В виде преамбулы хочу сказать, что сам я не
претендую на звание супер крутого админа
всех Соларисов и народов. Я админ обычной
конторы, имеющей внутреннею сеть, выход в
инет, почтовый и веб сервера. Так что крутых
админов и хакеров, разговаривающих исключительно
на Си и по телефону общающихся пересвистом
на 56к, прошу воздержаться от высказываний
на тему “ты пишешь то, что всем давно
известно, да и вообще, ламер”. Эта статья
ориентирована, в первую очередь, на тех, кто,
прочитав пару статей, пробует себя в роли
хакера, и на тех, кто начал пользовать Линух,
но из-за недостатка инфы пока не знает
назначение всех сервисов и портов, которые
RedHat ставит на сервер. Ладно, достаточно
лирики, пора бы перейти к более
информативной части.
Итак, у меня при установке инета
руководствовались в первую очередью
стоимостью проекта, поэтому никаких Цисок
нет. Канал 256к воткнут прямо в комп
посредством карточки Cronyx. На эту машину
поставлен RH 7.0, который является
одновременно и Firewall'ом, и почтовым сервером, и
веб сервером. Сразу же скажу, что грамотно
настроенный Линух сломать очень
проблематично, по крайней мере, я таких
случаев не знаю. Мой сервак сломан из-за
моей же ошибки.
Итак, все началось одним прекрасным утром,
когда я получил от моего провайдера письмо,
которое гласило приблизительно следующее:
“Нам поступила жалоба от гражданина
солнечной Флориды Боба, что с вашего IP
адреса 1.1.1.1 (адреса все изменены) было
произведено сканирование его сервера 2.2.2.2.
Разберитесь и прекратите это безобразие, а
то отключим”.
Первым делом я позвонил админу провайдера,
который решил меня успокоить.
- "А, это все фигня! – обрадовано заявил он,
– Вы поймали себе SirCam, вот он и сканирует.
У наших клиентов такое уже было". - "Вы уверены?"
- "Да, точно, вы не первый. Тут сейчас таких
много. После того, как они вирус удаляют
все становится на свои места".
Ну что ж. Вирус, так вирус. Подумал я и
пошел сканировать тачки Касперским. Однако
был очень удивлен, когда никакого вируса не
обнаружил ни на одной машине. На всякий
случай я бегло осмотрел Линух и, не найдя
ничего подозрительного, успокоился. Решил,
что кто-нить из сотрудников развлекается.
Эта черта русского характера (родной наш
авось и небось) меня и подвела.
Когда я пришел на работу на след. день,
меня ждало 2 сюрприза. 1 – Письмо от
провайдера, в котором содержалась жалоба
того же Боба, что с нашего IP 1.1.1.1 его
пытались сломать. 2 – Звонок от шефа того
офиса, где стоял ломаемый линух. Шеф сообщил,
что инет у него работает, но почты ни у кого
нет... И действительно, когда я полез в почтовый ящик Линуха, Outlook мне ответил, что
такого юзверя, как админ, нет, что я никто, и
зовут меня никак. Я попытался зайти на
сервер через SSH, но и он ответил, что сервер
есть, но я никто и вааще нефиг переться в
чужой монастырь. Ж8-О После таких заявлений
мне ничего не оставалось, как идти к Линуху
и смотреть в чем дело.
На месте монитор встретил меня родным “Линух
Login:”, однако на привычное root, password, мне было
написано "Фиг Вам". Т.е. пароль не тот. В общем,
не пустил меня сервак к себе ни под одним
моим логином! Теперь мне стало понятно, что
это ж-ж-ж было не спроста, и что мне
предстоит восстанавливать сервак, на
который для начала нужно попасть.
Как попасть на сервак, если он не пущает, я
описывать не буду, т.к. тема взлома Линуха
при возможности физического доступа к
компу выходит за рамки данной статьи. Скажу
только, что для этого надо 2 минуты времени и
правильная дискета.
Итак, я снова на сервере, и снова root. Что я
вижу! Passwd девственен! Там, естессно, есть root,
но пароль у него не мой! Ладно, достаем Бэкап,
восстанавливаем конфигурацию, и сразу же
меняем все пароли. Благо их не так уж и много.
Смотрим логи... Досадно, умный хакер
старательно стер все следы своего
пребывания. Ладно. Все же интересно, как он
сюда попал. Раз уж в логах ничего нет,
смотрим, что же предоставляет мой сервер
пользователям. Для этого есть куча сканеров.
Мне понравился xspider. Смотрю, что показывает
сканер.
80 порт – ну это понятно.
25, 110 – тоже понятно.
113 - auth
79 – Finger. Если на него обратиться, то сервер с
радостью сообщает, кто залогинен. Видимо,
специально для хакеров придумано, чтобы им
сподручней было узнать, на месте ли админ.
513 – rsh Удаленный доступ
514 – rlogin Удаленный доступ
515 - printer
49999 - ???
ну, 79, 513, 514, 515 – стандартные сервисы
Линуха. Я, когда ставил сервак, забыл их
выключить (вот главная моя ошибка!).
Немедленно выключаю.
А что такое 49999? Коннекчусь туда. Отвечает
– SSH! Блин, а этого я не ставил! Тоже убиваю.
Снова сканирую на всяк случай. Теперь
сканер находит только 80, 25, 110 и 113. Ну эти
пусть будут.
Итак, из того, что мы нашли, методом
дедукции можно предположить, что через
заботливо оставленные мной 513 и 514 порты
хакер попал на сервер, нашел рутовый пароль,
поставил SSH, а дальше резвился как хотел. И в
основном его резвление было направлено на
сервера того самого Боба из Флориды.
Ладно, последствия хака устранены,
возможность проникнуть снова тоже. Однако
мне стало интересно, кто же это был. Теперь я
стал более детально просматривать логи. И
как не странно, нашел самый первый логин
этого взломщика.
|
Aug 12 |
13:34:13 |
Линух |
in.finger[20131]: |
connect from 3.3.3.3 |
|
Aug 12 |
13:34:45 |
Линух |
in.rlogind[20135]: |
connect from 3.3.3.3 |
|
Aug 12 |
13:35:14 |
Линух |
in.rshd[20137] : |
connect from 3.3.3.3 |
Видимо, он его забыл удалить. Самое
интересное оказалось, что провайдером
этого IP (Dialup кстати) является провайдер уже
известного нам Боба! Далее эта инфа была
переслана Бобу, и уже службы солнечной
флориды занялись дальнейшей судьбой
ломавшего. Что там будет, я не знаю, однако у
них законы о хакерстве работают гораздо
лучше, чем у нас...
Итак резюме. Что из этого можно почерпнуть?
Для админов: После того как поставили
сервак, посмотрите, что у вас получилось,
какие сервисы запущены, и нужны ли они вам. И
храните Бэкап настроек. Очень помогает. Ну а
если на вас жалуются, то к этому стоит
относиться гораздо серьезней, чем это
выглядит.
Для хакеров: Уж если вы решили завладеть
доступом на чужой комп, а с него ломануть
какой-нить Microsoft :-), то стирайте логи за
собой тщательнее! И не стоит изменять
рутовые пароли, да и вообще любые настройки
– чем меньше вы оставляете следов, тем
меньше шансов, что вас могут заметить.
