Just nu i M3-nätverket
Jump to content

Nån som försökt hacka...


brorsan

Recommended Posts

Nej, jag tror inte det. I de första raderna så letar någon efter cmd.exe, vilket förstås inte finns på ett unixsystem.. (är det inte code-red som gör det?)

 

Sedan är det en massa andra försök att nå diverse cgi-bin-scripts.. kanske finns kända exploits i de den letar efter, vad vet jag. Intressant dock att notera ip-numren. Det första, 217.219.124.132 har inget namn, men en whois ger intressant information:

 

# ARIN Whois database, last updated 2003-01-22 20:00

# Enter ? for additional hints on searching ARIN's Whois database.

% This is the RIPE Whois server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

 

inetnum: 217.218.0.0 - 217.219.255.255

netname: IR-DCC-20010403

descr: Telecommunication Company of Iran (TCI)

descr: PROVIDER Local Internet Registry

country: IR

admin-c: HMP14-RIPE

tech-c: SM4126-RIPE

tech-c: HA1537-RIPE

tech-c: SG4660-RIPE

status: ALLOCATED PA

mnt-by: RIPE-NCC-HM-MNT

mnt-lower: AS12880-MNT

mnt-routes: AS12880-MNT

changed: hostmaster@ripe.net 20010403

changed: lir-help@ripe.net 20011214

source: RIPE

 

route: 217.218.0.0/15

descr: TCI-Route

origin: AS12880

mnt-by: AS12880-MNT

changed: abuse@mail.dci.co.ir 20010923

source: RIPE

 

person: Hassan Motalleb Pour

address: Telecommunications Company of Iran (TCI)

address: Data Communication Affairs

address: Shahed Telecom Complex

address: 665 Shiraz Ave. Mollasadra St.

address: Tehran, Iran 14358

phone: +98 21 8029430

fax-no: +98 21 8000199

e-mail: Motalleb@www.dci.co.ir

nic-hdl: HMP14-RIPE

remarks: Manager of Data Communication Affairs

changed: Mohebali@www.dci.co.ir 19990921

source: RIPE

 

person: Saeed Mahdioun

address: Telecommunications Company of Iran (TCI)

address: Data Communication Affairs

address: 665 Shiraz Ave.

address: Mollasadra St.

address: Tehran 14358

address: Iran

phone: +98 218029495

fax-no: +98 218029494

e-mail: mahdioun@www.dci.co.ir

nic-hdl: SM4126-RIPE

remarks: Technical Contact Person

changed: R-admin@www.dci.co.ir 19991217

source: RIPE

 

person: Saloomeh Ghasemi

address: Telecommunications Company of Iran (TCI)

address: Data Communication Affairs

address: 665 Shiraz Ave.

address: Mollasadra St.

address: Tehran 14358

address: IR

phone: +98 218790033

fax-no: +98 218790030

e-mail: bazargani@mail.dci.co.ir

nic-hdl: SG4660-RIPE

changed: R-admin@mail.dci.co.ir 20020724

source: RIPE

 

person: Hamid Alipour

address: Telecommunications Company of Iran (TCI)

address: Data Communication Affairs

address: P.O.Box 16315-737.

address: Tehran

address: Iran

phone: +98 218050831

fax-no: +98 218050506

e-mail: alipour@mail.dci.co.ir

nic-hdl: HA1537-RIPE

remarks: Technical Contact Person

changed: alipour@mail.dci.co.ir 20020923

source: RIPE

 

Smittad dator på ett iranskt telefonbolag? Jojomensan...

 

Det andra ip-numret är desto mer "lokalt", ty

217.31.169.29 = bitnet.borlange-energi.se

 

Ett mail till abuse@borlange-energi.se kanske vore på sin plats..?

 

Link to comment
Share on other sites

Det finns massor med program som försöker hitta olika filer med kända säkerhetshål. Vissa program är "professionella" och till för att företag ska hitta potentiella säkerhetshål på sina datorer, andra är mer eller mindre seriösa program som bara snabbt kollar efter vissa filer på webbservrar.

 

Båda typerna av program går att använda med goda och onda avsikter.

 

Vill du göra något, så kontakta ägarna av IP-adressen (Borlänge Energi?) och förklara för dem, och skicka med loggen . Även om du/de kanske inte hittar källan till "attacken" så är det bättre än att inte göra något.

 

Du kanske skulle utmana ödet(?) och lägga upp en fil som verkar innehålla säkerhetshålet för att se vad som händer nästa gång någon får för sig att scanna dig. ;P

 

Ciao,

Anders

 

Link to comment
Share on other sites

Du kanske skulle utmana ödet(?) och lägga upp en fil som verkar innehålla säkerhetshålet för att se vad som händer nästa gång någon får för sig att scanna dig. ;P

 

hehe, det har du ju rätt i :) iofs verkade det ju som det misslyckades... :)

____________________

/brorsan

http://www.brorsan.com

 

Link to comment
Share on other sites

Hmm. Ok att någon råkar requesta ett cgi-bin-script som inte finns, men när man försöker trixa till sig /etc/passwd, då har det gått för långt. Jag tycker du ska skriva ett brev till Borlänge Energi och föreslå upptuktning av nätverksansvarige.

 

Link to comment
Share on other sites

Som du ser så har "alla" resulterat i 404, alltså att den inte kunde hitta filen (med säkerhetshålet, eller felaktig "parsning" av sökvägen), så.. ingenting du behöver oroa dig för.

 

Om det är du som har hand om servern är det dock viktigt att du ser till att alltid kolla att du har "säkra" versioner av de program som går att nå utifrån (och innefrån naturligtvis).

 

Sedan brukar det alltid finnas tips på hur man ska göra ett visst program eller ett visst operativsystem ännu säkrare. Sådant är alltid bra (och intressant! :) att läsa.

 

Ciao,

Anders

 

Link to comment
Share on other sites

Jag tycker du ska skriva ett brev till Borlänge Energi och föreslå upptuktning av nätverksansvarige.

 

Den som utförde attacken behöver naturligtvis inte vara där även om trafiken har ju gått genom deras nät. Kan ju till exempel vara någon där som har fått en bakdörr installerad, eller i övrigt har en osäker dator. De verkar dock vara NAT:ade, så, det troligaste är ju att det är någon på bitnet som gjort det.

 

Ciao,

Anders

 

Link to comment
Share on other sites

Carlos Cadalso

En honey pot skulle inte bara fel :-) Men prata med de i Borlänge i alla fall kan de täppa ett håll i fall de är ovetande om detta

 

Link to comment
Share on other sites

Det lustiga är att IP-adressen attacken kom ifrån är samma externa IP som dom som jobbar på kontoret på bitnet (iaf vissa av dom) har. Dvs, det är proxy/brandväggs-IPn för bitnet. Har en kompis som jobbar där och han har den IP-adressen som extern IP och en 10.x.x.x-adress internt (och nej, det var inte han som gjort attacken... :)

 

Får se vad dom säger, har mailat bitnet nu!

 

Kollade just genom auth.log oxå, och där fanns dom här raderna:

 

Jan 23 07:39:00 www sshd[7099]: Did not receive identification string from 217.31.169.29

 

Jan 23 07:39:01 www sshd[7101]: Did not receive identification string from 217.31.169.29

 

Lite orolig, står inget om att det blev login failure, bara dessa rader :(

 

 

Kollade oxå i cgi-bin-katalogen, den var helt tom..

____________________

/brorsan

http://www.brorsan.com

 

Link to comment
Share on other sites

Kan tillägga att dessa rader fanns i httpd.conf:

 

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

<Directory /usr/lib/cgi-bin/>

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>

 

Och att /usr/lib/cgi-bin/-katalogen var tom. Det kanske är så default?

 

Aja, har remmat dom raderna nu iaf...

____________________

/brorsan

http://www.brorsan.com

 

Link to comment
Share on other sites

Sen att detta skedde en timme innan intrånget är ju ganska konstigt mysko:

 

 

[Thu Jan 23 06:25:37 2003] [notice] Apache/1.3.26 (Unix) Debian GNU/Linux configured -- resuming normal operations

[Thu Jan 23 06:25:37 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec)

[Thu Jan 23 06:25:37 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)

 

suEXEC används ju just för att köra cgi-bin...

 

Men hur kan någon annan få apache att starta om?

____________________

/brorsan

http://www.brorsan.com

 

Link to comment
Share on other sites

Ok, efter att har rotat i loggar senaste timmen har jag kommit fram till följande:

 

1. Intrångsförsöket gjordes av ett script/program efterssom alla intrångsförsök låg inom loppet av en sekund, förrutom ssh-attacken som skedded 10 sek före.

 

2. Intrångsförsöket misslyckades, efterssom:

'grep 404 access.log | wc -l'

gav lika många rader som

'grep 217.31.169.29 access.log | wc -l'

 

och

'grep "not exist" error.log | grep 169.29 | wc -l' och

'grep "not found" error.log | grep 169.29 | wc -l' och

'grep "invoke" error.log | grep 169.29 | wc -l'

tillsammans gav lika många rader som

'grep 217.31.169.29 error.log | wc -l'

 

3.'last' visar att ingen okänd lyckats logga in.

 

4. chkrootkit inte påvisade något.

 

5.raderna:

Jan 22 06:25:02 www su[965]: + ??? root-nobody

Jan 22 06:25:02 www PAM_unix[965]: (su) session opened for user nobody by (uid=0)

i auth.log verkara ha "orsakats" av crond. ('grep 25 crontab' gav "25 6 * * * root test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily"

och 'grep nobody cron.daily/*'

gav

"cron.daily/find:cd / && updatedb --localuser=nobody 2>/dev/null"

 

Hoppas detta ska räcka :(

Nån som kan komma på nåt mer och kolla?

 

 

Förresten, dags att göra nåt eforums servrar snart? Nästan omöjligt att svara!

____________________

/brorsan

http://www.brorsan.com

 

[inlägget ändrat 2003-01-23 21:54:50 av brorsan]

[inlägget ändrat 2003-01-23 21:57:54 av brorsan]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...