Valery's Mlog

Mindlog of a Freak
March 15th, 2005 by Valery Dachev

Като ти е тръгнало на (не)сигурност…

Още сутринта Павел наби в в полезрението ми статията Knowing Yоur Enemy: Tracking Botnets – нещо страшно полезно за анализ на налазилите напоследък IRC мрежите ботове. Искрено се радвам на анализа, който е направен, и заслужено информация за статията се появи по някои информационни сайтове малко по-късно.

Та това сутринта. Гледам си тази вечер Mantra: пак е качила натоварването си. Не и се случва рядко – натоварване от HTML чата на ShakeIT (стои по един Apache процес отворен за всеки потребител, а и доста интензивно кърти по shared memory). Само че този път се оказва не е Apache, не е и MySQL (който пък на моменти се позадъхва на по-глупави заявки от страна на разни хостнати сайтове) – оказва се някакъв процес с подозрително име, подозрителни параметри и от още по-подозрителния shell account, който съм дал на доставчика си (по техни думи: да следят дали не правя нещо нередно на машината си и в случай на авария). Първичната грешка е, в доставчика – паролата е същата като потребителското име – речникова дума. Само където това определено не беше доставчика ми, тъй като и двата IP адреса, от които беше влязъл потребителят, не бяха български, камо ли от тяхната мрежа…

Каквото и да правеха, нямаше да направят повече, за няколкото секунди, за които лепнах един “strace” на процеса – обикновено SYN сканиране на B-клас мрежа за отворен 22-ри порт. Това ми беше достатъчно. Последва: “passwd -l snip; apt-get install –yes -d slay; slay snip“. Намерих двата изпълними файла. Явно не бяха компилирани на машината, но пък едното оставяше достатъчно подходящи логове, за да разбера каква е целта: “недвусмисленото” нареченото “ps” (port scanner ?) беше вече споменатият скенер, а другото – sshf се оказа не публикуваният в Phrack #59 ssh-fucker, ами просто bruteforce програмчицата (1.2Мб not stripped), която тръгва за открития IP адрес. Кратък преглед на системните логове показа, че по същия начин са стигнали и до моята машина – bruteforce по SSH.

Няколко мисли ми дойдоха на главата: това е толкова елементарно (и старо – съдейки по факта, че се компилирани за 2.2.5 ядро на Red Hat 3.2.2), че спокойно би могло да се автоматизира и направи на червейче (предвид няколкото часа, които са си играли с машината, било е на ръка). Другото, което ми стана любопитно са начините за reverse engineer на такива двоични файлове без да се налага да бъдат изпълнявани. Някои решения за това дава статията на Sean Burford.

Странно е, че опитвайки се да стоя по-настрана от въпросите на сигурността, пак там се набутвам. Проси си да и се обръща внимание. Показателно е.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: