Forum Debian Users Gang

Teraz wisi przerwa techniczna.


Tak to jest tak się ma ssh na 22 porcie z dostępem do roota.

Raczej nie. Ktoś ich zhackował i tyle.

A ja przypuszczam, że rzeczywiście coś się dzieje,
jeśli hack, to albo dziura w phpbb3, albo ftp ( był tam serwer vsftpd - ostatnio podobno miał backdoora, a poza tym serwer vsftpd zazwyczaj wisi z prawami roota na otwartym porcie, a to zawsze jest groźne).

Ale możliwa jest też zmiana serwera, lub jakaś gruntowna konserwacja.

W każdym razie trochę dużo tych portów open:

21/tcp   open   ftp            vsftpd 2.0.8 or later
22/tcp   open   ssh            OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
53/tcp   open   domain         ISC BIND 9.7.0-P1
80/tcp   open   http           nginx
110/tcp  open   pop3           Dovecot pop3d
143/tcp  open   imap           Dovecot imapd
465/tcp  open   smtp           Postfix smtpd
587/tcp  open   smtp           Postfix smtpd
993/tcp  open   ssl/imap       Dovecot imapd
995/tcp  open   ssl/pop3       Dovecot pop3d
5222/tcp open   jabber         ejabberd (Protocol 1.0)
5269/tcp open   jabber         ejabberd
6969/tcp open   http           opentracker BitTorrent tracker
9999/tcp open   abyss?

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2011-08-14 22:48:29)

mati75 napisał(-a):

O wyłączyli logowanie do roota przez ssh.

Kod:

$ ssh root@ubuntu.pl
The authenticity of host 'ubuntu.pl (188.165.232.212)' can't be established.
RSA key fingerprint is 14:85:1a:28:62:b4:ae:41:f8:93:70:0d:08:92:ae:c3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'ubuntu.pl,188.165.232.212' (RSA) to the list of known hosts.
Permission denied (publickey).

Od dzisiaj ile razy napiszę lama, pomyślę o osobniku mati75, i nie żartuję.

Permission denied (publickey)

ten komuniat się pokazuje, jak serwer obsługuje autoryzację kluczami ssh, ma natomiast wyłączoną autoryzację hasłem dla wszystkich użyszkodników.

jest też inna opcja:

grep without /etc/ssh/sshd_config
PermitRootLogin without-password

przy takim ustawieniu, o ile na konta userów można wejść po haśłe, logowanie na roota wygląda tak:

 ssh root@localhost
root@localhost's password: 
Permission denied, please try again.
root@localhost's password: 
Permission denied, please try again.
root@localhost's password: 
Received disconnect from 127.0.0.1: 2: Too many authentication failures for root

Sznurki:
http://www.openssh.com/faq.html
http://www.gentoo.org/doc/pl/articles/openssh-key-management-p1.xml

Przykład logowania wykonano przy wydatnej pomocy:

net-misc/openssh-5.8_p1-r1

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-08-14 22:52:15)

Gdyby ktoś chciał zbadać ślady, to sprawca kompromitacji pozostawił linki do stron
http://adf.ly/2LegP
http://adf.ly/2LeeT

Ja nie czuję się na siłach.

Pozdrowienia

WAŻNE - Włamanie na forum 14.08.2011r.

Postprzez mario_7 » 11 minut temu
W dniu 14 sierpnia 2011 roku miało miejsce włamanie na serwer forum - cracker wykorzystał lukę w konfiguracji serwera dzięki czemu uzyskał dostęp do plików oraz bazy danych forum. Nie jesteśmy w stanie stwierdzić jakie informacje zostały z bazy wykradzione - należy zatem przyjąć najgorszy wariant, że zostały pobrane adresy e-mail, sygnatury haseł oraz ew. inne dane użytkowników.

Hasła w bazie oczywiście nie są przechowywane w postaci czystego tekstu, wszystkie są zakodowane funkcją phpbb_hash (która działa w sposób niemal identyczny, jak biblioteka phpass) - ich odzyskanie z zaszyfrowanej formy jest prawie niemożliwe. Mimo wszystko zalecamy każdemu zmianę hasła na nowe oraz jeśli hasło z forum było wykorzystywane w innych serwisach - dokonanie stosownych zmian również na nich.

Jak to się stało i jaka luka została wykorzystana?

W skrócie:
Cracker zarejestrował się na forum i jako awatar wgrał spreparowany plik PNG, do którego doklejony był skrypt PHP. Analizując działanie skryptu phpBB zlokalizował plik obrazka na serwerze i wykorzystał lukę, która pozwoliła wykonać dołączony do niego kod. Zainfekowany plik umożliwił wgranie skryptu PHP typu web shell - panelu administracyjnego, który w formie strony www daje szeroko pojęty dostęp do serwera - w tym do plików i do bazy danych. Skasowane lub podmienione zostały pliki na stronie ubuntu.pl oraz na forum. W bazie forum zostały wprowadzone zmiany m.in. do każdego profilu w polu "strona www" został wpisany adres bloga crackera. Konfiguracja serwera nie pozwoliła na działania poza vhostem. Przywróciliśmy stan plików i bazy danych na dzień 14.08.2011 z godzin porannych. Konfiguracja serwera została poprawiona, istotne hasła zmienione.

Dokładniej:
Plik PNG był autentycznym obrazkiem (dla ciekawych - niewielka ikona z niebieskim zegarkiem) z doklejonym na końcu kodem PHP, który wyświetlał formularz wgrywania plików i obsługiwał to zadanie. W teorii jedynie pliki z rozszerzeniem .php są dopuszczane przez serwer do wykonywania, jednak w przypadku dość powszechnie stosowanej podstawowej konfiguracji serwera nginx (która generalnie nie jest błędna, ale jak się okazuje pozwala na nadużycie niektórych funkcji) możliwe jest przesłanie dowolnego pliku do parsera PHP.
Chodzi dokładnie o przypadek opisany na tym blogu: https://nealpoole.com/blog/2011/04/sett ... iguration/
Przy wadliwej konfiguracji każdy adres, który kończy się na .php zostanie przesłany do parsera PHP bez weryfikacji, czy dotyczy to autentycznego pliku PHP. Np. strona.com/obrazek.png/.php nie spowoduje wyświetlenia błędu 404 (co wydawałoby się racjonalne, bo adres taki nie istnieje), wadliwe interpretowanie ścieżki spowoduje przesłanie zawartości pliku PNG do parsera PHP - w przypadku zainfekowanego pliku oznacza to, że zostanie wykonany złośliwy kod. Aby uniknąć zagrożenia należy sprawdzać, czy odwołanie dotyczy istniejącego pliku. Wszystkie techniczne aspekty tego zagadnienia wyjaśnione są na wspomnianej wyżej stronie.
Każdemu administratorowi serwerów z nginxem zalecamy dokładne zapoznanie się z podanym artykułem.
Skrypt, którym posiłkował się cracker, to WSO - Web Shell by Orb - niewielki plik PHP, który w formie strony www daje dostęp do czegoś w rodzaju FTP, konsoli systemowej, konsoli MySQL, przeglądu konfiguracji serwera itp. Działanie tego skryptu było ograniczone przez konfigurację vhosta - nie mógł wydostać się poza jego katalog, nie mógł uruchamiać narzędzi systemowych itp. Niestety dostęp do plików konfiguracyjnych skryptu forum umożliwił połączenie się z bazą danych. Nie możemy stwierdzić jakie operacje zostały wykonane na bazie danych, ani jakie dane zostały wykradzione. Mało prawdopodobne jest, aby cała baza została gdzieś skopiowana, bo nie odnotowaliśmy znacznego obciążenia które z pewnością by temu towarzyszyło. To, że baza była modyfikowana jest pewne, bo został do niej wprowadzony adres bloga włamywacza.

Straty: wszystkie posty, które zostały napisane w dniu 14.08.2011 w godzinach od ok. 4 do ok. 20 (później forum było wyłączone).
W ramach naprawy przywróciliśmy kopię plików i bazy z wczesnych godzin porannych dnia 14.08.2011. Kluczowe hasła zostały zmienione. Nginx został skonfigurowany tak, aby ponowny atak z wykorzystaniem wspomnianej luki nie był możliwy.

Zapis działań włamywacza:
w godzinach 15:15:04 -16:35:04 - pierwsza zanotowana obecność na stronie ubuntu.pl i forum - na razie brak podejrzanych zachowań
16:35:45 -16:36:48 - nieudane próby pobrania plików konfiguracyjnych forum
18:22:05 - rejestracja na forum
18:27:42 - przegląd profili administratorów
18:54:03 - 19:08:22 - nieudane próby odwoływania się do różnych plików na serwerze
19:10:59 - wgranie zainfekowanego awatara
19:12:26 - wgranie skryptu WSO
do 20:14:13 - bliżej nieokreślone działania na ww. skrypcie
w tym momencie zainterweniował administrator i wyłączył forum.

Geolokalizacja IP włamywacza wskazuje na Egipt, przeglądarki z których korzystał identyfikowały się jako Chrome 13.0.782.107 i Firefox 5.0.1, system operacyjny Windows NT 5.1. Trudno stwierdzić wiarygodność tych danych, uwzględniając strony, do których odwoływały się zmodyfikowane materiały wprowadzane na serwer, mogą być prawdziwe.

Przepraszamy za wszelkie niedogodności spowodowane tym incydentem,
administracja Ubuntu.pl

http://ubuntu.pl/forum/viewtopic.php?f=214&t=14 … 4116ae0e712fe