17 Agosto 2005

Por nuestra parte después de la intrusión que sufrimos queríamos indagar un poco entre quienes fueron los autores. Los intrusos (que no hackers) en el ataque dejaron muchas huellas y nuestra idea después de la instalación de la máquina era tirar del hilo y ver que se podía obtener.

Para cuando nos pusimos manos a la obra la mayor parte de los sitios desde donde sufrimos los ataques ya no estaban operativos, viendo lo poco discretos que habían sido con nosotros, es fácil que también hubiesen sido descubiertos y echados de sus otros feudos, así que nuestro gozo en un pozo. Pero algo tenemos ya que cuando sufrimos el ataque nos dimos una pequeña vuelta por los sitios desde donde venía, fue una verdadera pena que por estar más preocupados por la puesta en marcha del servidor y por la idea de hacerlo posteriormente no nos diésemos una vuelta más profunda.

Por mantener un pequeño anonimato hemos modificado un par de vocales de las URLs y de algún nick que uso, el resto va tal cual.

Las IPs de los ataques con sus propietarios (lo cual no nos dice mucho ya que pueden ser máquinas comprometidas) fueron las siguientes:

En directo desde EEUU

207.58.168.X

CustName: SMV
Address: 6861 Elm Street
Address: Suite 4-E
City: McLean
StateProv: VA
PostalCode: 22101
Country: US
RegDate: 2005-05-25
Updated: 2005-05-25

Parece ser que a los chicos les gusta moverse esta viene de Estambul

212.146.148.X

inetnum: 212.146.128.0 – 212.146.175.255
netname: ANET
descr: Apaz A.S
country: TR
admin-c: FD1907-RIPE
tech-c: SEN1907-RIPE
rev-srv: ns1.anet.net.tr
rev-srv: ns2.anet.net.tr
status: ASSIGNED PA
mnt-by: ANET-ILETISIM-MNT
source: RIPE # Filtered
person: Fikri DAL
address: Buyukdere Cd. No:163 Esentepe Istanbul
phone: +90.2123361919
nic-hdl: FD1907-RIPE
mnt-by: ANET-ILETISIM-MNT
source: RIPE # Filtered

Esta no nos dice nada ya que es una red muy amplia distribuida por Japón y es desde donde recibimos la mayor parte de los ataques.

219.98.253.X

inetnum: 219.96.0.0 – 219.127.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-JPNIC
changed: hostmaster@apnic.net 20020307
status: ALLOCATED PORTABLE
source: APNIC

Este (shadow boys) va por libre y da la impresión que no se protege con ninguna máquina intermedia, conoce el agujero de seguridad y lo usa para hacer defacements de sitios web dejando su firma.

66.196.101.85

OrgName: Inktomi Corporation
OrgID: INKT
Address: 701 First Ave
City: Sunnyvale
StateProv: CA
PostalCode: 94089
Country: US

NetRange: 66.196.64.0 – 66.196.127.255
CIDR: 66.196.64.0/18
NetName: INKTOMI-BLK-3
NetHandle: NET-66-196-64-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.YAHOO.COM
NameServer: NS2.YAHOO.COM
NameServer: NS3.YAHOO.COM
NameServer: NS4.YAHOO.COM
NameServer: NS5.YAHOO.COM
Comment: For general abuse contact netblockadmin@yahoo-inc.com.
Comment: For Web Crawler questions please visit
Comment: http://help.yahoo.com/help/us/ysearch/slurp/
RegDate: 2001-10-30
Updated: 2005-02-18

Estos son los servidores que usaron para bajarse las herramientas necesarias para la escalada de privilegios, la instalación de los rootkits y el shell scripts para conectarse al servidor IRC.

http://fareha.com/

Parece un pequeño servidor compuesto en apariencia de una única página desde donde se bajaron un par de exploits para conseguir hacerse root.

http://ekart.kocaali.com

Desde este servidor que ahora muestra una página como de si estuviese en construcción, se trajeron a nuestra máquina múltiples ficheros. Estaba comprometida ya que los directorios desde los que se los bajaron vienen con el . delante que en unix son directorios “ocultos”

Aunque esta página esté ubicada en Grecia, el contenido que tenía era Serbio, según recuerdo tenían historias culturales de Belgrado, en un directorio oculto se habían instalado los crackers donde tenían puesta su web con un estilo muy Under, con el fondo oscuro y con un escudo en el centro debajo ponía hackers y posteriormente aparecían los nicks de los que supongo serían los usuario del sitio, sólo me acuerdo del nick del primero, mefie_boy, (va cambiado el nick). Allí estuve de pasada ya que mi idea era volver posteriormente y recabar más información.
Dos curiosidades del sitio: una que cuando entrabas salían unas ventanas emergentes a favor de Macedonia, Albania y contra los serbios (está en un servidor con información sobre eventos culturales de Belgrado) y la otra que el susodicho, mefia_boy, tiene un par de reportes de seguridad sobre xml y php. Normalmente no es la misma gente la que reporta las vulnerabilidades y la que se introduce en sistemas ajenos, o por lo menos eso pensaba yo, aquí parece ser que no, que el personaje que ha reportado los bugs, luego por otro lado los ha estado usando para entrar en ordenadores ajenos.

Desde nuestra máquina se realizaron varios telnets a otras máquinas.

http://www.lmts.ku.lt
Este dominio pertenece a una universidad de Lituania

inetnum: 193.219.76.0 – 193.219.76.255
netname: KU-NET
descr: Klaipeda University
country: LT
admin-c: LH1454-RIPE
tech-c: LH1454-RIPE
rev-srv: anike.ku.lt
rev-srv: nemunas.sc-uni.ktu.lt
rev-srv: nn.uninett.no
status: ASSIGNED PA
remarks: *******************************************************
remarks: * ABUSE CONTACT: cert@litnet.lt in case of violation, *
remarks: * illegal activity, scans, probes, spam, etc. *
remarks: *******************************************************
mnt-by: AS2847-MNT
mnt-irt: IRT-LITNET-CERT
mnt-lower: AS2847-MNT
source: RIPE # Filtered

Y otro telnet a 206.223.65.X

OrgName: American Data Technology, Inc.
OrgID: ADTI
Address: PO Box 12892
City: Research Triangle Park
StateProv: NC
PostalCode:
Country: US

Esta máquina está comprometida y acceden a ella desde nuestra máquina a través de una shell que tienen corriendo en un puerto con el usuario root. Además se descargan un rootkit (shv7.tgz) en la máquina de ADT el cual se une a otro que ya tienen ejecutándose (sshrootkit.gz). Este rootkit que ya está corriendo sustituye al demonio sshd guardando las claves de los usuarios que se validan a través del servicio de ssh, por si fuera poco también crean un usuario en el host.
La verdad es que los chicos de American Data Technology tienen un problema y gordo. Y lo “mejor” es que en sus logs se está registrando nuestra IP.

Se bajaron un shellbot de:

http://www.geocities.jp/netdiver_84

Es la página de un proyecto llamado netdriver, el script que realiza la conexión al irc está escrito en perl y los comentarios están en portugués, lo cual no significa que los intrusos lo sean ya que estos lo que habrán hecho es usar un script existente.

Lo más interesante, a mi juicio, del ataque fue precisamente este shellbot (poox.txt) que me instalaron cuando consiguieron hacerse con todos los permisos.
En el momento que se ejecuta levanta un proceso que se intenta ocultar haciéndose pasar por uno de los de apache y lo que hace es conectarse a un canal de un servidor de irc y ejecuta en local todo lo que se le mande como un mensaje desde ese canal y envía la salida de vuelta al usuario del irc, esto significa que la gente que se encuentre en el canal puede enviar comandos a nuestro host como si de un telnet se tratase y el shellbot les envía la salida del comando, la verdad es que es una forma fácil de tener múltiples máquinas controladas desde un canal de un irc.
Huele a que preparan un DDOS.

El servidor de irc que están usando para estos menesteres es us.ircnet.org que es un irc muy conocido y usado en EEUU.
En el script (shellbot), como no podría ser de otra manera, viene el nombre de usuario, la clave y el canal al que se tiene que conectar.

Pues en vista de lo visto decidí coger mi bitchx y conectarme al servidor de irc al canal susodicho, cuando intente entrar con ese usuario me dijo que ya estaba siendo usado y me asigno el nombre más el 4243, muy mala señal que se haya tenido que ir tan lejos (4243) para darme el usuario.

Ahí varios canales con nombres parecidos en los que cambia el número del final, entre en el “mío” y vi unos 15 usuarios, probé la tontería de mandarles un simple ls a un par de ellos y bingo son máquinas zombies que las tienen controladas desde ese canal del IRC.
En el fondo no es extraño estamos hablando que el bug del que se han aprovechado para comprometer nuestra máquina es muy reciente y afecta a todos los sitios que usan php y el servicio xml-rpc que no son pocos.

Es más desde el IRC probaron varios comandos contra mi máquina (id, pwd, uptime, w…) para ver si el asunto funcionaba ¿Y a qué no os imagináis de donde se conectaba el “probador”? De American Data Technology.

A día de hoy de todo el tinglado que tenían montado no queda mucho la mayor parte de los sitios ya no existen, o les han descubierto o se habrán mudado por alguna otra causa. El servidor IRC y el canal siguen existiendo hay varios usuarios conectados lo que ya no funciona es el envío de un mensaje con una instrucción y que te reenvíen la salida, esto puede ser porque ya no son máquinas zombies o porque les hayan puesto alguna medida de seguridad para que cualquiera no pueda enviar un comando.

Anuncios