Avviso: vi è stato un importante aggiornamento della piattaforma forum, si prega di visionare la discussione in merito: viewtopic.php?f=17&t=637551.

Sistema di tipo "bastione" e rootkit

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi riposta
LuisRamon
Prode Principiante
Messaggi: 18
Iscrizione: sabato 29 ottobre 2005, 13:00

Sistema di tipo "bastione" e rootkit

Messaggio da LuisRamon » mercoledì 16 novembre 2005, 18:47

Ciao a tutti
sono un newbie del forum ed un meno che novizio nell'uso di Linux, però mi trovo ad affrontare un problema di sicurezza molto serio: la mia rete è stata "bucata" da qualcuno che la utilizza per farci quello che vuole.. e non so nemmeno COSA ci fa. In compenso il sistema come router va come una scheggia.. ma è il problema minore.

Lo scenario:
Router Fastweb collegato ad Internet, Ip interno 10.10.10.1/24
Linux Box con funzioni di router - firewall ip eth0 (stesso hub del router) 10.10.10.254/24; ip eth1 192.168.1.1 E'installata la versione 2.6-10.5 hoary. Ho disabilitato tutti i terminali tranne 1, non c'è nessun utente a parte root e gli altri di sistema, la password di root è di 9 caratteri che ne comprendono 2 speciali e 3 numeri. Il runlevel è 2 ed ho disabilitato (ma non rimosso) xinetd ed ntp. Postfix e ppp invece si avviavano, li ho disabilitati oggi (a frittata fatta). Impostazioni delle variabili di sistema:
attivo i moduli di conntrack per ip ed ftp; attivo icmp_echo_ignore_broadcasts, tcp_syncookies, gli rp_filter e l'opzione icmp_ignore_bogus_error_responses; disattivo il source routing e tutti i tipi di redirects.

Rapido riepilogo di iptables
Policy tutte a DROP Nessuna regola di Input (per cui dovrebbe valere solo la policy). Nessuna regola di output.
Configurazioni particolari nella catena FORWARD:

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST, RSt -m limit --limit 1/s -j ACCEPT (no Syn flood.. spero!  ;D )
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT (no ping della morte.. arispero!  ;D )

iptables -A FORWARD -i eth1 -s ! 192.168.1.0/24 -j DROP
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport ftp -j ACCEPT ..seguono regole uguali per i port telnet, www, https, pop3 ed smtp

infine il NAT con masquerade.

La mia domanda: se iptables NON accetta pacchetti in INPUT, come è possibile che eventuali porte in ascolto sulla box possano essere sfruttate da un hacker per piazzarmi un bel rootkit? Perchè è proprio quello che mi è successo, almeno a giudicare dai sintomi... 

P.S:
Potrebbero esserci degli errori di sintassi nelle regole, non ho copincollato lo script ma l'ho "estratto" a memoria...
P.P.S:
Continuo a risultare in dshield come ip molto cattivo..  :(
Ciao a tutti
Luis

Mizar
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3325
Iscrizione: giovedì 17 febbraio 2005, 16:09
Località: Mola di Bari
Contatto:

Re: Sistema di tipo "bastione" e rootkit

Messaggio da Mizar » giovedì 17 novembre 2005, 11:54

Bhe, se hai beccato un rootkit ...... ci si può fidare poco delle configurazioni mostrate e dei log.
Un rootkit potrebbe mostrare una configurazione di iptables, ma in effetti sul sistema potrebbe girare qualsiasi altra cosa "celata". Cerca di risolvere prima il problema.

Un appunto sulla configurazione ..... è vero che se la catena di INPUT è impostata a DROP e non ci sono altre regole ..... niente può entrare nel sistema (a sistema integro, ovviamente), ma la tua configurazione mi sembra strana.

Se hai delle regole di FORWARD che te ne fai se la catena di OUTPUT è chiusa in DROP ?

Ricordo che i pacchetti entrano nella catena di INPUT se indirizzati alla macchina, in quella di FORWARD se indirizzati a macchine collegate, ma le raggingono solo se ci sono opportune regole di OUTPUT, altrimenti rimangono nel firewall.

Ciao
Benjamin

LuisRamon
Prode Principiante
Messaggi: 18
Iscrizione: sabato 29 ottobre 2005, 13:00

Re: Sistema di tipo "bastione" e rootkit

Messaggio da LuisRamon » giovedì 17 novembre 2005, 17:39

Non consideri che ho 2 schede differenti.. la Linux box fa anche da router. Per la precisione ho due schede, collegate ad hub differenti; su un hub sono intestati il router di fastweb e la scheda eth0 del firewall, sull'altro hub la scheda eth1 del firewall e gli altri sistemi della LAN. Quindi:

INPUT : pacchetti destinati all'indirizzo ip del firewall, sia di eth0 che di eth1.
OUTPUT: pacchetti originati dal firewall verso altri sistemi, sia su eth0 che su eth1.
FORWARD: pacchetti in ingresso da Internet verso la LAN con eth0 in -i ed eth1 in -o
FORWARD: pacchetti in ingresso dalla LAN verso Internet con eth1 in -i ed eth0 in -o

Se dalla consolle della box batto ping 192.168.1.3 -I eth1 ho un pacchetto in OUTPUT.
Se dalla consolle della box batto ping www.libero.it -I eth0 ho sempre un pacchetto in OUTPUT; cambia la scheda e l'indirizzo ip mittente, ma il pacchetto l'ho sempre originato io.

Ciao e grazie.. mi sa che adotterò una decisione salomonica; alterno due box cloni... appena me ne bucano uno metto in linea l'altro e rigenero il primo, cercando anche di migliorarne la protezione. Se non per bravura, il malefico lo batterò per sfinimento!  ;D
Luis

LuisRamon
Prode Principiante
Messaggi: 18
Iscrizione: sabato 29 ottobre 2005, 13:00

Re: Sistema di tipo "bastione" e rootkit

Messaggio da LuisRamon » giovedì 17 novembre 2005, 17:46

..mi sono accorto che la risposta era lunga, ma non corrispondeva alla domanda! Perdono!  :)
No, la catena di OUTPUT con l'inoltro ai sistemi collegati non c'entra nulla; infatti pur non avendo la box NESSUNA regola di output (e confermo che la policy è DROP) i pc collegati navigano ed emaileggiano che è un piacere - ed il loro gateway è il firewall, non il router Fastweb che sta logicamente su una rete differente, e FISICAMENTE su un hub differente. Parliamo di una rete aziendale... le regole di OUTPUT sono fondamentali per il Pc di casa, che si trova a sfruttare con browser e quant'altro le applicazioni che filtra.

Ciao
Luis

Avatar utente
federacchio
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 388
Iscrizione: mercoledì 9 novembre 2005, 15:09
Località: Roma

Re: Sistema di tipo "bastione" e rootkit

Messaggio da federacchio » venerdì 18 novembre 2005, 18:32

Perdonami ma non ho capito da cosa ti sei accorto, dshield a parte, che qualcuno è entrato nella tua macchina....
il fatto che il tuo ip risulti"molto cattivo": hai un ip pubblico o ti riferisci all'ip della macchina in questione, ossia 10.x.x.x ????
altra domanda...se la linux box fa da router e usi il masquerade anche le macchine dietro al tuo router usciranno con l'ip del router: se una delle macchine dietro al router è stata bucata all'esterno risultera' che è il router a fare casino...non so se mi sono spiegato  ;D

Federico
federico


"...when i play a solo, i really don't care where i am on the neck..."

lanfre

Re: Sistema di tipo "bastione" e rootkit

Messaggio da lanfre » martedì 22 novembre 2005, 15:46

ciao
non so ti potra aiutare a rilevare l'intrusione (comunque tentar non nuoce...almeno spero!):
hai provato con AIDE. dovrebbe analizzare il filesystem e individuare eventuali modifiche indotte dall'esterno
premetto che non lo conosco direttamente quidi non so dirti niente di più
...prova a fare una ricerca..

ciao

LuisRamon
Prode Principiante
Messaggi: 18
Iscrizione: sabato 29 ottobre 2005, 13:00

Re: Sistema di tipo "bastione" e rootkit - per Federico

Messaggio da LuisRamon » venerdì 2 dicembre 2005, 14:22

Ovviamente su Dshield risulta l'ip pubblico del router; mi sono accorto che qualcuno stava facendo i fatti suoi con la mia rete non solo per questo motivo - ma soprattutto perchè un bel giorno il logon sul firewall (da consolle locale) non mi è più riuscito. Escludo scherzi da prete di colleghi, qui non si gioca. Mi spiego meglio: inserito l'utente root con relativa password (da shell di comandi locale della box), il sistema cercava di eseguire il logon, dopo di che tornava a chiedermi utente e password senza comunicarmi nulla - nè che la password era sbagliata, nè che avevo esaurito il numero massimo di tentativi od il tempo a disposizione... riavviare il sistema non è servito a niente. Un paio di giorni prima avevo notato che eseguendo tcpdump su eth0 (senza filtri) vedevo passare un pacchetto ogni eternità e mezzo, mentre in teoria avrei dovuto vedere uno scorrimento continuo - la rete era in uso. Perchè?? Chi utilizzava Rapidshare quando Ethereal non rilevava nessuna connessione dalla Lan verso il sito ed i server di download di quel dominio? Se non è sulla rete locale resta una sola possibilità, la scheda del firewall intestata sul router. Infine, chi ha utilizzato il mio Ip (sempre dshield) di notte quando in ditta non c'è nessuno.. ma i server sono accesi? Ho fatto un errore; invece di sostituire il disco l'ho piallato, reinstallando Linux - quindi non sono in grado di dire se ci fosse del warez, però i segnali sono troppi.

Per quanto riguarda la possibilità che sia una delle macchine della LAN interna a fare da zombie, posso risponderti che è possibile ma meno probabile; dall'esterno verso l'interno non accetto nulla (solo correlato e stabilito) e dall'interno verso l'esterno passa solo l'indispensabile (ftp, http, https, dns, pop, smtp e telnet). Sono abilitati alcuni port non standard per un prodotto IBM, però solo dai due sistemi che ne hanno bisogno; e per di più Ethereal sulla LAN non rileva nulla che non sia spiegabile con la normale attività della LAN. Posso sbagliare, ma secondo me l'unica spiegazione possibile è che sia proprio il firewall a venire bucato.

Grazie per l'interessamento e scusa per il ritardo nella risposta.. ciao!

LuisRamon
Prode Principiante
Messaggi: 18
Iscrizione: sabato 29 ottobre 2005, 13:00

Re: Sistema di tipo "bastione" e rootkit - Per Lanfre

Messaggio da LuisRamon » venerdì 2 dicembre 2005, 14:25

Non so cosa sia AIDE, immagino che sia un detector di rootkit.. sto usando rkhunter, ma a parte un warning (che peraltro risulta anche ad installazione pulita da distro ufficiale) su due cartelle nascoste sotto /dev non ottengo segnalazioni. Grazie per l'aiuto e scusa per il ritardo nella risposta. Ciao!

Scrivi riposta

Torna a

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 3 ospiti