sugiro tambem:
1. vi /etc/inetd.conf e eliminar os servicos desnecessarios.
2. vi /etc/hosts.deny e colocar "ALL : ALL"
3. netstat -tunap e verificar processos/portas abertas e tentar fechar as abertas desnecessarias.
4. configurcao mais fechada do iptables.
5. nmap e nessus na maquina a partir de outra maquina
6. algo mais?
julio menezes falou em Wednesday 23 March 2005 11:26: ->Renato Carvalho wrote: ->> netstat -tunap ->> ->> ->> julio menezes falou em Monday 21 March 2005 19:43: ->> ->Caros amigos, ->> -> ->> ->Uso o Slackware 9.1 kernel 2.4.22 ->> ->Apache 1.3.28 na porta 1081 ->> -> ->> ->Estou com uma suspeita de LKM. ->> ->Rodei 3 aplicativos: nmap rkhunter e chkrootkit ->> -> ->> ->O nmap me reporta uma porta, a 861 que nao seu quem esta abrindo. ->> ->Rodo o ->> -> ->> -> ->> ->Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-03-21 18:23 ->> BRT ->Initiating SYN Stealth Scan against localhost (127.0.0.1) [1660 ports] ->> ->at 18:23 ->> ->Discovered open port 113/tcp on 127.0.0.1 ->> ->Discovered open port 22/tcp on 127.0.0.1 ->> ->Discovered open port 861/tcp on 127.0.0.1 ->> ->Discovered open port 37/tcp on 127.0.0.1 ->> ->The SYN Stealth Scan took 0.14s to scan 1660 total ports. ->> ->For OSScan assuming that port 22 is open and port 1 is closed and ->> ->neither are firewalled ->> ->Host localhost (127.0.0.1) appears to be up ... good. ->> ->Interesting ports on localhost (127.0.0.1): ->> ->(The 1656 ports scanned but not shown below are in state: closed) ->> ->PORT STATE SERVICE ->> ->22/tcp open ssh ->> ->37/tcp open time ->> ->113/tcp open auth ->> ->861/tcp open unknown ->> ->Device type: general purpose ->> ->Running: Linux 2.4.X|2.5.X ->> ->OS details: Linux 2.4.0 - 2.5.20 ->> ->Uptime 0.006 days (since Mon Mar 21 18:14:19 2005) ->> ->TCP Sequence Prediction: Class=random positive increments ->> -> Difficulty=2075835 (Good luck!) ->> ->IPID Sequence Generation: All zeros ->> -> ->> ->Nmap run completed -- 1 IP address (1 host up) scanned in 2.503 seconds ->> -> ->> -> ->> ->ja o rkhunter detecta 4 aplicativos vulneraveis ->> -> ->> ->* Application version scan ->> -> - GnuPG 1.2.3 [ ->> ->Vulnerable ] ->> -> - Apache 1.3.28 [ ->> ->Vulnerable ] ->> -> - OpenSSL 0.9.7b [ ->> ->Vulnerable ] ->> -> - ProFTPd 1.2.8 [ ->> ->Vulnerable ] ->> -> ->> -> ->> ->o chkrootkit me deu uma mensagem de suspeita de LKM depois parou, ->> -> ->> ->Searching for anomalies in shell history files... Warning: ->> ->`//root/.kde/socket-m ->> ->ala01 ->> ->//root/.kde/tmp-mala01' is linked to another file ->> ->Checking `lkm'... Not Tested: can't exec ./chkproc ->> -> ->> -> ->> ->-----------------------Perguntas: ->> ->1- Como posso saber quem esta usando a porta 861 ? tentei telnet ->> ->localhost 861 sem sucesso. Da conexao recusada pelo foreign host ->> ->2- Como fechar a porta 861, nao consta no services ou inetd.conf ->> ->3- Quais as protecoes adotadas por voce ? ->> -> ->> ->obrigado, ->> ->julio menezes ->> -> ->> -> ->> -> ->> -> ->Ja detectei por onde o safado entrou. ->Foi pelo portmap. ->O rpc.rquotad continua rodando. ->E que o danado substitui as chamadas do sistema e nao permite KILL. -> ->Agora vou limpar meu sistema. -> ->Por Favor, aceito sugestoes: -> ->Vou criar um check list, por favor enumerem as sugestoes: ->Esta maquina tera de rodar Apache e FTP (direto) ->Samba e NFS (eventualmente (start/stop). -> -> -> ->1---------------------------- PARTICIONAMENTO: -> ->Minha maquina tinha 4 particoes, agora vai ter 5, vou separar uma para ->/var (rw) deixando o / (ro). -> ->hda1 /win ;-( ->hda2 /swap ->hda3 / ->hda5 /home ->hda6 /var ->------------ -> ->2----------------------------------- COISAS BASICAS: ->a) chmod 700 { /etc/rc.d, lilo.conf passwd, shadow, group, inetd.conf ->services } ->b) bloqueio da porta 6000 do X11 no script startx -> ->3- ISOLAR SERVICOS e PORTAS ->/etc/services { telnet, rtelnet, finger, ALGO MAIS ??? } ->/etc/inetd.conf { telnet, ftp, finger } -> -> ->4------------------------------ IPTABLES -># derruba pacotes mal formados invasao DoS ->/usr/sbin/iptables -A FORWARD -m unclean -j DROP -> -> ->5----------------------------------- FERRAMENTAS ->nmap -v localhost ->lsof ->netstat -> ->outras que nao vem no slack mas que sao legais -> ->rkhunter -c (com esta descobri os aplicativos vulneraveis) ->chkrootkit (me deu uma mensagem de suspeita de LKM) ->check_ps (processos ocultos, muito boa, mostrou processos do LKM ) -> -> ->6-- BOOKMARK ------------------------- IMPORTANTE -> ->http:www.slackware.com/security -> -> ->7- KERNEL-2.4.29 (Respeito Patrick ) -> ->E' isso por hora. ->Gratos pelos retornos e continuo postando pois acho que outros podem ->estar com o mesmo problema. -> ->grato a todos, ->julio menezes -> -> -> -> -> -> -> -> -> -> -> ->
Carvalho,
Estou aqui na batalha do LKM.
Peguei uma maquina fora da rede e instalei o Slack10.1 nela.
Agora comparando:
netstat -tunap nas duas:
A maquina BOA: porta 111/sshd
A maquina LMK: porta 111/rpcbind ou seja o LKM roubou a porta 111 e esta tendo acesso remoto por ela.
To aqui dando mais umas estudadas no danado.
No feriado vou tirar a contaminada da rede para faxina, substituir pela BOA e ficar monitorando. Tomara que nao mudem meu IP, estou deixando o modem ligado para segura-lo, quero ver se na BOA consigo barrar a invasao. Vou usar os servicos prestados pelo invasor.
Ele ja deve saber que eu o detectei pelas tentativas de KILL, barradas por ele e pelas ferramentas de auditoria.
[]s julio
-- GUS-BR - Grupo de Usuarios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
