В виде преамбулы хочу сказать, что сам я не
претендую на звание супер крутого админа
всех Соларисов и народов. Я админ обычной
конторы, имеющей внутреннею сеть, выход в
инет, почтовый и веб сервера. Так что крутых
админов и хакеров, разговаривающих исключительно
на Си и по телефону общающихся пересвистом
на 56к, прошу воздержаться от высказываний
на тему “ты пишешь то, что всем давно
известно, да и вообще, ламер”. Эта статья
ориентирована, в первую очередь, на тех, кто,
прочитав пару статей, пробует себя в роли
хакера, и на тех, кто начал пользовать Линух,
но из-за недостатка инфы пока не знает
назначение всех сервисов и портов, которые
RedHat ставит на сервер. Ладно, достаточно
лирики, пора бы перейти к более
информативной части.

Итак, у меня при установке инета
руководствовались в первую очередью
стоимостью проекта, поэтому никаких Цисок
нет. Канал 256к воткнут прямо в комп
посредством карточки Cronyx. На эту машину
поставлен RH 7.0, который является
одновременно и Firewall'ом, и почтовым сервером, и
веб сервером. Сразу же скажу, что грамотно
настроенный Линух сломать очень
проблематично, по крайней мере, я таких
случаев не знаю. Мой сервак сломан из-за
моей же ошибки.

Итак, все началось одним прекрасным утром,
когда я получил от моего провайдера письмо,
которое гласило приблизительно следующее:
“Нам поступила жалоба от гражданина
солнечной Флориды Боба, что с вашего IP
адреса 1.1.1.1 (адреса все изменены) было
произведено сканирование его сервера 2.2.2.2.
Разберитесь и прекратите это безобразие, а
то отключим”.

Первым делом я позвонил админу провайдера,
который решил меня успокоить.

  • "А, это все фигня! – обрадовано заявил он,
    – Вы поймали себе SirCam, вот он и сканирует.
    У наших клиентов такое уже было".
  • "Вы уверены?"
  • "Да, точно, вы не первый. Тут сейчас таких
    много. После того, как они вирус удаляют
    все становится на свои места".

Ну что ж. Вирус, так вирус. Подумал я и
пошел сканировать тачки Касперским. Однако
был очень удивлен, когда никакого вируса не
обнаружил ни на одной машине. На всякий
случай я бегло осмотрел Линух и, не найдя
ничего подозрительного, успокоился. Решил,
что кто-нить из сотрудников развлекается.
Эта черта русского характера (родной наш
авось и небось) меня и подвела.

Когда я пришел на работу на след. день,
меня ждало 2 сюрприза. 1 – Письмо от
провайдера, в котором содержалась жалоба
того же Боба, что с нашего IP 1.1.1.1 его
пытались сломать. 2 – Звонок от шефа того
офиса, где стоял ломаемый линух. Шеф сообщил,
что инет у него работает, но почты ни у кого
нет... И действительно, когда я полез в почтовый ящик Линуха, Outlook мне ответил, что
такого юзверя, как админ, нет, что я никто, и
зовут меня никак. Я попытался зайти на
сервер через SSH, но и он ответил, что сервер
есть, но я никто и вааще нефиг переться в
чужой монастырь. Ж8-О После таких заявлений
мне ничего не оставалось, как идти к Линуху
и смотреть в чем дело.

На месте монитор встретил меня родным “Линух
Login:”, однако на привычное root, password, мне было
написано "Фиг Вам". Т.е. пароль не тот. В общем,
не пустил меня сервак к себе ни под одним
моим логином! Теперь мне стало понятно, что
это ж-ж-ж было не спроста, и что мне
предстоит восстанавливать сервак, на
который для начала нужно попасть.

Как попасть на сервак, если он не пущает, я
описывать не буду, т.к. тема взлома Линуха
при возможности физического доступа к
компу выходит за рамки данной статьи. Скажу
только, что для этого надо 2 минуты времени и
правильная дискета.

Итак, я снова на сервере, и снова root. Что я
вижу! Passwd девственен! Там, естессно, есть root,
но пароль у него не мой! Ладно, достаем Бэкап,
восстанавливаем конфигурацию, и сразу же
меняем все пароли. Благо их не так уж и много.
Смотрим логи... Досадно, умный хакер
старательно стер все следы своего
пребывания. Ладно. Все же интересно, как он
сюда попал. Раз уж в логах ничего нет,
смотрим, что же предоставляет мой сервер
пользователям. Для этого есть куча сканеров.
Мне понравился xspider. Смотрю, что показывает
сканер.

80 порт – ну это понятно.
25, 110 – тоже понятно.
113 - auth
79 – Finger. Если на него обратиться, то сервер с
радостью сообщает, кто залогинен. Видимо,
специально для хакеров придумано, чтобы им
сподручней было узнать, на месте ли админ.
513 – rsh Удаленный доступ
514 – rlogin Удаленный доступ
515 - printer
49999 - ???

ну, 79, 513, 514, 515 – стандартные сервисы
Линуха. Я, когда ставил сервак, забыл их
выключить (вот главная моя ошибка!).
Немедленно выключаю.

А что такое 49999? Коннекчусь туда. Отвечает
– SSH! Блин, а этого я не ставил! Тоже убиваю.
Снова сканирую на всяк случай. Теперь
сканер находит только 80, 25, 110 и 113. Ну эти
пусть будут.

Итак, из того, что мы нашли, методом
дедукции можно предположить, что через
заботливо оставленные мной 513 и 514 порты
хакер попал на сервер, нашел рутовый пароль,
поставил SSH, а дальше резвился как хотел. И в
основном его резвление было направлено на
сервера того самого Боба из Флориды.

Ладно, последствия хака устранены,
возможность проникнуть снова тоже. Однако
мне стало интересно, кто же это был. Теперь я
стал более детально просматривать логи. И
как не странно, нашел самый первый логин
этого взломщика.

Aug 12

13:34:13

Линух

in.finger[20131]:

connect from 3.3.3.3

Aug 12

13:34:45

Линух

in.rlogind[20135]:

connect from 3.3.3.3

Aug 12

13:35:14

Линух

in.rshd[20137] :

connect from 3.3.3.3

Видимо, он его забыл удалить. Самое
интересное оказалось, что провайдером
этого IP (Dialup кстати) является провайдер уже
известного нам Боба! Далее эта инфа была
переслана Бобу, и уже службы солнечной
флориды занялись дальнейшей судьбой
ломавшего. Что там будет, я не знаю, однако у
них законы о хакерстве работают гораздо
лучше, чем у нас...

Итак резюме. Что из этого можно почерпнуть?

Для админов: После того как поставили
сервак, посмотрите, что у вас получилось,
какие сервисы запущены, и нужны ли они вам. И
храните Бэкап настроек. Очень помогает. Ну а
если на вас жалуются, то к этому стоит
относиться гораздо серьезней, чем это
выглядит.

Для хакеров: Уж если вы решили завладеть
доступом на чужой комп, а с него ломануть
какой-нить Microsoft :-), то стирайте логи за
собой тщательнее! И не стоит изменять
рутовые пароли, да и вообще любые настройки
– чем меньше вы оставляете следов, тем
меньше шансов, что вас могут заметить.

Check Also

В королевстве PWN. Препарируем классику переполнения буфера в современных условиях

Сколько раз и в каких только контекстах не писали об уязвимости переполнения буфера! Однак…

Оставить мнение