erst mal ganz kurz : wenn du nicht weißt, was der da soll -> weg damit !

Ansonsten ist chkrootkit immer ein heißer Tip in solchen Fällen ... http://www.chkrootkit.org

[[tom]]

Nun habe ich als erstes mal in der /etc/hosts.deny die ip-Adresse, von der dieser Angriff kam und die komplette tld des Landes aus der die IP "stammt" geblockt mit
ALL:ip-adresse1, ip-adresse2, .tld

Für FTP reicht das, sofern es unter inetd läuft.

So wie's aussieht hat das Programm irgendwie Lesezugriff auf die /etc/shadow oder passwd bekommen, weil nur vorhandene Accounts attackiert wurden.

Eher /etc/passwd. Auf die /etc/shadow ist unwahrscheinlich, da dann auch kein remote Angriff (mit falschen) Passwörtern stattgefunden hätte.

Aber wie's aussieht war der Rest dann Brute Force, weil nur die Passwortschwächsten Accounts geknackt wurden.

Komt drauf an. Oftmals ist es Dictionary. Bei Passwörtern kleiner als 5 Zeichen ist aber auch BruteForce denkbar. Das geht dann trotz Netzwerk Latenzzeiten relativ fix.

Meine zweite Frage: wie könnte dieses auslesen geschehen sein?

Das geht meistens über eine Applikation. Das kann in diesem Fall auch ein Script gewesen sein (PHP/CGI). Oft gibt es in Foren oder Gästebücher solche "offenen" Einladungen.

Kann ich mich dagegen schützen? Wenn ja, habt Ihr einen Tip für mich?

Klar (mehr oder weniger) - aber das kommt immer auf die Schwachstelle drauf an. Ultimativen Schutz gibt es nciht. Du mußt als erstes rausfinden, wie der Angreifer an die /etc/passwd gekommen ist. Mach mal ein grep auf das Logfile.

[TOM]

[cyber_bushi]

Vielleicht könnt Ihr mir noch beim Interpretieren helfen, bzw. vielleicht hilft Euch das noch weiter...

Feb 9 00:14:33 servername popper[16194]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 00:15:19 servername syslogd 1.4.1: restart.
Feb 9 00:15:22 servername su: (to nobody) root on none
Feb 9 00:15:22 servername su: pam_unix2: session started for user nobody, service su
Feb 9 00:15:33 servername popper[16371]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 00:15:40 servername proftpd[16376]: connect from xxx.172.167.152 (xxx.172.167.152)
Feb 9 00:15:40 servername proftpd[16376]: servername.asp.de (content.asp.de[xxx.172.167.152]) - FTP session opened.
Feb 9 00:15:40 servername proftpd[16376]: servername.asp.de (content.asp.de[xxx.172.167.152]) - FTP session closed.
Feb 9 00:15:40 servername popper[16377]: connect from xxx.172.167.152 (xxx.172.167.152)
Feb 9 00:16:33 servername popper[16386]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 00:16:58 servername su: pam_unix2: session finished for user nobody, service su

<das dazwischen ist unwichtig/normal>

Feb 9 02:30:41 servername proftpd[19963]: connect from xxx.172.167.152 (xxx.172.167.152)
Feb 9 02:30:41 servername proftpd[19963]: servername.asp.de (content.asp.de[xxx.172.167.152]) - FTP session opened.
Feb 9 02:30:41 servername proftpd[19963]: servername.asp.de (content.asp.de[xxx.172.167.152]) - FTP session closed.
Feb 9 02:30:41 servername popper[19964]: connect from xxx.172.167.152 (xxx.172.167.152)
Feb 9 02:31:38 servername popper[19970]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:32:21 servername popper[19982]: connect from xxx.186.80.159 (xxx.186.80.159)
Feb 9 02:32:21 servername popper[19983]: connect from xxx.186.80.159 (xxx.186.80.159)
Feb 9 02:32:38 servername popper[19992]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:33:38 servername popper[20009]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:34:36 servername proftpd[20025]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:34:38 servername popper[20023]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:34:40 servername proftpd[20025]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:34:44 servername popper[20024]: connect from xxx.84.83.190 (xxx.84.83.190)
Feb 9 02:34:54 servername popper[20032]: connect from xxx.84.83.190 (xxx.84.83.190)
Feb 9 02:34:56 servername proftpd[20025]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER web31: Login successful.
Feb 9 02:35:38 servername popper[20043]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:36:38 servername popper[20056]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:37:38 servername popper[20065]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:38:38 servername popper[20077]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:39:24 servername popper[20086]: connect from xxx.186.80.159 (xxx.186.80.159)
Feb 9 02:39:24 servername popper[20087]: connect from xxx.186.80.159 (xxx.186.80.159)
Feb 9 02:39:38 servername popper[20094]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:40:24 servername proftpd[20108]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:40:27 servername proftpd[20108]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:40:34 servername proftpd[20108]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - SECURITY VIOLATION: root login attemp
Feb 9 02:40:37 servername proftpd[20108]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:40:39 servername popper[20110]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:40:43 servername proftpd[20025]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP no transfer timeout, disconnected
Feb 9 02:40:48 servername proftpd[20115]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:40:52 servername proftpd[20115]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:41:00 servername proftpd[20115]: PAM-listfile: Refused user bin for service proftpd
Feb 9 02:41:00 servername proftpd[20115]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - PAM(bin): Authentication failure.
Feb 9 02:41:00 servername proftpd[20115]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER bin (Login failed): Incorrect pa
Feb 9 02:41:05 servername proftpd[20115]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:41:15 servername proftpd[20120]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:41:19 servername proftpd[20120]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:41:25 servername proftpd[20120]: PAM-listfile: Refused user daemon for service proftpd
Feb 9 02:41:25 servername proftpd[20120]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - PAM(daemon): Authentication failure.
Feb 9 02:41:25 servername proftpd[20120]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER daemon (Login failed): Incorrect
Feb 9 02:41:29 servername proftpd[20120]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:41:37 servername proftpd[20122]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:41:39 servername popper[20121]: connect from xxx.235.65.192 (xxx.235.65.192)
Feb 9 02:41:40 servername proftpd[20122]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:41:47 servername proftpd[20122]: PAM-listfile: Refused user lp for service proftpd
Feb 9 02:41:47 servername proftpd[20122]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - PAM(lp): Authentication failure.
Feb 9 02:41:47 servername proftpd[20122]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER lp (Login failed): Incorrect pas
Feb 9 02:41:51 servername proftpd[20122]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:41:58 servername proftpd[20128]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:42:00 servername proftpd[20128]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:42:01 servername proftpd[20129]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:42:03 servername proftpd[20129]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:42:05 servername proftpd[20128]: PAM-listfile: Refused user mail for service proftpd
Feb 9 02:42:05 servername proftpd[20128]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - PAM(mail): Authentication failure.
Feb 9 02:42:05 servername proftpd[20128]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER mail (Login failed): Incorrect p
Feb 9 02:42:07 servername proftpd[20128]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:42:13 servername proftpd[20137]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:42:15 servername proftpd[20137]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:42:18 servername proftpd[20137]: PAM-listfile: Refused user news for service proftpd
Feb 9 02:42:18 servername proftpd[20137]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - PAM(news): Authentication failure.
Feb 9 02:42:18 servername proftpd[20137]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER news (Login failed): Incorrect p
Feb 9 02:42:20 servername proftpd[20137]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:42:22 servername proftpd[20129]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER web31: Login successful.
Feb 9 02:42:26 servername proftpd[20138]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:42:28 servername proftpd[20138]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session opened.
Feb 9 02:42:32 servername proftpd[20138]: PAM-listfile: Refused user uucp for service proftpd
Feb 9 02:42:32 servername proftpd[20138]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - PAM(uucp): Authentication failure.
Feb 9 02:42:32 servername proftpd[20138]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - USER uucp (Login failed): Incorrect p
Feb 9 02:42:33 servername proftpd[20138]: servername.asp.de (nrce02-1227.dial.rce.embratel.net.br[200.249.120.227]) - FTP session closed.
Feb 9 02:42:37 servername proftpd[20140]: connect from 200.249.120.227 (200.249.120.227)
Feb 9 02:42:39 servername popper[20139]: connect from xxx.235.65.192 (xxx.235.65.192)

[captaincrunch]

Dein User web31 scheint ein tolles Passwort zu haben. In dem Fall sieht es aber so aus, als wäre auch wirklich nur dieser User betroffen. System- und Rootuser sind dabei ja schließlich fehlgeschlagen ...

[cyber_bushi]

Dein User web31 scheint ein tolles Passwort zu haben. In dem Fall sieht es aber so aus, als wäre auch wirklich nur dieser User betroffen. System- und Rootuser sind dabei ja schließlich fehlgeschlagen ...

Danke Captain! :)

Stimmt, sehe ich auch so. Vielen Dank übrigens für die schnelle Antwort... ist ja schon fast ein chat! ;)

[chris2000]

Komt drauf an. Oftmals ist es Dictionary. Bei Passwörtern kleiner als 5 Zeichen ist aber auch BruteForce denkbar. Das geht dann trotz Netzwerk Latenzzeiten relativ fix.

Ja? Wie lang? Hast du Links dafür? 36^4 Möglichkeiten erscheint mir doch einiges, wenn alles über das Netz gehen muss!

Gruß,
Christian

[cyber_bushi]

Erst mal ganz kurz : wenn du nicht weißt, was der da soll -> weg damit !

Das hier gibt mir (u.a.) netstat --inet -ap aus:

udp 0 0 *:filenet-tms *:*
635/named
udp 0 0 *:mdbs_daemon *:*
-

Woraus mir klar wird, das der filenet-tms port von named geöffnet wurde, aber was mache ich mit dem zweiten eintrag? wie soll ich das programm - finden bzw. unschädlich machen, oder heißt - was anderes... no capito...
MfG

cb

[captaincrunch]

Ja? Wie lang? Hast du Links dafür? 36^4 Möglichkeiten erscheint mir doch einiges, wenn alles über das Netz gehen muss!

Falls du Dictionaries meinst : Dictionary-Listen findest du auf jeder gut sortierten "Hacker"-Seite ... ansonsten geht auch /usr/share/dicts ganz gut ...

36^4 -> 1679616 Möglichkeiten ... wieso sollte das nicht machbar sein ? Von einem Zeitraum war schließlich auch nicht die Rede ...
Aber mal ernsthaft : das hier sieht absolut nach einer Dictionary-Attacke in Verbindung mit einem supermiesen Passwort aus, ansonsten wäre die Liste wohl um einiges länger ...

[[tom]]

36^4 -> 1679616 Möglichkeiten

Ich schreib da gerade was zu. 36^4 Möglichkeiten sind es nur, wenn es genau 4 Zeichen sind. Ansonsten sind es 36^5 - 1 Möglichkeiten. Unter der Annahme, dass nur Lowercase und Digits verwendet werden und bei max. 4 Zeichen und Kenntnis eines Usernamen. ;-)

Es gibt aber genug, die "schwache" Passwörter verwenden. Mit einem (sprachlich angepassten) Dictionary ist es oft nur eine Frage von Stunden.

Aber mal ernsthaft : das hier sieht absolut nach einer Dictionary-Attacke in Verbindung mit einem supermiesen Passwort aus, ansonsten wäre die Liste wohl um einiges länger ...

ACK

[TOM]

[cyber_bushi]

Danke für die Dictonary usw. aufklärung, aber könntet ihr dafür bitte einen eigenen post starten und nicht hier über dieses thema diskutieren, weils nur zumüllt und nicht akut was mit dem thema zu tun hat?

DANKE!

[kase]

also irgendwie ist die IP, die sich als Web31 eingeloggt hat, schon mit dem 2. Versuch drauf gekommen.

Sieht mir nicht nach einem Hackversuch aus. Der User hat 100 % das PW gewusst, sonst hätte der viel mehr Versuche gebraucht. Warum sich danach der User Web31 als Root und was weiß ich versucht hat, einzuloggen, kommt mir schon spanischer vor.

[scythe42]

na nun macht mir mal den jung hier nicht verrückt... Der "Vorgang" ist noch nichtmal würdig "Hackversuch" genannt zu werden.

Dein web31 User hat sich eingeloggt und anschliessend mal dein paar default User/PW Kombinationen ausprobiert (root/root, uucp/uucp und news/news, mail/mail, bin/bin usw.)

Blutiger Anfänger, der halt mal geguckt hat, ob die Default PWs von vor über 15 Jahren noch gehen. Wahrscheinlich hat er gerade Das Kuckucksei zum ersten mal gelesen...

Also kein Grund zur Panik, ist völlig harmlos. Die richtigen Angriffsversuche siehst du in deinen Stadard-Logs gar nicht, da die direkt über TCP/IP Packete kommen. Kannst die zwar mit nem IDS loggen, aber dann wirst du nur noch nervöser, weil du dann ständig Fehlalarme hast, wenn du so ein Teil nicht richtig konfigurierst... Ich hab so c.a 50-100 Angriffsversuche an einem durcschnittlichen Wochtag...

Achja und der Port 800 ist sehr wahrscheinlich irgendnen RPC Child Prozess. Unter Linux beginnen die RPC Prozesse mit Port 800 und gehen so lange hoch bis sie einen freien Port finden. Guck halt welche PID das ist, dann weisst du woher es kommt (netstat -anp)

Der Name wird einfach aus der /etc/services genommen und ist kein Indiz was der Dienst wirklich ist.

[scythe42]

achja, bei den RPC Prozessen kann es sein, dass du keine PID beim netstat siehst. In dem Falle mal deine Dienste einzelnd beeenden, gucken ob der Port weg und wieder starten. So kannst du es ggf. auch eingrenzen. Die RPC Teile kommen meistens von NFS, Samba oder einem SQL-Server (meistens Postgres)

[captaincrunch]

Dein web31 User hat sich eingeloggt und anschliessend mal dein paar default User/PW Kombinationen ausprobiert (root/root, uucp/uucp und news/news, mail/mail, bin/bin usw.)

na dann müsste er aber
a) in Brasilien gesessen haben (laut Logs kam der Zugriff von einer .br-Domain), oder
b) derjenige hat sich einen Account in .br "besorgt" ...

[kase]

ja, es ist schon sehr viel komisches dabei. br Domain, diverse Einlogversuche als System User, aber jeweils immer nur ein einziger, und in "seinem" Web31 Acc war er mit dem 2. Versuch drin...

Für mich sieht das eher nach einem Kunden aus, der ein bißchen "probiern" wolllte *gg*

[rootmaster]

ACK@scythe42

no panic ;)

ps: es kann natürlich sein, dass web31 ein bisschen "geschlamppt" hat, aber das ist sein prob 8)

"back to the roots"