Итак, все началось одним прекрасным утром, когда я получил от моего провайдера письмо, которое гласило приблизительно следующее: "Нам поступила жалоба от гражданина солнечной Флориды Боба, что с вашего IP адреса 1.1.1.1 (адреса все изменены) было произведено сканирование его сервера 2.2.2.2. Разберитесь и прекратите это безобразие, а то отключим".
Первым делом я позвонил админу провайдера, который решил меня успокоить.
"А, это все фигня! - обрадовано заявил он, - Вы поймали себе SirCam, вот он и сканирует. У наших клиентов такое уже было".
"Вы уверены?"
"Да, точно, вы не первый. Тут сейчас таких много. После того, как они вирус удаляют все становится на свои места".
На месте монитор встретил меня родным "Линух Login:", однако на привычное root, password, мне было написано "Фиг Вам". Т.е. пароль не тот. В общем, не пустил меня комп к себе ни под одним моим логином! Теперь мне стало понятно, что это ж-ж-ж было не спроста, и что мне предстоит восстанавливать сервак, на который для начала нужно попасть.
Как попасть на комп, если он не пущает, я описывать не буду, т.к. тема взлома Линуха при возможности физического доступа к компу выходит за рамки данной статьи. Скажу только, что для этого надо 2 минуты времени и правильная дискета.
Итак, я снова на сервере, и снова root. Что я вижу! Passwd девственен! Там, естессно, есть root, но пароль у него не мой! Ладно, достаем Бэкап, восстанавливаем конфигурацию, и сразу же меняем все пароли. Благо их не так уж и много. Смотрим логи... Досадно, умный хакер старательно стер все следы своего пребывания. Ладно. Все же интересно, как он сюда попал. Раз уж в логах ничего нет, смотрим, что же предоставляет мой сервер пользователям. Для этого есть куча сканеров. Мне понравился Xspider. Смотрю, что показывает сканер.
80 порт - ну это понятно.
25, 110 - тоже понятно.
113 - auth
79 - Finger. Если на него обратиться, то сервер с радостью сообщает, кто залогинен. Видимо, специально для хакеров придумано, чтобы им сподручней было узнать, на месте ли админ.
513 - rsh Удаленный доступ
514 - rlogin Удаленный доступ
515 - printer
49999 - ???
ну, 79, 513, 514, 515 - стандартные сервисы Линуха. Я, когда ставил сервак, забыл их выключить (вот главная моя ошибка!). Немедленно выключаю.
А что такое 49999? Коннекчусь туда. Отвечает - SSH! Блин, а этого я не ставил! Тоже убиваю. Снова сканирую на всяк случай. Теперь сканер находит только 80, 25, 110 и 113. Ну эти пусть будут.
Итак, из того, что мы нашли, методом дедукции можно предположить, что через заботливо оставленные мной 513 и 514 порты хакер попал на сервер, нашел рутовый пароль, поставил SSH, а дальше резвился как хотел. И в основном его резвление было направлено на сервера того самого Боба из Флориды.
Ладно, последствия хака устранены, возможность проникнуть снова тоже. Однако мне стало интересно, кто же это был. Теперь я стал более детально просматривать логи. И как не странно, нашел самый первый логин этого взломщика.
Aug 12
13:34:13
Линух
in.finger[20131]:
connect from 3.3.3.3
Aug 12
13:34:45
Линух
in.rlogind[20135]:
connect from 3.3.3.3
Aug 12
13:35:14
Линух
in.rshd[20137] :
connect from 3.3.3.3
Видимо, он его забыл удалить. Самое интересное оказалось, что провайдером этого IP (Dialup кстати) является провайдер уже известного нам Боба! Далее эта инфа была переслана Бобу, и уже службы солнечной флориды занялись дальнейшей судьбой ломавшего. Что там будет, я не знаю, однако у них законы о хакерстве работают гораздо лучше, чем у нас...
Итак резюме. Что из этого можно почерпнуть?
Для админов: После того как поставили сервак, посмотрите, что у вас получилось, какие сервисы запущены, и нужны ли они вам. И храните Бэкап настроек. Очень помогает. Ну а если на вас жалуются, то к этому стоит относиться гораздо серьезней, чем это выглядит.
Для хакеров: Уж если вы решили завладеть доступом на чужой комп, а с него ломануть какой-нить Microsoft :-), то стирайте логи за собой тщательнее! И не стоит изменять рутовые пароли, да и вообще любые настройки - чем меньше вы оставляете следов, тем меньше шансов, что вас могут заметить.



Hovakimyan Hovhannes.
Copyright © 2001-2007 Portal™. All rights reserved.
Design & Programming by Hovhannes Hovakimyan.