Julio,
Acho que seria uma boa vc aplicar o patch grsecurity no kernel...
[]'s Ultra7
julio menezes wrote:
Renato Carvalho wrote:
sugiro tambem:
1. vi /etc/inetd.conf e eliminar os servicos desnecessarios.
2. vi /etc/hosts.deny e colocar "ALL : ALL"
3. netstat -tunap e verificar processos/portas abertas e tentar fechar as abertas desnecessarias.
4. configurcao mais fechada do iptables.
5. nmap e nessus na maquina a partir de outra maquina
6. algo mais?
julio menezes falou em Wednesday 23 March 2005 11:26:
->Renato Carvalho wrote:
->> netstat -tunap
->>
->>
->> julio menezes falou em Monday 21 March 2005 19:43:
->> ->Caros amigos,
->> ->
->> ->Uso o Slackware 9.1 kernel 2.4.22
->> ->Apache 1.3.28 na porta 1081
->> ->
->> ->Estou com uma suspeita de LKM.
->> ->Rodei 3 aplicativos: nmap rkhunter e chkrootkit
->> ->
->> ->O nmap me reporta uma porta, a 861 que nao seu quem esta abrindo.
->> ->Rodo o
->> ->
->> ->
->> ->Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-03-21
18:23 ->> BRT ->Initiating SYN Stealth Scan against localhost (127.0.0.1)
[1660 ports] ->> ->at 18:23
->> ->Discovered open port 113/tcp on 127.0.0.1
->> ->Discovered open port 22/tcp on 127.0.0.1
->> ->Discovered open port 861/tcp on 127.0.0.1
->> ->Discovered open port 37/tcp on 127.0.0.1
->> ->The SYN Stealth Scan took 0.14s to scan 1660 total ports.
->> ->For OSScan assuming that port 22 is open and port 1 is closed and
->> ->neither are firewalled
->> ->Host localhost (127.0.0.1) appears to be up ... good.
->> ->Interesting ports on localhost (127.0.0.1):
->> ->(The 1656 ports scanned but not shown below are in state: closed)
->> ->PORT STATE SERVICE
->> ->22/tcp open ssh
->> ->37/tcp open time
->> ->113/tcp open auth
->> ->861/tcp open unknown
->> ->Device type: general purpose
->> ->Running: Linux 2.4.X|2.5.X
->> ->OS details: Linux 2.4.0 - 2.5.20
->> ->Uptime 0.006 days (since Mon Mar 21 18:14:19 2005)
->> ->TCP Sequence Prediction: Class=random positive increments
->> -> Difficulty=2075835 (Good luck!)
->> ->IPID Sequence Generation: All zeros
->> ->
->> ->Nmap run completed -- 1 IP address (1 host up) scanned in 2.503
seconds ->> ->
->> ->
->> ->ja o rkhunter detecta 4 aplicativos vulneraveis
->> ->
->> ->* Application version scan
->> -> - GnuPG 1.2.3 [
->> ->Vulnerable ]
->> -> - Apache 1.3.28 [
->> ->Vulnerable ]
->> -> - OpenSSL 0.9.7b [
->> ->Vulnerable ]
->> -> - ProFTPd 1.2.8 [
->> ->Vulnerable ]
->> ->
->> ->
->> ->o chkrootkit me deu uma mensagem de suspeita de LKM depois parou,
->> ->
->> ->Searching for anomalies in shell history files... Warning:
->> ->`//root/.kde/socket-m
->> ->ala01
->> ->//root/.kde/tmp-mala01' is linked to another file
->> ->Checking `lkm'... Not Tested: can't exec ./chkproc
->> ->
->> ->
->> ->-----------------------Perguntas:
->> ->1- Como posso saber quem esta usando a porta 861 ? tentei telnet
->> ->localhost 861 sem sucesso. Da conexao recusada pelo foreign host
->> ->2- Como fechar a porta 861, nao consta no services ou inetd.conf
->> ->3- Quais as protecoes adotadas por voce ?
->> ->
->> ->obrigado,
->> ->julio menezes
->> ->
->> ->
->> ->
->>
->
->Ja detectei por onde o safado entrou.
->Foi pelo portmap.
->O rpc.rquotad continua rodando.
->E que o danado substitui as chamadas do sistema e nao permite KILL.
->
->Agora vou limpar meu sistema.
->
->Por Favor, aceito sugestoes:
->
->Vou criar um check list, por favor enumerem as sugestoes:
->Esta maquina tera de rodar Apache e FTP (direto)
->Samba e NFS (eventualmente (start/stop).
->
->
->
->1---------------------------- PARTICIONAMENTO:
->
->Minha maquina tinha 4 particoes, agora vai ter 5, vou separar uma para
->/var (rw) deixando o / (ro).
->
->hda1 /win ;-(
->hda2 /swap
->hda3 /
->hda5 /home
->hda6 /var
->------------
->
->2----------------------------------- COISAS BASICAS:
->a) chmod 700 { /etc/rc.d, lilo.conf passwd, shadow, group, inetd.conf
->services }
->b) bloqueio da porta 6000 do X11 no script startx
->
->3- ISOLAR SERVICOS e PORTAS
->/etc/services { telnet, rtelnet, finger, ALGO MAIS ??? }
->/etc/inetd.conf { telnet, ftp, finger }
->
->
->4------------------------------ IPTABLES
-># derruba pacotes mal formados invasao DoS
->/usr/sbin/iptables -A FORWARD -m unclean -j DROP
->
->
->5----------------------------------- FERRAMENTAS
->nmap -v localhost
->lsof
->netstat
->
->outras que nao vem no slack mas que sao legais
->
->rkhunter -c (com esta descobri os aplicativos vulneraveis)
->chkrootkit (me deu uma mensagem de suspeita de LKM)
->check_ps (processos ocultos, muito boa, mostrou processos do LKM )
->
->
->6-- BOOKMARK ------------------------- IMPORTANTE
->
->http:www.slackware.com/security
->
->
->7- KERNEL-2.4.29 (Respeito Patrick )
->
->E' isso por hora.
->Gratos pelos retornos e continuo postando pois acho que outros podem
->estar com o mesmo problema.
->
->grato a todos,
->julio menezes
->
->
->
->
->
->
->
->
->
->
->
->
Carvalho,
Estou aqui na batalha do LKM.
Peguei uma maquina fora da rede e instalei o Slack10.1 nela.
Agora comparando:
netstat -tunap nas duas:
A maquina BOA: porta 111/sshd
A maquina LMK: porta 111/rpcbind ou seja o LKM roubou a porta 111 e esta tendo acesso remoto por ela.
To aqui dando mais umas estudadas no danado.
No feriado vou tirar a contaminada da rede para faxina, substituir pela BOA e ficar monitorando. Tomara que nao mudem meu IP, estou deixando o modem ligado para segura-lo, quero ver se na BOA consigo barrar a invasao. Vou usar os servicos prestados pelo invasor.
Ele ja deve saber que eu o detectei pelas tentativas de KILL, barradas por ele e pelas ferramentas de auditoria.
[]s julio
-------------------------- Esta mensagem foi verificada pelo sistema de antiv�rus DIM e acredita-se estar livre de Virus. Virus data file v4454 created Mar 24 2005
-------------------------- Esta mensagem foi verificada pelo sistema de antiv�rus DIM e acredita-se estar livre de Virus. Virus data file v4455 created Mar 25 2005
-- GUS-BR - Grupo de Usuarios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
