Responder com citaçãoQuais os serviços que exigem autenticação? Talvez a coleta possa ter sido feita, não pelo ssh, mas por outros como pop3/imap ou algum serviço web.
Originalmente enviado por [TS]Birkoff
100% Livre!
Colegas do fórum!
Estou a quase uma semana sofrendo uma tentativa de ataque bruteforce via SSH no servidor que acabei de instalar aqui. É um servidor bem atualizado e na medida da minha capacidade, bem configurado: FreeBSD 6.1, Apache 2, Cyus+Postfix, Bind 9, Openssh e nada mais que poderia ser acessado de fora.
A princípio tudo normal, quem nunca sofreu tentativas de brute-force na vida que atire a primeira pedra. Limitei o número de tentativas um pouco mais, mas não há risco pois a nossa política de senhas é boa.
Os ataques partem de uns 3 servidores diferentes, cujos administradores já foram contactados para que tomem as devidas providências. É possível que seja um atacante, é possível que seja mais de um.
Porém, a questão que me causou estranheza foi que ao analisar os logs pra procurar qualquer indício de comprometimento, constatei que um dos atacantes não faz um brute-force "cego", mas procura quebrar usuários como root, mysql, etc. e pra minha surpresa, também dos outros usuários reais (não virtuais, como os do cyrus) que existem no sistema, ou seja: usuários dos administradores e mais dois que tem acesso via ssh, mas que são
devidamente "enjaulados" (chrootados nas suas devidas pastas).
Minha pergunta é: Alguém conhece alguma tática qe permita isso, a não ser tendo o /etc/passwd em mãos?
Desconfio que meu /etc/passwd vazou, mas já examinei todos os logs, de fato existiu uma tentativa de roubar ele usando meus scripts php hospedados no apache, mas pelo que pude constatar, não houve sucesso. E tais tentativas partiram do atacante que fez o brute-force cego, tentando tudo que é nome de usuário. Do atacante que estou estranhando, não há qualquer registro de acesso ao Apache.
Isso reduz minhas desonfianças a poucas pessoas. Algumas tenho certeza que poderiam ter acesso ao passwd, é são os que hoje estão "chrootados", mas não vejo qualquer motivação para tal atitude por parte deles. Outro, tenho CERTEZA que tem o passwd em mãos (não quero entrar em detalhes de como, mas a certeza é absoluta e todas medidas de contenção necessárias já foram tomadas quanto à isso.)
Quero descobrir, se possível, quem é, pra dar um "flagrante". Se for quem estou pensando, o susto e uma ameaça de levar o caso ao conselho universitário (aluno tentando comprometer rede da própria instituição) deve ser suficiente pra que o cara não tente isso de novo nem aqui nem em lugar nenhum por alguns anos, e assim, teremos um script-kidie a menos na nternet (só por isso, já vale a pena, né?).
Resumindo, portanto: Posso telefonar pro cara e intimá-lo ou vocês tem alguma indicação do que procurar como alternativas de modo de descobrir os usuários reais do sistema? (parece óbvio que é o cara, mas nem sempre o óbvio é verdadeiro né).
A única suspeita que tive além deste comprometimento confirmado seria roubar o passwd via Apache, mas como disse os logs indicam que houve a tentativa, mas não sucesso. Pelo Bind, Cyrus ou pelo Postfix alguém já viu coisa semelhante??? Ou talvez, algum jeito de descobrir pelo próprio openssh quem é usuário de verdade e quem não é?
[]'s
Birkoff
"Then you will know the truth, and the truth will set you free"
Usuário Avançadinho
Quais os serviços que exigem autenticação? Talvez a coleta possa ter sido feita, não pelo ssh, mas por outros como pop3/imap ou algum serviço web.
Assinatura? Só na presença dos meus advogadoshttp://naopod.com
100% Livre!
Cyrus e postfix autenticam virtualmente, em mysql, não como usuários reais do sistema. Além disso, só roda apache e bind.
OBS: GalenoGarbe, vc desqualificou meu post mas deu justificativa positiva? ;)... Acho que se enganou (ou na opção ou no voto)... Não tem problema, não ligo muito pra reputação, mas toma cuidado aí hehe, tem gente que ia "ter um treco" se vc fizer isso... ;)
"Then you will know the truth, and the truth will set you free"
Agnon Fabiano
Numa empresa, geralmente o email dos funcionários são os seus logins. Teria alguma maneira de alguém conseguir uma lista de emails dos funcionários?
Outra coisa, não sei por aí na sua empresa, mas geralmente estavam mapeando o UID como nome do usuário (login). Por aí também não dá pra conseguir uma lista de logins?
Contribua para a reputação dos usuários.
Contribua para a avaliação dos tópicos.
Usuário Avançadinho
Alguem mais tem acesso ao backup? Tem backup, certo?
Assinatura? Só na presença dos meus advogadoshttp://naopod.com
100% Livre!
Bom, antes de mais nada, não é empresa. Apesar do meu empenho em tentar garantir a segurança, é só um Laboratório (ok, um laboratório grande, mas mesmo assim, só um laboratório) aqui da universidade ;).
Sim, o email dos "funcionários" (alunos bolsistas do laboratório) bate com o login. Entretanto, isso não explica como só foi tentado login dos 5 que tem contas reais no sistema. Se fosse baseado nos logins de email, certamente haveria alguma tentativa de fazer login usando logins que só existem virtualmente, numa tabela mysql que o Cyrus/Postfix usa, mas que não existem como contas *nix reais.
Mistério interessante né?
Acho que pode se afirmar com certeza quase absoluta que a única forma de descobrir os usuários locais é tendo acesso ao passwd, todos concordam? Não conheço nada além disso que permita descobrir que usuários existem. A questão que sobra é apenas: como foi obtido acesso.
Já anulei:
* Cyrus e Postfix: Logs estão limpos, estão BEM atualizados, e falha nova/zero-day explorada não fechar com o perfil de ataque de um cara que tenta brute-force por vários dias seguidos,
deixando centenas de linhas de logs pra mim.
* Apache: Também está atualizado, scripts PHP revisados, e os logs só indicam tentativas de roubo vi php injection, mas nenhum sucesso.
* Bind 9: Não identifiquei nada de anormal, mesmo cado de postfix e cyrus...
Como falei, a minha "história do crime" tem um mordomo (tudo aponta pra ele: motivação, oportunidade, conhecimento técnico, e como disse tenho certeza (leia-se: eu tenho prova) que ele pegou o passwd daqui quando teve oportunidade). Mas não quero, de forma alguma, cometer o equivoco de acusá-lo formalmente só pq tudo indica, e depois não ter como provar isso, afinal com o que tenho, pode ser tudo apenas uma grande coincidência. Na verdade, fazer acusação formal mesmo não acho que vale a pena, provar que brute-force é crime é complicado, acho que até impossível com a lei atual, e até mesmo processo administrativo interno na universidade seria complicado. Mas se eu conseguisse pelo menos apmpliar minha certeza de que só pode ser uma pessoa, teria uma "conversinha" que resolveria muita coisa.
Estava pensando aqui... E se eu instalasse um honeypot? Teria que ser algo que não tirasse o ssh de operação. O ideal seria: após algumas tentativas dando errado, a conexão seria encaminhada à um honeypot que "receberia" o cara, coletando mais algumas provas e talvez auxiliando na identificação... Nunca ouvi falar de nada nesse sentido, alguém teria algo a indicar? ;)...
"Then you will know the truth, and the truth will set you free"
100% Livre!
Sim, tem backup
E não, ninguém tem acesso, ele fica offline.
"Then you will know the truth, and the truth will set you free"
Eu só trabalho aqui
Se o brute force só é tentado em usuários que existem no sistema, está claro que o atacante tem uma cópia do passwd (ou conseguiu enumerar as contas válidas através de uma outra forma).
A questão é saber se ele continua conseguindo enumerar usuários ou se ele tem uma listagem desatualizada. Crie mais umas duas ou três contas novas e observe os logs por mais alguns dias para ver se elas aparecem.
[]s, MM
100% Livre!
Boa dica e bom lembrete. Lembrete pq eu criei uma conta no começo da semana, e ela ainda não foi utilizada em qualquer uma das tentativas de ataque, so que não comentei este importante detalhe. Mais um ponto pro "mordomo", o passwd deve ser antigo.
RESUMO
Para os que não querem ler todo este topico que já está ficando grande mas querem entrar na "investigação", aí vai um resumo da "análise forense" executada até agora. Acredito que é um case interessante e os passos dados e pontos críticos analisados podem também servir de referência pra outros casos.
- Foi diagnosticada, pelo log do sistema de autenticação, uma série de tentativas de acesso via ssh.
- Os ataques partem de 3 hosts, sendo que nenhum é de IP dinâmico. Os administradores dos hosts foram devidamente notificados.
- Os ataques são semelhantes, no que diz respeito à técnica: todos são brute-force via ssh. Entretanto, enquanto dois tentam acessar qualquer login e qualquer senha, outro ataca especificamente usuários existentes na máquina.
- Tendo em vista isso, ficou evidenciado que o atacante necessariamente tem em mãos o arquivo /etc/passwd, já que não há outro modo de obter os usuários reais do sistema (para chegar a essa conclusão, foram analisados técnicas possíveis de obtenção de informação nos serviços do sistema, à saber: Openssh, Apache, Cyrus+Postfix, Bind).
- Passou-se a análise de possibilidades de como teria ocorrido o vazamento do arquivo /etc/passwd.
- Primeiro passo foi analisar os logs do Apache, buscando acessos ao arquivo passwd através de injeção de código em scripts php (cat /var/log/httpd-access.log |grep passwd). Notou-se diversas tentativas de obtenção, a maior parte em scripts php e cgi inexistentes, e poucas tentativas em scripts existentes, mas todas sem sucesso. Essas tentativas partem unicamente de um dos IPs que efetuou os ataques não direcionados à contas reais. Do IP que tentou atacar as contas de usuários reais, não há qualquer registro de acesso no apache.
- Segundo passo, foi montar lista de usuários que poderiam ter tido acesso autorizado ao /etc/passwd. Além dos administradores, existem 3 usuários. Sobre um destes, existe prova digital de que ele possui diversos arquivos do servidor, obtidos durante período que teve acesso autorizado ao servidor. Sobre este, recai ainda suspeita de motivação, enquanto os outros dois não tem motivação e continuam tendo acesso ao servidor diretamente, não tendo necessidade de quebrar senhas pra entrar.
- Outra possibilidade analisada foi de acesso a Backups. Os Backups, entretanto, são mantidos offline e inacessíveis.
- Foi constatado que, apesar de usar contas reais, uma conta recém criada (a uma semana) não foi usada nos ataques. Isso colabora com a suspeita do vazamento do arquivo passwd ser antiga, e não através de falha.
Portanto, os indícios por enquanto apontam à obtenção autorizada do usuário suspeito, mas não há nada de definitivo ainda. Os próximos passos pensados são:
- Aguardar resposta dos administradores dos hosts, indicando pelos seus logs de onde vieram os acesso que tentaram os ataques.
- Instalar um Honeypot que, em uma próxima tentativa, busque informações mais claras sobre o invasor.
Última edição por Birkoff : 25/08/2006 às 15:28
"Then you will know the truth, and the truth will set you free"
Palpiteiro Oficial
Mas TS, se o cara tivesse o passwd, para quê ele faria um brute force via SSH? não seria mais fácil e rápido quebrar o arquivo "offline"mente?
Só sei que nada sei.
"For the Horde"
There are currently 1 users browsing this thread. (0 members and 1 guests)
Regras de envio