Меня взломали ((

Вторник, 23 Декабря 2008 г. 13:56 + в цитатник

Недавно произошло несанкционированное проникновение на наш сервер.

[root@caesar clamav]# last|grep "Dec 20"
clamav pts/0 211.96.28.102 Sat Dec 20 08:11 - 08:11 (00:00)
jabber pts/0 211.96.28.102 Sat Dec 20 08:11 - 08:11 (00:00)
clamav pts/0 88.81.228.100 Sat Dec 20 03:43 - 03:43 (00:00)

Так уж получилось (я прозевал), что у меня эти аккаунты лежали без паролей. Да ещё с шелом. Это было ещё простительно пока сервак был внутри нашей сети. Да и давно я их уже заводил.

Но вот однажды я дал доступ снаружи по ssh. И пришли гости.Судя по IP это были китайцы и украинцы. Что они у меня делали - могу только догадываться. Сессия длилась 8 -10 секунд. Заглянул в .bash_history - у jabber пусто.

У clamav было следующее

./clamdscan
./clamdscan
/usr/share/mc/extfs/rpm run /mnt/audit_asu/clamav-db-0.93.3-1.rh9.rf.i386.rpm INSTALL
/usr/share/mc/extfs/rpm run /mnt/audit_asu/clamav-0.93.3-1.rh9.rf.i386.rpm INSTALL

Выглядит будто ко мне зашли добрые докторы и решили поискать у меня вирусы
А если серьёзно - они возможно вычистили историю. (а может это наша история??)

Кахеры, кстати, могли утянуть /etc/passwd, который из-за ветхости системы хранит хеши паролей непосредственно. Кроме того эти пароли были зашифрованы DES а не MD5.

Кстати почему-то появились пароли у clamav...

clamav:1gLDmP/5C95cQ:580:581::/home/clamav:/bin/bash
jabber:XOTq2JrhWvK6Y:529:529:jabber:/home/jabber:/sbin/nologin

Тоже добрые робин гуды? Чтобы другие не заходили?

Кроме двух удачливых хакеров них полно других попыток захода. Для точной передачи ощущения боевых действий приведу кусок лога

............
Dec 20 08:10:33 caesar sshd[17217]: Failed password for halt from 211.96.28.102 port 13511 ssh2
Dec 20 08:10:40 caesar sshd[17219]: Failed password for uucp from 211.96.28.102 port 13805 ssh2
Dec 20 08:10:44 caesar sshd[17221]: Illegal user smmsp from 211.96.28.102
Dec 20 08:10:47 caesar sshd[17223]: Illegal user dean from 211.96.28.102
Dec 20 08:10:51 caesar sshd[17225]: Illegal user unknown from 211.96.28.102
Dec 20 08:10:55 caesar sshd[17227]: Illegal user securityagent from 211.96.28.102
Dec 20 08:10:59 caesar sshd[17229]: Illegal user tokend from 211.96.28.102
Dec 20 08:11:02 caesar sshd[17231]: Illegal user windowserver from 211.96.28.102
Dec 20 08:11:06 caesar sshd[17233]: Illegal user appowner from 211.96.28.102
Dec 20 08:11:10 caesar sshd[17235]: Illegal user xgridagent from 211.96.28.102
Dec 20 08:11:14 caesar sshd[17237]: Illegal user agent from 211.96.28.102
Dec 20 08:11:17 caesar sshd[17239]: Illegal user xgridcontroller from 211.96.28.102
Dec 20 08:11:22 caesar sshd[17241]: Accepted password for jabber from 211.96.28.102 port 15959 ssh2
Dec 20 08:11:28 caesar sshd[17245]: Illegal user amavisd from 211.96.28.102
Dec 20 08:11:32 caesar sshd[17247]: Accepted password for clamav from 211.96.28.102 port 16420 ssh2
Dec 20 09:45:13 caesar sshd[17820]: Did not receive identification string from 202.99.122.136
Dec 20 11:32:56 caesar sshd[28665]: Failed password for root from 220.250.64.60 port 60612 ssh2
Dec 20 11:33:02 caesar sshd[28667]: Failed password for root from 220.250.64.60 port 60903 ssh2
Dec 20 11:33:08 caesar sshd[29232]: Failed password for root from 220.250.64.60 port 32956 ssh2
Dec 20 11:33:14 caesar sshd[30594]: Failed password for root from 220.250.64.60 port 33252 ssh2
Dec 20 11:33:20 caesar sshd[31281]: Failed password for root from 220.250.64.60 port 33543 ssh2
Dec 20 11:33:25 caesar sshd[31725]: Failed password for root from 220.250.64.60 port 33823 ssh2
Dec 20 11:33:31 caesar sshd[31727]: Failed password for root from 220.250.64.60 port 34122 ssh2
Dec 20 11:33:37 caesar sshd[31730]: Failed password for root from 220.250.64.60 port 34414 ssh2
Dec 20 11:33:43 caesar sshd[31732]: Failed password for root from 220.250.64.60 port 34731 ssh2
Dec 20 11:33:49 caesar sshd[31734]: Failed password for root from 220.250.64.60 port 35007 ssh2
Dec 20 11:33:55 caesar sshd[31736]: Failed password for root from 220.250.64.60 port 35318 ssh2
Dec 20 11:34:00 caesar sshd[31738]: Failed password for root from 220.250.64.60 port 35597 ssh2
Dec 20 11:34:06 caesar sshd[31740]: Failed password for root from 220.250.64.60 port 35915 ssh2
Dec 20 11:34:12 caesar sshd[31742]: Failed password for root from 220.250.64.60 port 36201 ssh2
.....................................................

И так было 3 дня подряд, пока я не закрыл SSH обратно.

Вместо заключения
Товарищи! Дабы не попасть на те же грабли что и я:
1. Обновляйте серверное ПО !!! (Я сервак в ближайшее время переставлю нафик)
2. Удаляйте с сервера все ненужные и устаревшие аккаунты
3. Аккаунты, которые нельзя удалять, но которые нужны демонам - обязательно вешать туда пароль и вместо шела вешать /sbin/nologin

Айпишники хакеров не прячу. Пусть бояцца.)))