Re: krb4_or_pwd breakin?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: Re: krb4_or_pwd breakin?
Mittente: DarK-Elf
Data: 4 Sep 2002 22:16:57 -0000

ti consiglio di leggere tutto il treadh
http://online.securityfocus.com/archive/104/285237/2002-07-28/2002-08-03/1
----- Original Message -----
From: "Michele Albrigo" <indigo@omega.sci.univr.it>
To: <ml@sikurezza.org>
Sent: Tuesday, September 03, 2002 3:57 PM
Subject: krb4_or_pwd breakin?


> Salve,
> vi sottopongo un comportamento anomalo su un mio server che mi ha dato un
> po' da pensare (3 ore piu' il tempo di scrivere questa mail).
>
> Il sistema e' un OpenBSD 3.1, con tutte le patch di sicurezza
> rilasciate (fino alla 014) e la patch Stephanie.
> Stephanie ha attivate le funzioni TPE, PRIVACY, SYMLINKS e LDSTRIP, mentre
> SNEEK e K5 non sono ancora attivate (prima imparo ad usarle, poi le
> attivo).
> I binari di sistema in /bin e /sbin sono stati ricompilati ogni volta che
> e' stata rilasciata una patch che coinvolgesse le librerie (es. la 012,
> xdr_array).
> SSH (3.4) e' configurato secondo manuale (solo ssh2, norootlogin,
> privilegeseparation, ecc.), openSSL e' alla 0.9.6b (con le patch di
> OpenBSD, quindi, nonostante la versione, dovrebbe essere a posto).
> I servizi che girano sulla macchina o sono chrooted (squid
> e ftp), o sono scritti da djbernstein (qmail) oppure sono chiusi
> dall'esterno (mysql e dnscache). Restano SSH e apache 2.0+php "visibili" e
> che non godono di tutta la mia fiducia, anche se per apache ho cercato di
> prendere qualche accorgimento extra.
> Su tutto gira Samhain come integrity checker.
> Infine, il sistema e' all'interno di un firewall che ne preclude l'accesso
> dall'esterno della rete su cui si trova.
>
> Stamattina ho trovato due processi sospetti, questo l'output di ps:
>
>  5282 C0- IEs+    0:00.01 (login)
>    94 C0- IE+     0:00.01 krb4-or-pwd -s login
\^[[12~\^[[14~\^[[15~\^[[15~\^[[17~\^[[18~\^[ default (login_krb4-or-pw)
>
> Da una rapida ricerca con google, krb4-or-pwd viene segnalato all'interno
> di un thread Forensics su securityfocus.org, riguardante un break-in su
> OpenBSD 3.1, via SSH.
>
> L'indirizzo del messaggio di avvio del thread e' il seguente:
> http://online.securityfocus.com/archive/104/285237/2002-07-28/2002-08-03/0
>
> A questo punto scatta l'analisi. Samhain non ha rilevato cambiamenti
> significativi nel sistema, cioe' niente di inatteso rispetto alle
> operazioni che ho compiuto sul server. Analizzando il filesystem non
> sembrano esserci anomalie (nuove directory & c.), anche se questo e' un
> problema aggirabile con un rootkit. Lsof non mostra socket in ascolto di
> nessun genere oltre a quelli previsti, lsof -i nemmeno. Lsof -p 94 non
> produce nessun output, e nemmeno lsof -p 5282. All'orario in
> cui sono stati lanciati entrambi i processi, i log non riportano
> nessun tipo di attivita' anomala, ne' interna ne' da rete. Riguardando
> 'man ps', scopro che IE+/IEs+ significa: processo idle che sta terminando.
> Cercando di killare i due processi, questi non spariscono, ne' con SIGTERM
> ne' con SIGKILL.
>
> A questo punto, mi viene il sospetto che di intrusione non si tratti.
>
> Il terminale ttyC0, a cui sono legati i due processi, non risponde
> all'input da tastiera. La mia idea e' che il processo sia crashato al
> momento del logout di un utente (l'altro admin del server ha fatto il
> logout da locale allo stesso orario dell'avvio dei due processi), e che
> krb4-or-pwd sia un processo avviato da login in un qualche momento della
> sua attivita' (cosa suggerida dalla presenza di krb4-or-pwd in
> /etc/login.conf). Entrambi i processi sono spariti dopo un reboot, il
> sistema ora sembra perfettamente a posto. Tranne per il fatto che, prima
> del reboot il comando "reboot" non funzionava (!).
>
> Mi resta il dubbio dato dalla sequenza di escape riportata da 'ps' e dal
> fatto che una sequenza simile e' nel messaggio su securityfocus.
>
> Qualcuno puo' togliermi questo dubbio, prima che io apra il cabinet e
> tolga il disco per vedere come si sono divertiti con il mio server, per
> poi reinstallare tutto da capo?
> Grazie
>
> Michele Albrigo
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: krb4_or_pwd breakin?, Michele Albrigo

In risposta a:
- krb4_or_pwd breakin?, Michele Albrigo

Data:
- precedente: R: firewall "hardware" vs firewall software, Attili Francesco
- successivo: Re: firewall "hardware" vs firewall software, Igor Falcomata'
- indice

Argomento:
- precedente: krb4_or_pwd breakin?, Michele Albrigo
- successivo: Re: krb4_or_pwd breakin?, Michele Albrigo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005