hack,serveur,linux,awstat

Cela faisait 2 ans et demi qu'il tournait sans aucun soucis et je viens de me faire hacké hier soir par des Roumains. Voici toutes les explications sur leur attaque et de la façon dont j'ai pu détecter leur attaque ....

J'ai tout d'abord analysé les ports ouverts de ma machine :

# netstat -pa

J'ai remarqué qu'il y avait des processus qui se connectaient à Undernet, un réseau IRC. J'ai donc vérifier mon hyposthèse :

# tcpdump -X -i eth0 dest port ircd

En analysant les trames sniffées, j'en ai conclu qu'il s'agissait bien de trames IRC, je recevais en effet des "IRC PING" de Undernet.

En réalisant un :

#ps -eaf | grep 2290

2290 étant le port que j'ai noté lors de ma dernière commande, j'ai relevé un processus anormal qui tourne sous le nom de xinetd avec les droits de apache. Chose qui ne devrait jamais arriver sur un système ....

Je me suis donc précipité dans mon répertoire /proc/2290 pour analyser le processus qui était en train de tourner, et voici ce que j'ai découvert :

En analysant le fichier d'environnement associé au processus, j'y ai découvert la cause du problème :

REQUEST_URI=//cgi-bin/awstats/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%2f%2e%7e%3bexport%20PATH%3d%3bxinetd%3becho%20e_exp%3b%2500

Louche la requête n'est-ce pas ? Cela me semble tout simplement l'utilisation d'un trou de sécurité de AWSTAT ... En plus de cette variable, voici une variable intéressante :

REMOTE_ADDR=83.16.79.166

Il s'agit de l'adresse de la machine qui a piraté mon serveur. Je me suis donc amusé à scanner la machine cible :

# nmap -O 83.16.79.166

Et j'y ai découvert des choses intéressantes :

Interesting ports on adb166.internetdsl.tpnet.pl (83.16.79.166):
 (The 1646 ports scanned but not shown below are in state: closed)
 PORT      STATE SERVICE
 21/tcp    open  ftp
 22/tcp    open  ssh
 25/tcp    open  smtp
 53/tcp    open  domain
 80/tcp    open  http
 443/tcp   open  https
 465/tcp   open  smtps
 587/tcp   open  submission
 993/tcp   open  imaps
 995/tcp   open  pop3s
 10000/tcp open  snet-sensor-mgmt

Tout d'abord la machine est une machine polonaise qui est connectée à de l'ADSL, chez le FAI TPNet, l'équivalant de notre Wanadoo local ... Ensuite cette machine semble avoir beaucoup de ports ouverts .... Je reconnais qu'il s'agit que des ports des principaux services : pop,smtp, ftp,ssh .. Le "-O" du nmap m'a permis de savoir qu'il s'agit en fait d'une machine i686 sous Linux :

SInfo(V=3.45%P=i686-pc-linux-gnu%D=11/21%Time=43824F70%O=21%C=1)

Deux hypothèses viennent à mon esprit, soit cette machine correspond à la personne qui a piraté mon serveur, soit c'est un relais qui a été utilisé à l'insu de son propriétaire. Pour vérifier ces hypothèse, je décide de collecter plus d'informations sur cette machine :

pundit root # telnet 83.16.79.166 25
 Trying 83.16.79.166...
 Connected to 83.16.79.166.
 Escape character is '^]'.
 220 www.sp342.waw.pl ESMTP Sendmail 8.13.4/8.13.3; Tue, 22 Nov 2005 01:02:57 GMT

Son serveur de mail est paramétré pour relayer le courrier de "www.sp342.waw.pl" .... Pas vraiment informatif ...

# dig @83.16.79.166

Son serveur DNS ne semble pas contenir de domaine propre

http://83.16.79.166

Un beau logo "Under Construction"

Étrange !

Je continu donc mes recherches la où j'en étais tout à l'heure, c'est à dire dans le repertoire "/proc/2290" Et la je vois un beau lien "cwd" pointant vers mon répertoire /tmp/

Un beau petit fichier boti.tar.gz ... Cela me rappelle quelque chose tout cela, il ne s'agirait pas du bot IRC ? En fouillant un peu, je découvre le repertoire où celui-ci a été installé : /tmp/.~ Un petit "ls" et la je découvre l'arme du crime ;-) un bot irc au doux nom de "checkmech", je sauvegarde toute les données associé au Bot dans un répertoire sur et je kill le processus 2290 pour que le bot se déconnecte de l'IRC :

# kill -9 2290

Je revérifie que le bot est bien mort en réalisant un :

# netstat -na

Et là je découvre que tout est fermé, je peux donc continuer mon investigation, le bot est bien mort ... Je jette un oeil dans le fichier de configuration du bot "mech.set" et je découvre tous les paramètres du bot de mon pirate.

SERVER 195.204.1.132
 SERVER 66.198.80.67
 SERVER 193.110.95.1
 SERVER 195.54.102.4
 SERVER 217.106.2.92
 SERVER 205.252.46.98
 SERVER 66.28.140.14
 SERVER 194.134.7.194
 SERVER 132.207.4.32
 ENTITY x
 PASS mafia
 PORT 31337

 ###BOT 1###
 NICK isp1
 USERFILE 1.user
 CMDCHAR -
 LOGIN marcela
 IRCNAME Deschide Gura Sã-ti Predau Legãtura 
 MODES +i-ws
 HASONOTICE
 TOG CC          1
 TOG CLOAK       1
 TOG SPY         1
 SET OPMODES     6
 SET BANMODES    6
 CHANNEL         #akka
 TOG PUB         1
 TOG MASS        1
 TOG SHIT        1
 TOG PROT        1
 TOG ENFM        0
 SET MKL         7
 SET MBL         7
 SET MPL         1
  ...... etc ....

Les bots utilisés portent donc le nom de ispn ou n s'incrémente de 1 en 1.

Un petit coup d’œil dans le fichier "mech.session" :

tog SPY 1
 channel #sellers
 tog AOP 1
 channel #ISP
 tog AOP 1
 channel #Sh3ll
 tog AOP 1
 channel #kr
 tog AOP 1
 channel #º
 tog AOP 1

Les bots ont donc été utilisés pour squatter ces channels IRC .... Je me rend donc dans ces channels, et je me fait jetter des 3 premiers qui sont protégés par des mots de passe. Je continue ma route ... .... J’hallucine .. Pleins de bots ...

Bon mon investigation s'arrête ici, cela ne sert à rien d'aller plus loin dans mes recherches .... Juste la conclusion de l'article, si vous utilisez AWSTATS, désinstallez le de suite !!

Voici les identité des pirates :

handle          dani
 mask            *!*@danylo.users.undernet.org

et

handle          gang
 mask            *!*@Romania.users.undernet.org

Je vais réinstaller Snort sur ma machine :-)

  • Clone carte RFID Mifare

    Hacking : Comment cloner une carte RFID ?

    Les cartes RFID Mifare 1K possèdent deux protections principales : Le block 0 est en lecture seule, seul le constructeur de la carte peut initialiser ce block. Les données écrites sur les cartes sont encryptées. Il existe cependant des solutions pour outrepasser ces protections et permettre de créer des copies exactes. Cet article détaille la procédure pour cloner une carte RFID Mifare 1k sous Linux.

  • Tutoriel Backtrack 5 : Comment cracker un réseau Wifi protégé avec du WPA

    Voici un tutoriel intéressant sur les outils de bruteforce WPA mis à disposition dans la distribution Linux Backtrack 5.

1. Le , 00:00 par Romain
e37f71faf7fae81ac1b10e2197309214

Rhhhhaaaa, mais comment on fait si on utilise Awstats dans un envirronnement de prod avec des centaines de sites ?

Sinon ce matin, j'ai aussi eu un serveur attaqué, mais c'était plus bourrin : un gros DOS sur le port 25.

2. Le , 18:07 par JS
d41d8cd98f00b204e9800998ecf8427e

hum...
j'ai pas encore eu ce problème...
par contre, j'ai pas bien compris comment tu a fait pour voir qu'il y avait des processus qui se connectaient à undernet...

3. Le , 19:01 par plop
d41d8cd98f00b204e9800998ecf8427e

C'est ça le fait d'utiliser des architectures du type x86... Beaucoup plus de probabilités d'avoir des exploits du type buffer overflow...

;-)

4. Le , 23:51 par Ludovic
d41d8cd98f00b204e9800998ecf8427e

JS : Je n'arrivai plus du tout à me connecter à Undernet, c'est comme ça que j'ai vu qu'il y avait un truc qui était bizarre ...

5. Le , 12:42 par /root
d41d8cd98f00b204e9800998ecf8427e

wahhh en tout cas heureusement que tu as remarqué la chose...
ta methode d'analyse et bine détaillée merci pour ca ProSpeRe

6. Le , 22:01 par Puyb
7ede583e6bd68dd983a04e138aafc76d

Pour continuer a utiliser ton awstats, il suffit de ne pas l'utiliser en cgi, mais de lui demander de générer des pages html dans un cron...

Bien sur, il ne faut pas oublier de retirer le scriptalias dans la conf d'apache...

7. Le , 14:28 par TheNastyBoy
d41d8cd98f00b204e9800998ecf8427e

Snort n'était pas installé avant que le serveur soit en fonction? Ouch...

8. Le , 14:36 par fo0
d41d8cd98f00b204e9800998ecf8427e

Apparement il y à toujours des victimes...

9. Le , 14:35 par Fifou
d41d8cd98f00b204e9800998ecf8427e

Tu utilisais quel version de awstats aussi. J'ai vu sur plusieurs site qu'en fait c'etait d'ancienne version de awstat qui posait ce probleme. Si ma mémoire est bonne c'etait au temps jadis de la version 6.2

10. Le , 23:12 par Ludovic
d41d8cd98f00b204e9800998ecf8427e

Une version assez récente pourtant ...

11. Le , 23:56 par gwadalou
d41d8cd98f00b204e9800998ecf8427e

Hello

Moi aussi je me suis fait pirater toute la semaine derniere avec ces bots irc.
Mais j'avais aussi un programme du nom r0nin qui tournait sur mon serveur avec des droits apaches, sur le port 1666.
Des que j'effaçais, le tout revenait dans les heures qui suivent, et pour arréter le tout j'ai installé un mod apache qui s'appele mod_security, et depuis plus de problemes, mais je regarde de temps en temps.

gwadalou

12. Le , 12:38 par jeoo
7a5762c9cfda3693812e7d0b40772464

cooooooooooool tes bon tu peut m apprendre stp

13. Le , 09:08 par exil
e91ec0225cb5db2a44e404142a59e2ab

<Name: Welcome In To My World !

 Address: ~vip@Romania.users.undernet.org
 Channels: #sick @#Niciodata-n.viatza.nu.ma.dau.batut @#org @#ReportAbuse @#sh3ll #Tools @#RedBull #nobody>

voila le whois de celui qui a hacker ton server il est ave tte une bandes de romains qui se croient pour des durs mais t en fais pas j ai réussi a introduir dans leur server.

14. Le , 02:18 par gama
647d7e6245b6bf723858d957ba165456

salut a tous je suis debutant sous linux et je trouve sa super cool parce que windows je connais par coeur donc sa soule et j'ai moin de risque d'avoir des virus.j'ai la version ubuntu et j'essaye d'apprendre un peu cette version je vois qu'elle a pas mal d'option.pas mal la méthode d'analyse felicitations. @+

15. Le , 16:45 par xero
285a3ac3135a2ee9b37be55ec9934891

T'as quand même eu un sacré coup de chance que le serveur telnet ne t'ai pas demandé un login et un mot de passe ...

16. Le , 19:37 par jounta02
999aa911396620d974ff02d646780e03

jjjjjjjjjjj

17. Le , 19:47 par PP
999aa911396620d974ff02d646780e03

PPP

18. Le , 23:07 par J-F
0f6d1d70440c57857305659d8044a24b

Bonsoir,
Je pense que je vais monter un serveur sous openBSD.
A votre avis une faille dans les systèmes Apache ou tout autre lancés sous l'OS compromettent-t-ils le serveur ?
QQun peut-t-il installer un IRC bot malgrès la robustesse d'OpenBSD en matière de sécurité ?

Merci de vos conseils,
JF

19. Le , 13:06 par zidou2007
76a391930791740e84b7a7a2cb12f657

bon chance a votre travaile

 j ai un pc linux (acer aspir one ) j ai essai pluseur fois instaler des logiciale mais aucan resultat comment fair ??

merci d'avance

20. Le , 18:39 par Nick kûtton
4ee2ee561ae0d942c373b5903de0c0be

<sup>too bad</sup><hr/>

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.