krb4_or_pwd breakin?

Salve,
vi sottopongo un comportamento anomalo su un mio server che mi ha dato un
po' da pensare (3 ore piu' il tempo di scrivere questa mail).

Il sistema e' un OpenBSD 3.1, con tutte le patch di sicurezza
rilasciate (fino alla 014) e la patch Stephanie.
Stephanie ha attivate le funzioni TPE, PRIVACY, SYMLINKS e LDSTRIP, mentre
SNEEK e K5 non sono ancora attivate (prima imparo ad usarle, poi le
attivo).
I binari di sistema in /bin e /sbin sono stati ricompilati ogni volta che
e' stata rilasciata una patch che coinvolgesse le librerie (es. la 012,
xdr_array).
SSH (3.4) e' configurato secondo manuale (solo ssh2, norootlogin,
privilegeseparation, ecc.), openSSL e' alla 0.9.6b (con le patch di
OpenBSD, quindi, nonostante la versione, dovrebbe essere a posto).
I servizi che girano sulla macchina o sono chrooted (squid
e ftp), o sono scritti da djbernstein (qmail) oppure sono chiusi
dall'esterno (mysql e dnscache). Restano SSH e apache 2.0+php "visibili" e
che non godono di tutta la mia fiducia, anche se per apache ho cercato di
prendere qualche accorgimento extra.
Su tutto gira Samhain come integrity checker.
Infine, il sistema e' all'interno di un firewall che ne preclude l'accesso
dall'esterno della rete su cui si trova.

Stamattina ho trovato due processi sospetti, questo l'output di ps:

 5282 C0- IEs+    0:00.01 (login)
   94 C0- IE+     0:00.01 krb4-or-pwd -s login \^[[12~\^[[14~\^[[15~\^[[15~\^[[17~\^[[18~\^[ default (login_krb4-or-pw)

Da una rapida ricerca con google, krb4-or-pwd viene segnalato all'interno
di un thread Forensics su securityfocus.org, riguardante un break-in su
OpenBSD 3.1, via SSH.

L'indirizzo del messaggio di avvio del thread e' il seguente:
http://online.securityfocus.com/archive/104/285237/2002-07-28/2002-08-03/0

A questo punto scatta l'analisi. Samhain non ha rilevato cambiamenti
significativi nel sistema, cioe' niente di inatteso rispetto alle
operazioni che ho compiuto sul server. Analizzando il filesystem non
sembrano esserci anomalie (nuove directory & c.), anche se questo e' un
problema aggirabile con un rootkit. Lsof non mostra socket in ascolto di
nessun genere oltre a quelli previsti, lsof -i nemmeno. Lsof -p 94 non
produce nessun output, e nemmeno lsof -p 5282. All'orario in
cui sono stati lanciati entrambi i processi, i log non riportano
nessun tipo di attivita' anomala, ne' interna ne' da rete. Riguardando
'man ps', scopro che IE+/IEs+ significa: processo idle che sta terminando.
Cercando di killare i due processi, questi non spariscono, ne' con SIGTERM
ne' con SIGKILL.

A questo punto, mi viene il sospetto che di intrusione non si tratti.

Il terminale ttyC0, a cui sono legati i due processi, non risponde
all'input da tastiera. La mia idea e' che il processo sia crashato al
momento del logout di un utente (l'altro admin del server ha fatto il
logout da locale allo stesso orario dell'avvio dei due processi), e che
krb4-or-pwd sia un processo avviato da login in un qualche momento della
sua attivita' (cosa suggerida dalla presenza di krb4-or-pwd in
/etc/login.conf). Entrambi i processi sono spariti dopo un reboot, il
sistema ora sembra perfettamente a posto. Tranne per il fatto che, prima
del reboot il comando "reboot" non funzionava (!).

Mi resta il dubbio dato dalla sequenza di escape riportata da 'ps' e dal
fatto che una sequenza simile e' nel messaggio su securityfocus.

Qualcuno puo' togliermi questo dubbio, prima che io apra il cabinet e
tolga il disco per vedere come si sono divertiti con il mio server, per
poi reinstallare tutto da capo?
Grazie

Michele Albrigo


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List