---

Hej Gruppe,

Ville lige dele en ubehagelig opblevelse med jer, i går modtog jeg et
brev fra TDC, om at min linie blev brugt til hacker aktiviteter, og at
jeg burde stoppe det hurtigst muligt.

Min Linux box er tilsyneladende blevet hacket, så jeg hev selvfølgelig
stikket med det samme.

Følte mig ellers rimlig sikker, da boxen(Debian stable) stod bag min
linksys. Der var kun åben for 25 smpt, 119 SSL, og 22 SSH, maskinen
havde jeg opdateret med seneste opdateringer osv, havde endda forbudt
direkte root login.

Da jeg har stået i flytte rod osv, tænkte jeg at jeg kunne opsætte FW på
selve boksen senere.. Tænkte at mit linksys(med opdateret FW) ville være
nok som first line of defens, men nej..!

Jeg havde godt nok modtaget nogle mails fra boksen, om ssh angreb.. Men
lignede blot brutforce angreb, med forskellige brugere..

Man føler sig lidt avelig, for burde jo vide bedre..

Den næste konfiguration bliver bestemt bedre Det bliver bestemt ikke
tilladt at ssh'e mod maskinen fra andre end bestemte ip'er..

Har andre prøvet noget ligende?

Med venlig hilsen

Anders

---

---

Michael Knudsen wrote:
> On Thu, 21 Oct 2004, Anders Nørgaard wrote:
>
>> Ville lige dele en ubehagelig opblevelse med jer, i går modtog jeg et
>> brev fra TDC, om at min linie blev brugt til hacker aktiviteter, og at
>> jeg burde stoppe det hurtigst muligt.
>
>
> TDC boer have oplyst, hvad konkret din maskine er blevet misbrugt til.
> Snakker vi portscanning? Angreb af andre maskiner? Afsending af spam?
> DDoS?

Udfra det jeg så i malen, var der tale om brutforce SSH angreb med
forskellige brugere..


>
>> Min Linux box er tilsyneladende blevet hacket, så jeg hev selvfølgelig
>> stikket med det samme.
>
>
> God idé. Nu skal du finde ud af, hvad de har misbrugt og hvordan.
> Derefter skal du reinstallere maskinen eller rette de
> konfigurationsfejl, der har medfoert fejlen. Hvis de har haft root
> adgang, er der ingen vej udenom ominstallation.
>
>> Følte mig ellers rimlig sikker, da boxen(Debian stable) stod bag min
>> linksys.
>
>
> Hvad mener du? At du sidder bag NAT? I saa fald, har du husket at aendre
> adgangskoden paa din router, saa de ikke blot har kunnet oprette nye
> NAT-entries, saa de har kunnet faa adgang til andre services paa dit
> netvaerk? Kan de have bruteforcet adgangskoden?

Ja jeg sidder på NAT bag routeren, og har selvfølgelig ændret koden på
min router.. Så vidt jeg ved kan den ikke tilgåes udefra, og var ikke
ændret noget i dens konfiguration..

>
>> Der var kun åben for 25 smpt, 119 SSL, og 22 SSH, maskinen havde jeg
>> opdateret med seneste opdateringer osv, havde endda forbudt direkte
>> root login.
>
>
> Hvad mener du med `119 SSL'? SSL-krypteret NNTP?
>
Ja NNTP


> Godt nok har jeg ikke meget fidus til Debian, men hvis maskinen
> vitterligt har vaeret opdateret, skulle der ikke vaere meget at komme
> efter, hvis jeg ellers skal tro mine Debian-venner.
>
>> Da jeg har stået i flytte rod osv, tænkte jeg at jeg kunne opsætte FW
>> på selve boksen senere.. Tænkte at mit linksys(med opdateret FW) ville
>> være nok som first line of defens, men nej..!
>
>
> Firewallen hjaelper ikke en doejt, hvis tillader trafik til saarbare
> services.
>
>> Jeg havde godt nok modtaget nogle mails fra boksen, om ssh angreb..
>> Men lignede blot brutforce angreb, med forskellige brugere..
>
>
> Dem skal man vist kun tage serioest, hvis man tillader logon med
> adgangskode og i oevrigt er en idiot.
>
>> Den næste konfiguration bliver bestemt bedre Det bliver bestemt
>> ikke tilladt at ssh'e mod maskinen fra andre end bestemte ip'er..
>
>
> Hvad har du taenkt dig at lave om? Hvis du ikke aner, hvordan de er
> kommet ind, saa ved jeg ikke helt, hvordan du har taenkt dig at goere
> tingene bedre.

Jeg har desværre fundet ud af hvordan de er kommet ind, og med desværre
mener jeg at jeg virkelig kunne små slå med selv et vis sted.. Ud fra
auth loggen fremgik det, at de et logget ind med en oracle bruger.."#%¤#

dvs. at jeg at jeg efter installationen at min oracle DB server, havde
glemt at disable brugerens system login..

Umidbart ser det ikke ud til at de har haft root acces, men er ikke
færdige med at kigge log filer endnu. Vil for en sikkerheds skyld
geninstallere maskinen..

> Hvad har du taenkt dig at lave om?

Vil selvfølgelig smide en ordenlig FW op på boxen, og flytte SSH til en
anden port, kun tillade trafik mod port 22 fra nogle udvalgte ip'er..
Eller lukke den helt, så slipper jeg for scanner services, og sikkert en
del script kiddies.

Installere tripwires, og sende loggen over til anden server, og endelig
få installeret alt mail crap, så jeg modtager log mails fra serveren..

Hvad har så lært af det, smid aldrig boxen på nettet før den er 100%
færdig konfigureret.. Det viste jeg jo ikke i forvejen -P


Jeg føler personligt at debian-stable er ret sikker, før jeg flyttede
havde jeg en debian kørende(P 133MHz) i tre år, uden der skete noget.
Havde ikke engang skærm eller tastatur på den..

>
>> Har andre prøvet noget ligende?
>
>
> Nej, ikke hvad jeg ved af (7 9 13).

---

Anders Nørgaard <spammme@hotmail.com> wrote:

>Ville lige dele en ubehagelig opblevelse med jer, i går modtog jeg et
>brev fra TDC, om at min linie blev brugt til hacker aktiviteter, og at
>jeg burde stoppe det hurtigst muligt.

Er der noget i logfilerne der fortæller hvem der er 'kommet ind' og
hvordan det er sket ??




<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

---

Anders Nørgaard wrote:

> Hej Gruppe,
>
> Ville lige dele en ubehagelig opblevelse med jer, i går modtog jeg et
> brev fra TDC, om at min linie blev brugt til hacker aktiviteter, og at
> jeg burde stoppe det hurtigst muligt.
>
> Min Linux box er tilsyneladende blevet hacket, så jeg hev selvfølgelig
> stikket med det samme.
>
> Følte mig ellers rimlig sikker, da boxen(Debian stable) stod bag min
> linksys. Der var kun åben for 25 smpt, 119 SSL, og 22 SSH, maskinen
> havde jeg opdateret med seneste opdateringer osv, havde endda forbudt
> direkte root login.
>
> Da jeg har stået i flytte rod osv, tænkte jeg at jeg kunne opsætte FW på
> selve boksen senere.. Tænkte at mit linksys(med opdateret FW) ville være
> nok som first line of defens, men nej..!
>
> Jeg havde godt nok modtaget nogle mails fra boksen, om ssh angreb.. Men
> lignede blot brutforce angreb, med forskellige brugere..
>
> Man føler sig lidt avelig, for burde jo vide bedre..
>
> Den næste konfiguration bliver bestemt bedre Det bliver bestemt ikke
> tilladt at ssh'e mod maskinen fra andre end bestemte ip'er..
>
> Har andre prøvet noget ligende?
>
> Med venlig hilsen
>
> Anders


Hejsa,

Gennem kig i mine logfiler har nu fundet en formodet ip på hackeren,
gennem auth.log...

Jeg kan se hans personlige oplysninger gennem ripe, og han han kommer
tilsyndeladende fra Rusland Burde jeg ikke melde ham?

/ Anders

---

Således skrev Anders Nørgaard den Thu, 21 Oct 2004 21:41:51 +0200:

>Gennem kig i mine logfiler har nu fundet en formodet ip på hackeren,
>gennem auth.log...

Hmm, jeg har ligeledes en Debian stable stående under samme forhold
som dig, så fortæl endeligt hvad, der skete med hvad og hvornår.

Kom han på som root?

Jeg kan se at jeg har en del forsøg på ssh-login, men de er alle som
root og jeg har ligeledes lukket af for direkte login.

Knud
--
Np: Fried Pride - 'Round Midnight

---

Anders Nørgaard wrote:

> Gennem kig i mine logfiler har nu fundet en formodet ip på hackeren,
> gennem auth.log...

Det kunne da være interessant at se ~/.bash_history på den user, der er
blevet brugt.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
>
> Anders Nørgaard wrote:
>
> > Gennem kig i mine logfiler har nu fundet en formodet ip på hackeren,
> > gennem auth.log...
>
> Det kunne da være interessant at se ~/.bash_history på den user, der er
> blevet brugt.

Ja, hvis der er blevet gemt noget. Hvis man vil undgå at
sætte så mange spor kan man jo bare skrive unset HISTFILE
og så bliver ingen kommandoer gemt.

--
Kasper Dupont

---

>> Det kunne da være interessant at se ~/.bash_history på den user, der er
>> blevet brugt.
>
> Ja, hvis der er blevet gemt noget. Hvis man vil undgå at
> sætte så mange spor kan man jo bare skrive unset HISTFILE
> og så bliver ingen kommandoer gemt.

Da min server blev rootet af en scriptkiddie havde han dog været smart
nok til at lave en: ln -s /dev/null /root/.bash_history

Hvilket jo ikke gjorde det nemmere for mig :(

/Martin

---

---

>> Jeg kan se hans personlige oplysninger gennem ripe, og han han kommer=20
>> tilsyndeladende fra Rusland Burde jeg ikke melde ham?
>
> Chancen for, at der sker noget ved det, er meget lille, vil jeg tro. Du
> har med ret stor sandsynlighed allerede lavet saa meget om, at beviserne
> ikke laengere er gyldige.

Og hvis alle tænker sådan er der aldrig nogen beviser mod nogen hackere.

Jeg mener bestemt man ALTID skal anmelde succesfulde angreb til abuse -
måske bliver informationen aldrig brugt, og måske bliver personen aldrig
fanget, men hvor lang tid er det lige det tager at forfatte en mail med
udtræk af logs mv. ikke specielt lang tid, og kan det evt. hjælpe en
efterforskning af sagen så er det jo god.

Hvordan tror du iøvrigt TDC er blevet opmærksom på aktiviteten fra _din_
maskine? Sandsynligvis fra en utilfreds person som har logget din IP.

Jeg er selv blevet hacket engang på min SuSE boks - fordi jeg var for
sløset med at opdatere min ssh daemon - jeg sendte straks alle logs
videre, og det mener jeg bestemt også du burde gøre...

/Martin

---

Martin Schyth wrote:
>
> Jeg mener bestemt man ALTID skal anmelde succesfulde angreb til abuse -

Lykkes det at trænge ind kan du ikke mere stole på logfilerne.
Mislykkede forsøg giver meget mere troværdige spor.

> måske bliver informationen aldrig brugt, og måske bliver personen aldrig
> fanget, men hvor lang tid er det lige det tager at forfatte en mail med
> udtræk af logs mv. ikke specielt lang tid, og kan det evt. hjælpe en
> efterforskning af sagen så er det jo god.

Jeg vil personligt ikke ofre ret mange sekunder på det, når
hovedparten af udbyderne alligevel ikke reagerer på henvendelsen.

--
Kasper Dupont

---

Kasper Dupont wrote:

> Martin Schyth wrote:
>
>>Jeg mener bestemt man ALTID skal anmelde succesfulde angreb til abuse -
>
>
> Lykkes det at trænge ind kan du ikke mere stole på logfilerne.
> Mislykkede forsøg giver meget mere troværdige spor.
>
>
>>måske bliver informationen aldrig brugt, og måske bliver personen aldrig
>>fanget, men hvor lang tid er det lige det tager at forfatte en mail med
>>udtræk af logs mv. ikke specielt lang tid, og kan det evt. hjælpe en
>>efterforskning af sagen så er det jo god.
>
>
> Jeg vil personligt ikke ofre ret mange sekunder på det, når
> hovedparten af udbyderne alligevel ikke reagerer på henvendelsen.
>
Nej har du nok ret i, ser dog ikke ud til at de fik root acces via auth
log. Jeg vil overveje at sætte syslog op til, at sende loggen over til
en anden maskine, ved næste installation..

Så kan de da ikke manipulere med loggen før indbrud, ved et eventuelt hack.

---

Den Sat, 23 Oct 2004 09:01:31 +0200 skrev Anders Nørgaard:
> Kasper Dupont wrote:
>
>> Martin Schyth wrote:
>>
>>>Jeg mener bestemt man ALTID skal anmelde succesfulde angreb til abuse -
>>
>>
>> Lykkes det at trænge ind kan du ikke mere stole på logfilerne.
>> Mislykkede forsøg giver meget mere troværdige spor.
>>
>>
>>>måske bliver informationen aldrig brugt, og måske bliver personen aldrig
>>>fanget, men hvor lang tid er det lige det tager at forfatte en mail med
>>>udtræk af logs mv. ikke specielt lang tid, og kan det evt. hjælpe en
>>>efterforskning af sagen så er det jo god.
>>
>>
>> Jeg vil personligt ikke ofre ret mange sekunder på det, når
>> hovedparten af udbyderne alligevel ikke reagerer på henvendelsen.
>>
> Nej har du nok ret i, ser dog ikke ud til at de fik root acces via auth
> log.

Det ville da også være dumt ikke at slette det derfra, hvis de rent
faktisk fik root.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Martin Schyth wrote:

>>>Jeg kan se hans personlige oplysninger gennem ripe, og han han kommer=20
>>>tilsyndeladende fra Rusland Burde jeg ikke melde ham?
>>
>>Chancen for, at der sker noget ved det, er meget lille, vil jeg tro. Du
>>har med ret stor sandsynlighed allerede lavet saa meget om, at beviserne
>>ikke laengere er gyldige.
>
>
> Og hvis alle tænker sådan er der aldrig nogen beviser mod nogen hackere.
>
> Jeg mener bestemt man ALTID skal anmelde succesfulde angreb til abuse -
> måske bliver informationen aldrig brugt, og måske bliver personen aldrig
> fanget, men hvor lang tid er det lige det tager at forfatte en mail med
> udtræk af logs mv. ikke specielt lang tid, og kan det evt. hjælpe en
> efterforskning af sagen så er det jo god.
>
> Hvordan tror du iøvrigt TDC er blevet opmærksom på aktiviteten fra _din_
> maskine? Sandsynligvis fra en utilfreds person som har logget din IP.

Ja TDC har sikkert fået en klage fra en bruger.. Der kommer dog så mange
angreb normalt, så jeg plejer enig ikke kigge nærmere på dem. Det skulle
så vise sig, at jeg desværre blev klogere..

> Jeg er selv blevet hacket engang på min SuSE boks - fordi jeg var for
> sløset med at opdatere min ssh daemon - jeg sendte straks alle logs
> videre, og det mener jeg bestemt også du burde gøre...

En god dist, men gode opdatering muligheder er at foretrække. Ved ikke
hvordan SuSe er, men debian har et kanont pakke system... Jeg opdatere
normalt, mindst en gang i ugen. Det kunne smides i et cron job, men kan
selv bedst lige at se hvad der enig sker..

>
> /Martin

---

Anders Nørgaard <spammme@hotmail.com> wrote in message news:<4177e870$0$202$edfadb0f@dread16.news.tele.dk>...

> Min Linux box er tilsyneladende blevet hacket, så jeg hev selvfølgelig
> stikket med det samme.

Det er vel 230 volt stikket, du taler om? Dernæst boot op på en CD
(Knoppix f.eks.) og mount den hackede disk READ ONLY. Så kan man
begynde at kigge efter spor.

> Følte mig ellers rimlig sikker, da boxen(Debian stable) stod bag min
> linksys. Der var kun åben for 25 smpt, 119 SSL, og 22 SSH, maskinen
> havde jeg opdateret med seneste opdateringer osv, havde endda forbudt
> direkte root login.

Der er huller i visse udgaver af SSH - og så hjælper en FW foran
Linux'en ikke en pind. Hvilken SSH kører Debian stable med?

En af vennerne (og jeg skal stå meget tidligt op hvis jeg skal følge
med ham på *nix) sendte mig denne historie:

***** brev *****
Til jeres info har der været et par rumænere inde og rootkit'e min
linuxbox
i forgårs. Tripwire opdagede det og de er smidt på porten, men de
havde nået
at smide Suckit på!

Tilsyneladende er det sket gennem et remote-root exploit på
openssh/openssl
0.9.7 så der er altså grund til at være paranoid hvad angår upgrades
af dem!

Til info detekterede Tripwire bla. en ændret /sbin/init, medens
chkrootkit
og skdetect kunne genkende Suckit (sjovt nok fandt rkhunter IKKE
Suckit-kit'et, men så dog nogen skumle strenge i /sbin/init og
advarede om
det).

De kære østeuropæiske terrorister nåede at installere en irc-agtig Bot
hvis
formål jeg ikke kunne finde ud af (den lyttede også på en port der var
firewalled så det har nok ikke fungeret) samt en keylogger der har
snuppet i
al fald et password (lokalt).
***** brev *****



Jeg lærte lidt af det :

Tripwire! For selv godt kørende maskiner kan blive ramt. Tripwire er
med i distroen på de fleste Linux maskiner, så den bør man køre. Jeg
ved godt at Tripwire ikke er nok i *alle* tilfælde, men den fanger
mange ting.


Mvh. NKJensen

---

> Der er huller i visse udgaver af SSH - og så hjælper en FW foran
> Linux'en ikke en pind. Hvilken SSH kører Debian stable med?

ii libssl0.9.6 0.9.6c-2.woody SSL shared libraries
ii openssl 0.9.6c-2.woody Secure Socket Layer (SSL) binary and
related
ii ssh 3.4p1-1.woody. Secure rlogin/rsh/rcp replacement
(OpenSSH)

Dette er versionerne fra stable (woody)

Typisk er de rimeligt hurtige til at lukke sikkerhedshullerne i Debian
Stable når de er blevet kendte - håber da ikke umiddelbart at de er
kommet igennem ssh - for så kender jeg da personligt til en 15-20 bokse
som jeg skal til at gøre noget med :(

/Martin

---

"Martin Schyth" <fumsen@hotmail.com> wrote in message
news:slrncnhk2t.ff.fumsen@gateway.schyth.com...
> ii libssl0.9.6 0.9.6c-2.woody SSL shared libraries
> ii openssl 0.9.6c-2.woody Secure Socket Layer (SSL) binary and
> related
> ii ssh 3.4p1-1.woody. Secure rlogin/rsh/rcp replacement
> (OpenSSH)

Er du absolut sikker på at Debian har backportet alle sikkerhedsopdateringerne
fra openssl 0.9.6d,e,f,g,h,i,j,k og l? Ellers har du fundet din synder (hvilket
dit indbrud fint kunne indikere).



--
Thor Larholm
<URL: http://pivx.com/qwikfix/> Secure yourself proactively
<URL: http://unpatched.pivxlabs.com/> Security mailing list
<URL: http://spamfighter.com/> Fight back at spam

---

Thor Larholm wrote:
>
> Er du absolut sikker på at Debian har backportet alle sikkerhedsopdateringerne
> fra openssl 0.9.6d,e,f,g,h,i,j,k og l? Ellers har du fundet din synder (hvilket
> dit indbrud fint kunne indikere).

Hovedparten af hullerne i openssl har vel ingen betydning for ssh.
Men har der faktisk kørt en ssl baseret service på en anden port
kan det selvfølgelig godt være forklaringen.

--
Kasper Dupont

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:41797A6D.39F4EB39@daimi.au.dk...
> Thor Larholm wrote:
>>
>> Er du absolut sikker på at Debian har backportet alle
>> sikkerhedsopdateringerne
>> fra openssl 0.9.6d,e,f,g,h,i,j,k og l? Ellers har du fundet din synder
>> (hvilket
>> dit indbrud fint kunne indikere).
>
> Hovedparten af hullerne i openssl har vel ingen betydning for ssh.
> Men har der faktisk kørt en ssl baseret service på en anden port
> kan det selvfølgelig godt være forklaringen.

Bah, jeg så libssl/openssl i de 2 første linier og fik helt overset openssh :)

> ii libssl0.9.6 0.9.6c-2.
> ii openssl 0.9.6c-2.
> ii ssh 3.4p1-1.woody (OpenSSH)

OpenSSH er så fremme ved version 3.9 så det samme er tilfældet her.



--
Thor Larholm
<URL: http://pivx.com/qwikfix/> Secure yourself proactively
<URL: http://pivx.com/larholm/> Security mailing list
<URL: http://spamfighter.com/> Fight back at spam