---

Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
Red Hat 7) er blevet angrebet udefra. I må undskylde at dette indlæg
er lidt forvirret, men jeg véd ikke rigtigt selv om jeg er offer for
noget og hvad det i givet fald er.

Det første mistænkelige jeg bemærkede, skete for nogle dage siden.
Når jeg skrev 'ls', sagde den '/bin/ls: permission denied'. Det er
jo i sig selv højst suspekt eftersom jeg ikke har ønsket at ændre
tilladelserne for ls (naturligvis).

Jeg loggede ind som root og rettede /bin/ls så den var executable.
Nå ja, jeg var ikke helt tryg ved det, men nu virkede det til-
syneladende.

Nu i dag synes jeg det så ud som om på mit ADSL-modem at der blev
overført en masse data som jeg ikke kunne redegøre for. Hmm...

Jeg kører/kørte en FTP-server (Version wu-2.6.1-16) for sjov.
Jeg bemærkede i dag at der i kataloget ~ftp lå en fil ved navn
tux.tgz (var det vist). Når jeg pakkede den ud, viste den sig blandt
andet at indeholde en fil med det ikke særligt seriøse navn
'tuxkit/pussy.c'. Filen 'pussy.c' er på 35111 bytes og begynder
på denne måde:

#define STARTUP // Start on startup?
#define IDENT // Only enable this if you absolutely have
#define FAKENAME "update" // What you want this to hide as
#define CHAN "#move" // Channel to join
#define KEY "phish" // The key of the channel
int numservers=11; // Must change this to equal number of
char *servers[] = { // List the servers in that format, always end in (void*)0
"194.134.7.194",
"195.121.6.196",
"193.110.95.1",
"213.208.119.11",
"195.54.102.4",
"207.96.122.250",
"199.170.91.114",
"205.252.46.98",
"140.99.102.4",
"132.207.4.32",
"154.11.89.164",
(void*)0
};
////////////////////////////////////////////////////////////////////////////////
// STOP HERE! //
////////////////////////////////////////////////////////////////////////////////
#include <stdarg.h>
#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <strings.h>
#include <netinet/in.h>
#include <unistd.h>
#include <sys/time.h>
#include <sys/socket.h>
#include <signal.h>
#include <arpa/inet.h>
#include <netdb.h>
#include <time.h>
#include <sys/wait.h>
#include <sys/ioctl.h>
int sock,changeservers=0;
char *server, *chan, *key, *nick, *ident, *user, disabled=0, execfile[256],dispass[256];
unsigned int *pids;
unsigned long spoofs=0, spoofsm=0, numpids=0;

.... efterfulgt af et længere C-program som jeg ikke har forsøgt at
forstå.

Der var også andre suspekte ting i filen 'tux.tar', blandt andet
kataloger med navne som 'bin', 'cfg' og 'lib'.

Og jeg har opdaget at min ls ikke viser alle skjulte filer.
Se her:

[jeppesn@localhost cfg]# ls -a
.. ..
[jeppesn@localhost cfg]# echo .*
.. .. .addr .cron .file .log .proc

Altså, ls viser ikke de fem skjulte filer selvom jeg bruger tilvalget
'-a'. Er det normalt? Hvis ikke er min 'ls' jo korrumperet!

Jeg gad nok vide hvor meget der er ændret i mine systemfiler og hvad
véd jeg.


Det jeg ville spørge jer om, er om I kan genkende det her som et
eller andet velkendt angreb som der er en standardkur imod?

Tilsyneladende fungerer de normale ting jeg plejer at bruge computeren
til, fint. Det virker som om nogen har villet misbruge min maskine på
en måde der ikke generer min daglige brug af den.


Glæder mig til at høre jeres kommentarer.
(Tålmodig er den der har læst helt hertil.)

--
Jeppe Stig Nielsen <URL:http://jeppesn.dk/>. «

"Je n'ai pas eu besoin de cette hypothèse (I had no need of that
hypothesis)" --- Laplace (1749-1827)

---

Jeppe Stig Nielsen wrote:
>
> Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
> Red Hat 7) er blevet angrebet udefra. I må undskylde at dette indlæg
> er lidt forvirret, men jeg véd ikke rigtigt selv om jeg er offer for
> noget og hvad det i givet fald er.

<KLIP>

Kort og godt:
Du kan ikke være 100% sikker på at du kan spore hvad der er foregået og
dermed rette op på det.
Derfor: reinstallation.

Sourcen ligner lidt en eller anden form for program som joiner en
IRCserver og der venter på kommandoer til udførsel, f.eks. DDoS angreb
eller lignende.

--
Steen Suder "We reject kings, presidents and voting.
http://www.suder.dk/ We believe in rough consensus and running
code."
ICQ UIN: 4133803

---

Steen Suder wrote:
>
> Kort og godt:
> Du kan ikke være 100% sikker på at du kan spore hvad der er foregået og
> dermed rette op på det.
> Derfor: reinstallation.

Det kan jeg godt forstå.
Kan man reinstallere systemfilerne og samtidig bevare sine egne
tekstfiler mv. som helt sikkert er uskyldige og uantastede af
angrebet?

>
> Sourcen ligner lidt en eller anden form for program som joiner en
> IRCserver og der venter på kommandoer til udførsel, f.eks. DDoS angreb
> eller lignende.

Ja, sådan noget tror jeg også det må være. Og der er gjort en hel del
for at gøre det usynligt for mig.

Men er der nogen der kan sige hvilket hul de er kommet ind ad? Det
er selvfølgelig lidt svært for jer at udtale jer om når I ikke kender
alle mine opsætninger af alting (det gør jeg heller ikke selv).

Jeg har som antydet mistanke til wu-ftp. Det har aldrig været min
mening at anonyme ftp-brugere skulle kunne uploade filer til min
maskine (og da bestemt ikke nye versioner af '/bin/ls',
'/usr/bin/find' og '/bin/ps'!).

Eller måske kom de ind ad en anden vej og lagde filen i ~ftp af en
særlig grund.

--
Jeppe Stig Nielsen <URL:http://jeppesn.dk/>. «

"Je n'ai pas eu besoin de cette hypothèse (I had no need of that
hypothesis)" --- Laplace (1749-1827)

---

Jeppe Stig Nielsen <mail@jeppesn.dk> wrote:
> Steen Suder wrote:
>>
>> Kort og godt:
>> Du kan ikke være 100% sikker på at du kan spore hvad der er foregået og
>> dermed rette op på det.
>> Derfor: reinstallation.
>
> Det kan jeg godt forstå.
> Kan man reinstallere systemfilerne og samtidig bevare sine egne
> tekstfiler mv. som helt sikkert er uskyldige og uantastede af
> angrebet?

De filer som du oensker at gemme ligger vel i dit $HOME et sted? Lav en
tarball af dit bibliotek, scp filen et sted hen og pak det ud paa din
maskine naar du har geninstalleret.

>> Sourcen ligner lidt en eller anden form for program som joiner en
>> IRCserver og der venter på kommandoer til udførsel, f.eks. DDoS angreb
>> eller lignende.
>
> Ja, sådan noget tror jeg også det må være. Og der er gjort en hel del
> for at gøre det usynligt for mig.

Nej, det er ingenting :) Hvis vedkommende havde fattet noget som helst
havde du aldrig opdaget noget.

> Jeg har som antydet mistanke til wu-ftp. Det har aldrig været min
> mening at anonyme ftp-brugere skulle kunne uploade filer til min
> maskine (og da bestemt ikke nye versioner af '/bin/ls',
> '/usr/bin/find' og '/bin/ps'!).

Ja, den version du koerte har et gammelt root hul i sig. Hvad bruger du
ftp til?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> tarball af dit bibliotek, scp filen et sted hen og pak det ud paa din
> maskine naar du har geninstalleret.


Pas på med at bruge den angrebet maskine til at tilgå andre maskiner,
evt er angriberen på vagt og kan bruge de oplysninger du giver til at
angribe den næste maskine. I stedet bør du hente filen fra en anden maskine.

---

Jeppe Stig Nielsen wrote:
>
> Steen Suder wrote:
> >
> > Kort og godt:
> > Du kan ikke være 100% sikker på at du kan spore hvad der er foregået og
> > dermed rette op på det.
> > Derfor: reinstallation.
>
> Det kan jeg godt forstå.
> Kan man reinstallere systemfilerne og samtidig bevare sine egne
> tekstfiler mv. som helt sikkert er uskyldige og uantastede af
> angrebet?

Uden at lægge hovedet på blokken vil jeg mene at datafiler burde være
harmløse. Derfor kan du tage en backup af disse og så reinstallere
systemet.

> > Sourcen ligner lidt en eller anden form for program som joiner en
> > IRCserver og der venter på kommandoer til udførsel, f.eks. DDoS angreb
> > eller lignende.
>
> Ja, sådan noget tror jeg også det må være. Og der er gjort en hel del
> for at gøre det usynligt for mig.
>
> Men er der nogen der kan sige hvilket hul de er kommet ind ad? Det
> er selvfølgelig lidt svært for jer at udtale jer om når I ikke kender
> alle mine opsætninger af alting (det gør jeg heller ikke selv).

Har du kigget i dine logs i /var/log? De er sandsynligvis blevet
slettet, men prøv alligevel.

> Jeg har som antydet mistanke til wu-ftp. Det har aldrig været min
> mening at anonyme ftp-brugere skulle kunne uploade filer til min
> maskine (og da bestemt ikke nye versioner af '/bin/ls',
> '/usr/bin/find' og '/bin/ps'!).

WU-ftpd har en dårlig sikkerhedshistorik og er ofte skældt ud. Dog kan
man komme langt ved at konfigurere sit system ordentligt.

<KLIP>

--
Steen Suder "We reject kings, presidents and voting.
http://www.suder.dk/ We believe in rough consensus and running
code."
ICQ UIN: 4133803

---

"Jeppe Stig Nielsen" <mail@jeppesn.dk> wrote in message
news:3C9CFA19.8CAEA5C4@jeppesn.dk...
> Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
> Red Hat 7) er blevet angrebet udefra. I må undskylde at dette indlæg
> er lidt forvirret, men jeg véd ikke rigtigt selv om jeg er offer for
> noget og hvad det i givet fald er.
>

Hmm, du er helt sikkert blevet angrebet af en eller anden, jeg synes du skal
melde det til Cert på https://www.cert.dk/anmeldelsesblanket/.

/Glen

---

GlenK wrote:
>
> Hmm, du er helt sikkert blevet angrebet af en eller anden, jeg synes du skal
> melde det til Cert på https://www.cert.dk/anmeldelsesblanket/.

Det har jeg nu gjort, og jeg tror endda jeg har fundet ud af hvilket
IP-nummer de kom fra, og præcist tidspunkt. Hvis jeg har ret, kommer
idioterne fra udp115391uds.gsu.edu.

--
Jeppe Stig Nielsen <URL:http://jeppesn.dk/>. «

"Je n'ai pas eu besoin de cette hypothèse (I had no need of that
hypothesis)" --- Laplace (1749-1827)

---

Jeg har lige opdaget vedlagte fil som vist ret tydeligt viser i hvert
fald en del af hvad der er foregået.
(Håber ikke jeg bryder netiketten ved at vedlægge et shellscript.)

--
Jeppe Stig Nielsen <URL:http://jeppesn.dk/>. «

"Je n'ai pas eu besoin de cette hypothèse (I had no need of that
hypothesis)" --- Laplace (1749-1827)

---

Jeppe Stig Nielsen wrote:

> Jeg har lige opdaget vedlagte fil som vist ret tydeligt viser i hvert
> fald en del af hvad der er foregået.


Vær glad for det var et simpelt angreb, der var nemt at finde rester af :)

> (Håber ikke jeg bryder netiketten ved at vedlægge et shellscript.)

---

"Christian E. Lysel" wrote:
>
> Jeppe Stig Nielsen wrote:
>
> > Jeg har lige opdaget vedlagte fil som vist ret tydeligt viser i hvert
> > fald en del af hvad der er foregået.
>
> Vær glad for det var et simpelt angreb, der var nemt at finde rester af :)

Det var en fejl at de lod en zippet fil med alle deres scripts ligge
hos mig. Scriptet forsøger jo at slette sine spor.

--
Jeppe Stig Nielsen <URL:http://jeppesn.dk/>. «

"Je n'ai pas eu besoin de cette hypothèse (I had no need of that
hypothesis)" --- Laplace (1749-1827)

---

Jeppe Stig Nielsen <mail@jeppesn.dk> wrote:
> Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
> Red Hat 7) er blevet angrebet udefra. I må undskylde at dette indlæg
> er lidt forvirret, men jeg véd ikke rigtigt selv om jeg er offer for
> noget og hvad det i givet fald er.

Kig i OSS'en for dk.edb.sikkerhed for at undgaa at folk voldtager din
maskine igen:

   http://a.area51.dk/sikkerhed/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Jeppe Stig Nielsen wrote:

> Det første mistænkelige jeg bemærkede, skete for nogle dage siden.
> Når jeg skrev 'ls', sagde den '/bin/ls: permission denied'. Det er
> jo i sig selv højst suspekt eftersom jeg ikke har ønsket at ændre
> tilladelserne for ls (naturligvis).


Hvad var rettighederne?


> Jeg loggede ind som root og rettede /bin/ls så den var executable.
> Nå ja, jeg var ikke helt tryg ved det, men nu virkede det til-
> syneladende.


Hmm, det var dumt.

Først kunne du spørge RPM om den synes /bin/ls er ændret

rpm -Vf /bin/ls


> Jeg kører/kørte en FTP-server (Version wu-2.6.1-16) for sjov.


Det lyder også sjovt :)

> Jeg bemærkede i dag at der i kataloget ~ftp lå en fil ved navn
> tux.tgz (var det vist). Når jeg pakkede den ud, viste den sig blandt
> andet at indeholde en fil med det ikke særligt seriøse navn
> 'tuxkit/pussy.c'. Filen 'pussy.c' er på 35111 bytes og begynder
> på denne måde:


Det ligner et simpelt root-shell.


> ... efterfulgt af et længere C-program som jeg ikke har forsøgt at
> forstå.
>
> Der var også andre suspekte ting i filen 'tux.tar', blandt andet
> kataloger med navne som 'bin', 'cfg' og 'lib'.
>
> Og jeg har opdaget at min ls ikke viser alle skjulte filer.
> Se her:
>
> [jeppesn@localhost cfg]# ls -a
> . ..
> [jeppesn@localhost cfg]# echo .*
> . .. .addr .cron .file .log .proc


Godt tænkt, den bruger jeg også selv :)


> Altså, ls viser ikke de fem skjulte filer selvom jeg bruger tilvalget
> '-a'. Er det normalt? Hvis ikke er min 'ls' jo korrumperet!


Det er ikke normalt, og ja din ls er ændret, prøv at spørge RPM, se
ovenstående.


> Jeg gad nok vide hvor meget der er ændret i mine systemfiler og hvad
> véd jeg.


Det er interessant at vide hvilken rettigheder den moditificeret /bin/ls
fik.

De har nok udnyttet at du som root har kørt deres /bin/ls, hvor de er
root på din maskine, hvordan de har overskrevet den undre mig, det lader
til at være ftp serveren men det er ikke sikkert.

> Det jeg ville spørge jer om, er om I kan genkende det her som et
> eller andet velkendt angreb som der er en standardkur imod?


Jeg kan ikke genkende ovenstående c-kode, men jeg er da interesseret i
en kopi, send den til exploit@mail.dk


> Tilsyneladende fungerer de normale ting jeg plejer at bruge computeren
> til, fint. Det virker som om nogen har villet misbruge min maskine på
> en måde der ikke generer min daglige brug af den.


Det skal du ikke være sikker på..

---

Jeppe Stig Nielsen wrote:

> Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
> Red Hat 7) er blevet angrebet udefra.


Lige et par spørgsmål for at blive lidt klogere:

Havde du en firewal sat op? Hvor "hårdt" havde du i så fald sat den op?
Hvordan havde du sat sikkerhedsindstillingerne ( let, mellem eller
paranoid)?

Hilsen Claus larsen.

---

Claus Christian Larsen <dsl62456@vip.cybercity.dk> wrote:
> Jeppe Stig Nielsen wrote:
>
>> Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
>> Red Hat 7) er blevet angrebet udefra.
>
> Lige et par spørgsmål for at blive lidt klogere:
>
> Havde du en firewal sat op? Hvor "hårdt" havde du i så fald sat den op?
> Hvordan havde du sat sikkerhedsindstillingerne ( let, mellem eller
> paranoid)?

Hvilken forskel goer en firewall?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:


> Hvilken forskel goer en firewall?


Jeg bilder mig ind ( men ved ikke meget om det) at der er to måder at
angribe en fremmed computer på:

1: At cracke sig ind udefra gennem internetforbindelse eller
2: At sørge for at man bliver downloaded/installeret ind til maskinen på
en eller anden måde.

Brandmuren er forhåbentligt en måde at undgå indtrængen fra
internetforbindelsen på.

Hilsen Claus Larsen.

---

Claus Christian Larsen <dsl62456@vip.cybercity.dk> wrote:

>Brandmuren er forhåbentligt en måde at undgå indtrængen fra
>internetforbindelsen på.

Du mener altså, at den ville have beskyttet mod misbrug af
den ftp-service, som manden helt frivilligt havde sat op?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:

> Claus Christian Larsen <dsl62456@vip.cybercity.dk> wrote:
>
>
>>Brandmuren er forhåbentligt en måde at undgå indtrængen fra
>>internetforbindelsen på.
>>
>
> Du mener altså, at den ville have beskyttet mod misbrug af
> den ftp-service, som manden helt frivilligt havde sat op?



Nææ, det mener jeg ikke, men jeg prøver at blive klogere på det, som jeg
skriver det i mit første svar :)

Jeg er newbie i det her, det er derfor jeg følger med.

Hilsen Claus Larsen.

---

Claus Christian Larsen <dsl62456@vip.cybercity.dk> wrote:

>Nææ, det mener jeg ikke, men jeg prøver at blive klogere på det, som jeg
>skriver det i mit første svar :)

Ok. Der skal en ret avanceret firewall til at beskytte mod misbrug
af en service, som man faktisk ønsker at give adgang til. Den slags
firewalls findes (de kaldes svjh "application firewalls"), men det
er ikke gjort med at sætte et kryds under installationen af en
linux-distribution.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:

> Claus Christian Larsen <dsl62456@vip.cybercity.dk> wrote:



> Ok. Der skal en ret avanceret firewall til at beskytte mod misbrug
> af en service, som man faktisk ønsker at give adgang til. Den slags
> firewalls findes (de kaldes svjh "application firewalls"), men det
> er ikke gjort med at sætte et kryds under installationen af en
> linux-distribution.


ja, jeg sidder her og læser i min manual fra suse 7.3 hvor der er et
temmeligt langt kapitel om emnet. De begynder med at nævne daemon
wrapperen "tcpd".

Kapitlet slutter men en henvisning til 3 større bøger om emnet :)

Jeg skal selv til at sætte en lille server op ( mest for sjov) derfor
min interesse.

Hilsen Claus Larsen.

---

Claus Christian Larsen <dsl62456@vip.cybercity.dk> wrote:

>ja, jeg sidder her og læser i min manual fra suse 7.3 hvor der er et
>temmeligt langt kapitel om emnet. De begynder med at nævne daemon
>wrapperen "tcpd".

Det er stadig en anden problemstilling. Man bliver nødt til at
skelne mellem services, som ingen udefra skal have adgang til, og
services, som alle udefra skal have adgang til.

Den første type er relativt nem at sikre med firewall-scripts,
tcpd osv.

Men i det aktuelle tilfælde er der tale om den anden type,
og det er en langt værre og mere omfattende problematik, hvor
man skal udvælge "sikker" software, holde den opdateret,
sørge for at den har så begrænsede rettigheder som muligt (for
man kan jo risikere, at nogen bryder ind i softwaren, selv om
den er "sikker", og så skal de helst ikke kunne komme videre),
samt en hel masse andet, som jeg ikke har forudsætninger for
at udtale mig om.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen wrote:



> Men i det aktuelle tilfælde er der tale om den anden type,
> og det er en langt værre og mere omfattende problematik,




Jeg kan godt se at det er et af de "tunge" emner der kræver en hel del
erfaring.

Hilsen Claus Larsen.

---

On Sun, 24 Mar 2002 19:42:03 +0100, Allan Olesen
<aolesen@post3.tele.dk> wrote:

>>Brandmuren er forhåbentligt en måde at undgå indtrængen fra
>>internetforbindelsen på.
>
>Du mener altså, at den ville have beskyttet mod misbrug af
>den ftp-service, som manden helt frivilligt havde sat op?

Det mener han sikkert ikke - det eneste, som hjælper, er enten at
begrænse services mod internettet - og så i det mindste sørge for at
holde øje med bugtraq for at se, om der dukker noget op på de ting,
man har installeret....

/Brian

---

Allan Olesen wrote:

> Du mener altså, at den ville have beskyttet mod misbrug af
> den ftp-service, som manden helt frivilligt havde sat op?


Han kan evt. opnå noget logging.

---

Claus Christian Larsen wrote:
>
> Jeppe Stig Nielsen wrote:
>
> > Kære gruppe, jeg har en diffus fornemmelse af at min pc (der kører
> > Red Hat 7) er blevet angrebet udefra.
>
> Lige et par spørgsmål for at blive lidt klogere:
>
> Havde du en firewal sat op? Hvor "hårdt" havde du i så fald sat den op?
> Hvordan havde du sat sikkerhedsindstillingerne ( let, mellem eller
> paranoid)?

Jeg havde en firewall som jeg havde åbnet for FTP. Faktisk havde jeg
også problemer med at åbne for FTP og spurgte her i gruppen, se

news:3C6944C0.CF7611D4@jeppesn.dk (måske udgået fra nogle servere)

Ret ironisk! Måske ledte mine spørgsmål dengang angriberne på sporet
af et let offer.

Samtidig havde jeg mellem min pc og mit ADSL-modem en router som jeg
havde åbnet for FTP-trafik.

--
Jeppe Stig Nielsen <URL:http://jeppesn.dk/>. «

"Je n'ai pas eu besoin de cette hypothèse (I had no need of that
hypothesis)" --- Laplace (1749-1827)