Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Intrång

För ett tag sedan installerade jag en ny ubuntu-maskin. Detta var i december. I januari installerade jag openssh-server eftersom jag ville kunna administrera datorn uteifrån.

En vecka senare hade två kinser och en rumän loggat in på datorn samtidigt som datorn var ansluten till fyra olika irc-kanaler.

Innan jag hann märka nått (vet inte ens om jag hade gjort det) så blev jag varnad av våran ISP.

Nu till frågan, hur kom de in?

Det finns många konton på datorn men inget med svagt lösenord eller svagt användarnamn. Användarnamnen är på formen et06fl9 och lösenorden antagligen på åtta tecken blandat siffror och bokstäver.

Enligt loggarna tog sig användaren in via sshd med användaren test. Det finns ingen användare test.

Maskinen är en ubuntu 7.10 som är ansluten till en nfs och nis server.

sshd vad:

OpenSSH_4.6p1 Debian-5ubuntu0.1, OpenSSL 0.9.8e 23 Feb 2007

och loggen säger (ett utdrag ut loggen rörandes allt om användaren test:

auth.log.0:Jan 21 17:11:35 knothead sshd[2711]: Invalid user testbox from 195.5.252.244
auth.log.0:Jan 21 17:11:37 knothead sshd[2711]: Failed password for invalid user testbox from 195.5.252.244 port 39650 ssh2
auth.log.0:Jan 21 17:14:31 knothead sshd[1472]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 17:24:58 knothead sshd[4282]: Accepted password for test from 89.44.86.102 port 1658 ssh2
auth.log.0:Jan 21 17:24:58 knothead sshd[4284]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 17:29:37 knothead sshd[32722]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 17:45:12 knothead sshd[14514]: Accepted password for test from 89.39.166.212 port 3391 ssh2
auth.log.0:Jan 21 17:45:12 knothead sshd[14516]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 17:45:31 knothead sshd[14516]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 18:16:40 knothead sshd[29827]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 19:53:32 knothead sshd[3596]: Accepted password for test from 89.44.86.102 port 1913 ssh2
auth.log.0:Jan 21 19:53:32 knothead sshd[3600]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 19:53:39 knothead sshd[3598]: Accepted password for test from 89.44.86.102 port 1915 ssh2
auth.log.0:Jan 21 19:53:39 knothead sshd[3605]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 20:09:27 knothead sshd[12279]: Accepted password for test from 78.96.40.3 port 1508 ssh2
auth.log.0:Jan 21 20:09:27 knothead sshd[12283]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 20:11:05 knothead sshd[12297]: Accepted password for test from 78.96.40.3 port 1509 ssh2
auth.log.0:Jan 21 20:11:05 knothead sshd[12421]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 20:12:12 knothead sshd[12421]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 20:15:02 knothead sshd[14439]: Accepted password for test from 78.96.40.3 port 1511 ssh2
auth.log.0:Jan 21 20:15:02 knothead sshd[14441]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 20:21:07 knothead sshd[12283]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 20:21:11 knothead sshd[14441]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 20:39:49 knothead sshd[27077]: Accepted password for test from 89.39.166.212 port 4524 ssh2
auth.log.0:Jan 21 20:39:49 knothead sshd[27925]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 21:00:12 knothead sshd[8301]: Accepted password for test from 78.96.40.3 port 1535 ssh2
auth.log.0:Jan 21 21:00:12 knothead sshd[8305]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 21:01:54 knothead sshd[8305]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 21:08:14 knothead sshd[4284]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 21:08:42 knothead sshd[28414]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 21:26:14 knothead sshd[10262]: Accepted password for test from 172.131.196.67 port 2746 ssh2
auth.log.0:Jan 21 21:26:14 knothead sshd[10264]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 21:26:39 knothead passwd[10271]: pam_unix(passwd:chauthtok): user "test" does not exist in /etc/passwd
auth.log.0:Jan 21 21:26:42 knothead passwd[10272]: pam_unix(passwd:chauthtok): user "test" does not exist in /etc/passwd
auth.log.0:Jan 21 21:27:02 knothead passwd[10275]: pam_unix(passwd:chauthtok): user "test" does not exist in /etc/passwd
auth.log.0:Jan 21 21:27:18 knothead sshd[10264]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 22:15:08 knothead sshd[27925]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 23:26:40 knothead sshd[7328]: Accepted password for test from 89.44.86.102 port 2567 ssh2
auth.log.0:Jan 21 23:26:40 knothead sshd[8052]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 23:28:19 knothead sshd[8052]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 22 00:01:47 knothead sshd[3605]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 22 00:05:55 knothead sshd[3600]: pam_unix(ssh:session): session closed for user test

Någon som kan hjälpa mig att komma fram till hur de kom in?

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

mikaeljs bild

Logfilen säger mig inte så mycket men det verkar som du behöver se över säkerheten på burken. Ingen har lyckats ta sig in på nån dator hemma hos mig och jag har inte gjort mycket för säkerheten. Jag kör en enkelt inställd brandvägg och denyhosts...



 



~~~ Have a goodyear - http://www.youtube.com/watch?v=tO2wb-LarfU ~~~

 

patrikisakssons bild

oerhört intressant tråd - inte för att jag har några förslag men jag ser gärna att du delar med dig av dina erfarenheter inom detta. Anledningen är just att ubuntu som server är oerhört populär och det vore intressant att se om det fanns några hål här.

*************************************

Do not ask what open source can do for you - ask what you can do for open source !!

X - Its not hard if your mind can do it - X

fredentofts bild

Troligtvis är det någon som haft ett för enkelt lösenord.
Ett enkelt sätt att säkra upp när det gäller den här type av brute-force attacker är att helt enkelt "gömma" ssh-tjänsten på en icke-standard port. Detta görs genom att ändra ändra värdet på raden "Port 22" till exempelvis "Port 53221" i filen "/etc/ssh/sshd_config" och starta om sshd "/etc/init.d/sshd restart".
Det man då måste göra för att ansluta är att även ange portnummer "ssh min_server -p 53221".
 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Argumentera aldrig med idioter.
De drar bara ner dig till sin nivå och vinner på erfarenhet!

-
För övrigt anser jag att trådindenteringen måste lagas
-
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

iveqys bild

problemet är ju att alla måste kunna logga in på burken (eftersom det är en användarservice att kunna logga in hemifrån).

Visst har vi sett över säkerheten ytterligare, men jag är inte säker på att vi kan stå emot en liknande attack igen. De här raderna speciellt gör mig lite rädd:

auth.log.0:Jan 21 21:26:39 knothead passwd[10271]: pam_unix(passwd:chauthtok): user "test" does not exist in /etc/passwd
auth.log.0:Jan 21 21:26:42 knothead passwd[10272]: pam_unix(passwd:chauthtok): user "test" does not exist in /etc/passwd
auth.log.0:Jan 21 21:27:02 knothead passwd[10275]: pam_unix(passwd:chauthtok): user "test" does not exist in /etc/passwd
auth.log.0:Jan 21 21:27:18 knothead sshd[10264]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 22:15:08 knothead sshd[27925]: pam_unix(ssh:session): session closed for user test
auth.log.0:Jan 21 23:26:40 knothead sshd[7328]: Accepted password for test from 89.44.86.102 port 2567 ssh2
auth.log.0:Jan 21 23:26:40 knothead sshd[8052]: pam_unix(ssh:session): session opened for user test by (uid=0)
auth.log.0:Jan 21 23:28:19 knothead sshd[8052]: pam_unix(ssh:session): session closed for user test

Först konstateras att test inte finns och sedan loggar vi in test, wtf?

iveqys bild

intrånget skedde på användaren test som inte finns. Det finns inga lätta lösenord på servern (kolla med john the ripper efter intrånget).

De flesta använder (som sagt) ett 8 tecken lösenord med blandat siffror och bokstäver.

Att byta port är tyvärr inte ett alternativ då tjänsten även göms för användarna.

mikaeljs bild

Tittar man runt efter liknande händelser så finns det många som råkat ut för sånt. Dock är det som dom säger svårt att veta hur dom tagit sig in utan att veta hur allt ser ut på din dator Smile
.
Lite gammal men...
http://www.derkeiler.com/Mailing-Lists/securityfocus/incidents/2002-09/0...



 



~~~ Have a goodyear - http://www.youtube.com/watch?v=tO2wb-LarfU ~~~

 

mikaeljs bild

Prova å kör nessus och se om den hittar några brister...



 



~~~ Have a goodyear - http://www.youtube.com/watch?v=tO2wb-LarfU ~~~

 

fredentofts bild

Du har så rätt, jag läste fel...
Visst döljer man det för användarna också, men de kan man ju i de flesta fall informera i förväg.
 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Argumentera aldrig med idioter.
De drar bara ner dig till sin nivå och vinner på erfarenhet!

-
För övrigt anser jag att trådindenteringen måste lagas
-
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

iveqys bild

Tack. Systemet blev helt blåst om ominstallerat redan nästa dag innan det släpptes ut på nätet igen och alla lösenord är bytta för de som var inloggade på datorn undertiden den var hackad.

Jag ska köra nessus på våra andra datorer för att se om vi kan säkra dem ännumer.