PDA

Visualizza la versione completa : server compromesso


maurizio54
23-08-2008, 17:40
Ho un server dedicato su aruba con CENTOS. Mi arriva questa segnalazione:

tentativi di attacco verso indirizzi esterni originati dal suo server.

Possible compromised host at or behind IP address: 62.149.227.64

Vodafone IDS sensors are set via NTP to Time Zone: GMT=UTC+0

Date: 2008/08/22 (YYYY/MM/DD)
partial tcpdump output for scan from
host64-227-149-62.serverdedicati.aruba.it


2008-08-22 12:08:18.428780 IP 62.149.227.64.36266 > 194.62.232.92.22: S
111786279:111786279(0) win 5840 <mss 1460,sackOK,timestamp 369020719
0,nop,wscale 7> etc.....

Non so propio che pesci pigliare, mi sapreste dire da dove posso iniziare per rimettere a posto le cose?

P.S. Da quando ho la segnalazione da parte di aruba, l'applicazione che risiede sul server si raggiunge con grande difficoltà ed anche il collegamento FTP è lentissimo. Grazie e se sono OT spostate pure la discussione (ero indeciso fra il forum di linux e quello dei server)

Marcolino's
23-08-2008, 17:45
L'indirizzo 194.62.232.92 a cosa corrisponde?
Al ping e al tracert non da segni di vita.
Poi spegni la macchina dal tuo pannello di controllo di Aruba, almeno fino a quando non saprai cosa è successo, questo impedirà nuove "compromissioni" nel frattempo.

cacao74
23-08-2008, 19:12
ritieni valido che dal server di aruba ci sia stato traffico sulla porta 22/tcp (SSH ?) di una macchina remota con IP 194.62.232.92 ?
Se la tua risposta e' no, allo potresti incominciare a considerare il tuo server compromesso e valutare se e' il caso di brasarlo, rimettare un sistema exnovo e rivedere le politiche di sicurezza.

ciao

detroit
23-08-2008, 20:14
brutta gatta da pelare..spesso gli attacchi provengono da più macchine,magari di qualche utente ignaro,sotto il controllo dell'attaccante..non hai altre info oltre a quel report?

maurizio54
24-08-2008, 15:49
Grazie per le risposte, per ora non so di più di quello che vi ho postato. cerco altre informazioni e poi vi terrò al corrente

dAb
24-08-2008, 20:03
Vedo che su quella macchina gira una caterva di servizi raggiungibili da remoto. La banda e` impegnata da qualcosa di strambo. Hai davvero bisogno di mysql aperto verso l'esterno? E di vnc costantemente aperto? E il pannello di controllo di plesk?

maurizio54
25-08-2008, 15:08
Ulteriori informazioni arrivate oggi:

Oggetto: ATTACK: Network scanning from host at IP-address 62.149.227.64 (Hostname host64-227-149-62.serverdedicati.aruba.it)
Data: Mon, 25 Aug 2008 08:58:55 +0200
Da: Ole Holm Nielsen [list=1]
A: hostmaster@technorail.com, abuse@technorail.com
CC: GARR-CERT <cert@garr.it>, DK-CERT <cert@cert.dk>

Abuse department of Technorail srl

On August 25 at 06:16:59, 06:20:33 and 06:20:57 (timezone UTC+0200 in Europe)
your host at IP-address 62.149.227.64 (Hostname
host64-227-149-62.serverdedicati.aruba.it)
performed a complete network scan of our network, trying to connect to
the SSH (Secure Shell, TCP port 22) user account login service.
The following logfile lines from our servers (domain: fysik.dtu.dk)
document the incident:

Aug 25 06:16:59 servfys sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:33 servfys sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:57 servfys sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:16:59 web2 sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:31 web2 sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:17:00 biosim sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:31 biosim sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:16:59 svol sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:31 svol sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:16:59 thul sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:31 thul sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:16:59 dk-grid sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:31 dk-grid sshd: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:17:00 serv309 sshd[18900]: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:20:31 serv309 sshd[20935]: refused connect from
host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
Aug 25 06:16:59 demon sshd[6902]: Did not receive identification string from
62.149.227.64
Aug 25 06:20:35 demon sshd[6922]: Connection closed by 62.149.227.64
Aug 25 06:16:59 demon2 sshd[18158]: Did not receive identification string from
62.149.227.64
Aug 25 06:20:35 demon2 sshd[18179]: Connection closed by 62.149.227.64

There is no question that this constitutes a malicious hacking attempt.

Please identify your customer operating from the above address
at the time mentioned, and terminate immediately his hacking
activities. Please prevent him from continuing his hacking
activities in the future as well.

Due to the potential severity of this incident, we have reported
it to the Computer Emergency Response Team (CERT) in Italy (IT)
and Denmark.

Sincerely yours

Dr. Ole H. Nielsen
Manager of computer services
Department of Physics, Technical University of Denmark,
Building 307, DK-2800 Lyngby, Denmark

Riesci a dirmi cosa sta impegnando la banda e come fai a sapere quali sono i servizi che girano sulla macchina?

Per quanto riguarda mysql, plesk e vnc mi servono per poter operare sulla macchina da remoto.Hai qualche consiglio da darmi per rendere più sicuro il server continuando a poterlo controllare da remoto? Grazie

cacao74
25-08-2008, 16:41
Non ho idea di come sia successo (rootkit, password semplice, ecc...) ma temo che la tua macchina sia con le chiappe al vento sulla internet. Dalla tua macchina stanno cercando di effettuare attivita' (a che scopo?) di dubbio legalita' (forse). I chiederei l'azzeramento e la reinstallazione del server che hai a disposizione, l'incremento/revisione delle politiche di sicurezza, ecc...

Vedi tu il consiglio di chi e' piu' esperto di me.
ciao

dAb
25-08-2008, 17:06
Originariamente inviato da maurizio54
Ulteriori informazioni arrivate oggi:

[..]


Tale Ole H. Nielsen dell'universita` di Lyngby ti sta informando che dal tuo server e` partito un portscan verso la loro rete, dopodiche` sempre dal tuo server e` partito un tentativo di connessione via ssh. Qualcuno ti ha violato il server e lo sta usando per scopi illeciti. Comincerei col scrivere a Ole.H.Nielsen@fysik.dtu.dk per spiegargli che stai indagando sulla situazione, tanto per arginare le sue segnalazioni al provider.



Riesci a dirmi cosa sta impegnando la banda e come fai a sapere quali sono i servizi che girano sulla macchina?


Cosa stia impegnando la banda non lo so, potresti dare un'occhiata tu stesso con iptraf. Visto l'impegno e` probabile che la tua macchina sia al momento utilizzata per ospitare torrent o va` a sapere cos'altro, non mi stupirei se il suo indirizzo ip fosse incluso in qualche lista di tracker su canali illeciti. I servizi che girano sul tuo server li ho individuati con un semplice portscan [hai pubblicato il tuo indirizzo in chiaro]:

PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
111/tcp open rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
993/tcp open imaps
995/tcp open pop3s
1004/tcp open unknown
3306/tcp open mysql
5900/tcp open vnc
8443/tcp open https-alt
10000/tcp open snet-sensor-mgmt [questo e` webmin]




Per quanto riguarda mysql, plesk e vnc mi servono per poter operare sulla macchina da remoto.Hai qualche consiglio da darmi per rendere più sicuro il server continuando a poterlo controllare da remoto? Grazie

In via generale, su una macchina dovrebbero essere costantemente attivi solo i servizi strettamente necessari al suo funzionamento: plesk, vnc e webmin li dovresti avviare solo alla bisogna. Non capisco la necessita` di far rispondere mysql dall'esterno, a meno di casi particolarissimi il database dovrebbe essere raggiungibile solo da localhost. Inoltre via ssh non dovrebbe essere mai permesso il collegamento diretto via root ma solo tramite un utente fittizio dal quale poi eventualmente ottenere i privilegi di root con su una volta loggati.

Probabilmente ti e` stato bucato l'account con un bruteforce via ssh, dopodiche` giu` di rootkit.

Io solitamente, quando non dispongo di un collegamento vpn, configuro sshd per poter accettare login solo da un utente particolare, la cui shell e` la login di root: in questo modo quando mi collego alla macchina mi vengono richieste DUE password prima di poter effettivamente accedere alla shell vera e propria, e le probabilita` di successo tramite un bruteforce si riducono drasticamente: l'attaccante deve scovare non solo la password di root ma ancora prima il nome utente corretto con cui loggarsi prima di loggarsi con root, e ovviamente anche la sua password. Ma anche scovando questa, il suo bel programmino di bruteforce verra` ingannato dalla seconda richiesta di password, che non sara` piu` quella scovata ma una totalmente diversa [quella di root]. Di seguito un esempio, con il comando vipw editiamo /etc/passwd per sostituire /bin/bash con /bin/su:



MioUtenteRemoto:x:1056:1056:,,,:/home/MioUtenteRemoto:/bin/su


E un esempio di /etc/ssh/sshd_config [per debian, non uso centos e non so quale sia la posizione del file di config in quella distro]:



# Facciamo rispondere ssh su una porta non standard:
Port 62666
# Impediamo l'accesso diretto a root:
PermitRootLogin no
# Permettiamo l'accesso solo a un particolare utente con login >14 caratteri:
AllowUsers MioUtenteRemoto


E questo il risultato [nota che ANCHE le password dovrebbero essere >14 caratteri, e contenenti caratteri maiuscoli/minuscoli, numeri, ecc.]:



ssh -l MioUtenteRemoto -p 62666 mioserver.it
Password: ***************
Password: ***************
root@mioserver: /home/MioUtenteRemoto#


Inoltre bisognerebbe lavorare un po' con iptables per impedire connessioni dal server verso l'esterno salvo quelle necessarie ai servizi offerti.

Inizierei col fermare tutti i servizi all'infuori di sshd.

Posta il risultato di nmap -vv localhost, tanto per verificare se sulla macchina sta girando qualche servizio che dall'esterno non riesco a individuare.

maurizio54
26-08-2008, 22:42
ti ringrazio tantissimo per le utilissime informazioni. Penso di formattare e reinstallare tuto seguendo i tuoi consigli. Se non ti disturbo troppo mi riservo di richiederti ancora ulteriori consigli. Grazie di nuovo. Domani ti invio il report di quanto mi hai chiesto

Loading