„Ziarnko do ziarnka i uzbiera się miarka”

Jakież to ładne przysłowie udało mi się wyszukać do określenia przebiegu ataku
,,,, ale do rzeczy.

W dobie gdzie każdy OS ma defaultowo zintegrowane mechanizmy
„utrudniające” exploitacje , zdalne ataki wymierzony bezpośrednio w jedna z
usług systemowych w celu wyROOT’owania(nie ma to jak neologizmy) maszyny,
są „w znacznym stopniu”(ehm ;] ) utrudnione.
No tak ,ale co jeśli atakujący ma trochę więcej cierpliwości i stopniowo będzie zwiększał swój stopień kontroli nad ofiarą?

Z pewnością taką możliwość dają hostingi + serwery WuWuWu z cała ekipą swoich krnąbrnych użytkowników. Trzymając się trendów rynkowych załóżmy ,że takim serwerem jest Apacze + PeHaPe ku uciesze użytkowników ( i nie tylko).Wszyscy wiemy ,że PHP nie należy do najbezpieczniejszych języków programowania ,no ale twórcy starają się zapewnić go choć trochę stosując „security by default”. No tak ,ale co ma zrobić takie biedny administrator kiedy dzwoni to niego pan Rysiek i mówi ze jego „fancy domorodna” aplikacja z interfejsem webowym do zdalnego domykania lodówki nie działa ,bo ktoś najwyraźniej wyłączył register_globals? Po paru takich telefonach odebranych w weekendowa noc sfrustrowany admin pójdzie po najmniejszej lini oporu i dokona „odpowiednich” modyfikacji php.ini.

Powyższą historię chciałbym traktować jako totalny żart ,no ale tak nie jest i raczej trzeba na nia patrzeć jak na historię z cyklu „Pół żartem Pół serio”(połówki zostawiam wam do wyboru).
A teraz tak całkiem poważnie o tym jak c99.php może zamienić się w rootkit’a SHV5.
Nie tak dawno dawno temu pewien administrator skarżył się na dziwny ruch wychodzący
gdzie adres źródłowy był spoofowany ,a adres docelowy zmieniał się w pewnym zakresie
przy sztywno określonym porcie dst wynoszącym “1” (DoS?).
Wcześniejsze pentesty cms’ów na serwerze wykazały pare bugów z cyklu RFI/LFI i podejrzliwy Ice zaczął dostrzegać w tym wszystkim jakieś większe ZUO.
Po BlackBox’e przyszedł czas żeby „dotknąć serwera z bliska”. Po paru dobrych minutach miotania się po katalogach WWW userów i szukaniu przyczyny zua, przeszedłem do oględzin aktywnych procesów .Oczy me zadziwił
rezultat komendy ps:

marcin@xxx:/$ ps -A
PID TTY TIME CMD
3537 ? 00:00:00 3

Hym hym cóż za dziwna nazwa komendy “3” (od razu na myśl przyszedł mi do głowy proces instalujący driver Mbroot-A :D).
Oczywiście nie omieszkałem przyjrzeć się sprawie bliżej:

marcin@xxx:/$ ps -p 3537 -F
UID PID PPID C SZ RSS PSR STIME TTY TIME CMD
root 3537 1 0 516 332 1 Aug28 ? 00:00:00 /sbin/ttyload -q
marcin@xxx:/$ md5sum /sbin/ttyload
5a9690fa6129bc021bf40fb5f6c603bd /sbin/ttyload

A rezultat dla tej md5’i możecie znalesc tutaj:
5a9690fa6129bc021bf40fb5f6c603bd

O tak ! to jeden z plików należących do rootkit’a!
Jeszcze rzut okiem na stringi:

marcin@xxx:/$ strings /sbin/ttyload | more
Linux $Info: This file is the propert of SH-crew team designed for test purposes. $ $Nr: SH- April/2003 produced in SH-labs for Linux Systems.Run and enjoy.

i sprawa jest zupełnie jasna.

Od razu muszę powiedzieć ze parskłem śmiechem z faktu ,że zwykłą komenda ps (+ fakt ,że rootkit podmienia binarke ps na swoja ,patchowaną) umoliwila wykrycie jednego z jego składników kompromitując przy tym cały mechanizm. No cóż ,jak widać nawet atakujący może się czasem pomylić;).
Końcowe odpalenie RootkitHuntera było już tylko formalnością:

[19:21:49] System checks summary
[19:21:49] =====================
[19:21:50]
[19:21:50] File properties checks...
[19:21:50] Files checked: 127
[19:21:50] Suspect files: 2
[19:21:50]
[19:21:50] Rootkit checks...
[19:21:50] Rootkits checked : 113
[19:21:50] Possible rootkits: 2
[19:21:50] Rootkit names : SHV4 Rootkit, SHV5 Rootkit

Ot cała historia;)A morał jest taki ,że nie należy lekceważyć żadnego składnika swojego systemu jeżeli chodzi o bezpieczeństwo.
Ale przecież to oczywiste ,prawda?

Advertisements

~ by Icewall on October 7, 2008.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: