Annonse


Loggfilene fra ITavisen-hacket

Loggfilen ble slettet av Hackerne. Men på nyhetsgruppen no.it.sikkerhet.diverse fikk vi følgende tips fra Peter N. M. Hansteen (takk til han):

  • Finn syslog sin pid med ps waux | grep syslog
  • La oss si at du får tallet 304
  • cd /proc/304/fd (fd står for “File Descriptor”)
  • En ls -l vil vise hvilke fildeskriptorer som svarer til de slettede loggfilene
  • en cp fildeskriptor vanligfil tar vare på innholdet i vanligfil.

Loggfilene

Her er et par utdrag fra tre loggfiler med relevant info (litt lang) og kommentarer fra vår webutvikler og IT-sjef Erlend Schei. Vi gir deg tilgang til dem for om mulig få innspill (tips og info) fra deg som leser dette.Vi ser at noen har prøvd seg, men skjønner ikke helt hvordan de kom inn. Ser ut som ssh stengte dem ut, men så har de kommet inn som brukeren «www» klokken 5:29. Men er det via ssh? Antakelig er det via wu-ftpd, som inneholder flere velkjente sikkerhetshull.

SSH-versjonen er:[root@www pam.d]# rpm -qa | grep ssh2*ssh2-2.0.13-1issh2-clients-2.0.13-1issh2-extras-2.0.13-1issh2-server-2.0.13-1i

Kommentar: I /home/www/.bash_history ligger det også noen linjer som jeg IKKE har skrevet:

wls -l /bin/loginstrings /bin/logintelnet localhostexit

Kommentar: I tilsvarende fil for root er det ingenting jeg ikke har gjort selv.

Annonse


De IP-adressene som kommer frem er godt gjemt i USA, og det kan vel bli et helvete å prøve å spore seg tilbake. Men det er veldig greit å finne ut hvordan de kom inn, og få tettet dette hullet ved en reinstallering.

Inetd-tjenestene som kjørte i tidsrommet var pop-3,telnet og ftp

Her er loggene, med et par kommentarer i mellom:

Oct 8 05:29:52 www PAM_pwdb[27987]: (login) session opened for user www by (uid=0)Oct 8 05:30:44 www inetd[484]: pid 28023: exit status 1Oct 8 05:30:45 www PAM_pwdb[27987]: (login) session closed for user wwwOct 8 05:30:45 www inetd[484]: pid 27986: exit status 1Oct 8 05:48:17 www inetd[484]: pid 28041: exit status 1Oct 8 05:54:14 www sshd2[493]: connection from “208.225.201.200”Oct 8 05:54:14 www sshd2[28485]: Remote host disconnected: Connection closed by remote host.Oct 8 05:54:14 www sshd2[28485]: connection lost: ‘Connection closed by remote host.’Oct 8 05:54:14 www inetd[484]: pid 28484: exit status 1Oct 8 05:54:14 www telnetd[28484]: ttloop: peer died: EOFOct 8 06:25:02 www sshd2[493]: connection from “62.26.161.71”Oct 8 06:25:03 www sshd2[28883]: DNS lookup failed for “62.26.161.71”.Oct 8 06:25:03 www sshd2[28883]: Remote host disconnected: Connection closed by remote host.Oct 8 06:25:03 www sshd2[28883]: connection lost: ‘Connection closed by remote host.’Oct 8 06:25:04 www telnetd[28888]: ttloop: peer died: EOFOct 8 06:25:04 www inetd[484]: pid 28888: exit status 1Oct 8 06:25:07 www ftpd[28891]: FTP session closedOct 8 06:25:28 www ftpd[28894]: FTP session closedOct 8 06:25:31 www sshd2[493]: connection from “62.26.161.66”Oct 8 06:25:31 www sshd2[28901]: DNS lookup failed for “62.26.161.66”.Oct 8 06:25:47 www sshd2[28901]: Remote host disconnected: Connection closed by remote host.Oct 8 06:25:47 www sshd2[28901]: connection lost: ‘Connection closed by remote host.’Oct 8 08:20:49 www PAM_pwdb[30584]: authentication failure; (uid=0) -> root for login serviceOct 8 08:20:58 www PAM_pwdb[30584]: 1 more authentication failure; (uid=0) -> root for login serviceOct 8 08:20:58 www inetd[484]: pid 30583: exit status 1Oct 8 08:21:22 www inetd[484]: pid 30612: exit status 1Oct 8 08:37:32 www ftpd[30930]: wtmp /var/log/wtmp No such file or directoryOct 8 08:37:32 www ftpd[30930]: FTP LOGIN FAILED (cannot set guest privileges) for bha3-s39.mtl.colba.net [207.107.153.149], ftpOct 8 08:37:32 www ftpd[30930]: wtmp /var/log/wtmp No such file or directoryOct 8 08:37:38 www ftpd[30930]: FTP session closedOct 8 08:39:08 www ftpd[30969]: wtmp /var/log/wtmp No such file or directoryOct 8 08:39:08 www ftpd[30969]: FTP LOGIN FAILED (cannot set guest privileges) for bha3-s39.mtl.colba.net [207.107.153.149], ftpOct 8 08:39:08 www ftpd[30969]: wtmp /var/log/wtmp No such file or directoryOct 8 08:39:19 www ftpd[30969]: FTP session closed”); ?>

Kommentar: Så har de sendt e-postmeldinger, fra ITavisen.no, til [email protected] og [email protected]:

, relay=root@localhostOct 8 05:47:23 www sendmail[28396]: FAA28394: to=[email protected], ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=smtp, relay=smtp.eunet.no [193.71.71.242], stat=Sent (FAA55926 Message accepted for delivery)Oct 8 05:47:44 www sendmail[28405]: FAA28405: from=root, size=59, class=0, pri=30059, nrcpts=1, msgid=<[email protected]>, relay=root@localhostOct 8 05:47:45 www sendmail[28407]: FAA28405: to=[email protected], ctladdr=root (0/0), delay=00:00:01, xdelay=00:00:01, mailer=smtp, relay=smtp.eunet.no [193.71.71.242], stat=Sent (FAA55944 Message accepted for delivery)Oct 8 05:54:14 www sendmail[28486]: NOQUEUE: Null connection from [email protected] [208.225.201.200]Oct 8 06:25:03 www vpop3d[28885]: Can’t exec main POP server ipop3d, trying to handle main domainOct 8 06:25:05 www sendmail[28892]: NOQUEUE: Null connection from [62.26.161.71]Oct 8 06:26:07 www sendmail[28909]: NOQUEUE: Null connection from [62.26.161.66]Oct 8 06:26:07 www vpop3d[28914]: Can’t exec main POP server ipop3d, trying to handle main domain”); ?>

Kommentar: Til sist – det er tydelig at han/hun er logget inn som www, men vi vet ikke hvordan. Kan det være et hull i ssh, ut fra loggen over, eller er det wu-ftpd?

Oct 8 05:29:53 www login: LOGIN ON 0 BY www FROM 12.1.229.137Oct 8 06:25:04 www in.ftpd[28891]: connect from 62.26.161.71Oct 8 06:25:08 www in.ftpd[28894]: connect from 62.26.161.66Oct 8 08:37:31 www in.ftpd[30930]: connect from 207.107.153.149Oct 8 08:39:07 www in.ftpd[30969]: connect from 207.107.153.149″); ?>

Eventuelle tips kan sendes til vår webutvikler Erlend Schei på [email protected].

Annonse