Muore un mito: il primo rootkit su questo forum...

[steff]

L'utente in questione non si sa come mai l'ha preso, è mistero.
Fino adesso ci voleva a) avere attivato il login remoto tramite ssh e b) attivare l'utente root.

[shouldes]

ho letto solo le prime pagine di topic, vorrei porvi quindi una domanda, da inesperto: ma per esserne immune è sufficiente avere la porta 22? io le ho tutte chiuse avendo il firewall (ufw) attivato di default, all'avvio del pc.

Un PC connesso ad Internet riceve di continuo tentativi di intrusione, ma è il router stesso a fermarli, di solito.
Ogni volta che acquisisci un IP, o ti arrivano tentativi di connessione normali, riferite al precedente proprietario dell'IP (magari caduto) o scansioni riferite a chi prima di te possedeva l'IP.
Se il tuo router rimane muto dopo qualche secondo non ricevi più alcun tentativo.
Esempi che mi capita di leggere nel log dei vari router appena connessi (2 telnet e 1 ssh):

Codice: Seleziona tutto

kernel: Intrusion -> IN=pppoxy OUT= MAC= SRC=89.248.168.164 DST=x.x.x.x LEN=NN TOS=NxNN PREC=NxNN TTL=NNN ID=NNN PROTO=TCP SPT=NNNN DPT=6031 WINDOW=NNNN RES=NxNN SYN URGP=N MARK=NxNNNNNNN

kernel: Intrusion -> IN=ppoxy OUT= MAC= SRC=114.46.12.44 DST=x.x.x.x LEN=NN TOS=NxNN PREC=NxNN TTL=NNN ID=NNN PROTO=TCP SPT=NNNN DPT=23 WINDOW=NNNN RES=NxNN SYN URGP=N MARK=NxNNNNNNN

kernel: Intrusion -> IN=pppoxy OUT= MAC= SRC=37.48.73.26 DST=x.x.x.x LEN=NN TOS=NxNN PREC=NxNN TTL=NNN ID=NNN PROTO=TCP SPT=NNNN DPT=22 WINDOW=NNNN RES=NxNN SYN URGP=N MARK=NxNNNNNNN

Questi sono i 3 tentativi di intrusione ricevuti dai 3 cambi IP, dopo il primo tentativo smettono.
Questo tra l'altro è stato segnalato da 3 persone: http://www.abuseipdb.com/check/37.48.73.26 quindi o è un lamer oppure è un PC vittima
Questo da 2: http://www.abuseipdb.com/check/89.248.168.164

Sono entrambi Olandesi.
Ho pure ricevuto dei tentativi da Chaos Computer Club e.V. (vedi Wikipedia) → Listed on RBL netscan.rbl.blockedservers.com e Listed on RBL ips.backscatterer.org → si trova anche nella blacklist UCEPROTECT-Level 1 e nella blocklist greensnow
Non ho capito se però sono indirizzi di server Russi o cosa, perché gli IP database localizzano gli indirizzi ad Amburgo dicendo che sono assegnati per 40 giorni a Chaos Computer, ma in realtà dovrebbero essere IP russi.

[seven speed]

non ho ben capito la tua risposta shoulders, non che non sia stato chiaro, è che forse è troppo tecnica per me. vuoi dire che non c'è bisogno per forza della connessione ssh?

cosa intendete per utente root attivato? intendete la sua semplice esistenza oppure che chi usa il pc sia collegato come utente root?

[shouldes]

non ho ben capito la tua risposta shoulders, non che non sia stato chiaro, è che forse è troppo tecnica per me. vuoi dire che non c'è bisogno per forza della connessione ssh?

cosa intendete per utente root attivato? intendete la sua semplice esistenza oppure che chi usa il pc sia collegato come utente root?

Per dirla alla spicciola un router recente, decente, aggiornato e ben configurato offre già una forma di protezione che ad un normale utente desktop potrebbe anche bastare.

[steff]

cosa intendete per utente root attivato? intendete la sua semplice esistenza oppure che chi usa il pc sia collegato come utente root?

Questo rootkit qui si installava tentando migliai passwd root connettendosi con SSH.
Su ubuntu l'utente root non esiste di default, e il server ssh devi installarlo tu.
Quindi non dipende se è attivo o meno l'utente root, ma se esiste o no.

[Wilson]

A essere precisi (e anche a evitare confusione) l'utente root esiste, è la sua passwd che non esiste (e quindi non possono trovarla)

[seven speed]

capisco, grazie mille per le delucidazioni. io uso anche kali linux dove di default c'è solo l'utente root e manjaro-linux dove c'è anche l'utente root, queste distro, come quelle simili sono quindi a rischio.....seguo meglio la discussione per capire meglio come difendersi

[seven speed]

ho scoperto di avere anche io l'utente root su ubuntu, infatti installai da mini. ho impostato una password a 30 vari caratteri(ovviamente non uso mai su, quando dovrò usarlo ho la password salvata su un'archivio dati in un altro hd del pc). se volessi disabilitare l'utente root, ora protrei?

ho anche installato ed attivato all'avvio del pc fail2ban..dovrebbe essere utile? da quanto ho capito fa lo stesso lavoro di sshguard, quindi inutile averli insieme giusto?

[shouldes]

ho scoperto di avere anche io l'utente root su ubuntu, infatti installai da mini. ho impostato una password a 30 vari caratteri(ovviamente non uso mai su, quando dovrò usarlo ho la password salvata su un'archivio dati in un altro hd del pc). se volessi disabilitare l'utente root, ora protrei?

Se hai richieste del genere da fare apri una discussione, perché si rischia che questo diventi un thread di supporto generico.

[seven speed]

ricevuto

[Arcun]

Buonasera,
avrei una domanda riguardo questo rootkit:

Tecnicamente se attivo un server ssh ma non ho impostato la password per l'account di root ne sono immune?
Non prova ad attaccare altri utenti attivi?

Supponendo che abbia infettato un server, può infettare anche una macchina linux che si collega al server?

[steff]

Avevo letto che non provava mai altri nome utenti, le raccomandazioni cmq sono di non usare un passwd per l'autenticazione ma un keyfile se ricordo bene.
Per il secondo non saprei.

[P_1_6]

scusate l'ignoranza ma non può essere che è caduto il logaritmo discreto?

[seven speed]

impostare una password assurda? ad esempio io per il root usavo una password da ben 32 caratteri di tutto il codice ascii (se non sbaglio 126 caratteri) insomma 32^126 combinazioni possibili che è qualcosa di mostruoso...non si starebbe al sicuro?
per la praticità no problem, copia incolla da blocco note o tomboy (che ho sempre aperto per altri utilizzi) e via..

[Arcun]

impostare una password assurda? ad esempio io per il root usavo una password da ben 32 caratteri di tutto il codice ascii (se non sbaglio 126 caratteri) insomma 32^126 combinazioni possibili che è qualcosa di mostruoso...non si starebbe al sicuro?
per la praticità no problem, copia incolla da blocco note o tomboy (che ho sempre aperto per altri utilizzi) e via..

Al sicuro mai, teoricamente si può sempre trovare la password dato che prova tutte le combinazioni disponibili, certo, se usi una psw molto ma molto difficile sicuro gli ci vorrà più tempo per trovarla (e in quel lasso di tempo lo potresti scovare) però totalmente immuni ne dubito..

[seven speed]

beh parliamo comunque di un utente attento. cioè adesso non è il mio caso, ma se fossi davvero preoccupato per la sicurezza del mio sistema, semplicemente cambierei una lettera nella password settimanalmented userei software come ip2ban , tieni conto poi che tengo costantemente sotto controllo consumo di ram e frequenza cpu , direttamente dal desktop (conky, che fa figo ed è utile). prendendo queste precauzioni non capisco come si possa essere danneggiati. non sto facendo affermazioni, cerco solo di capire come si possa essere fregati anche così.

[Arcun]

beh parliamo comunque di un utente attento. cioè adesso non è il mio caso, ma se fossi davvero preoccupato per la sicurezza del mio sistema, semplicemente cambierei una lettera nella password settimanalmented userei software come ip2ban , tieni conto poi che tengo costantemente sotto controllo consumo di ram e frequenza cpu , direttamente dal desktop (conky, che fa figo ed è utile). prendendo queste precauzioni non capisco come si possa essere danneggiati. non sto facendo affermazioni, cerco solo di capire come si possa essere fregati anche così.

Immagina di utilizzare un classico server senza monitor, o con monitor spento, al quale accedi soltanto tramite altro pc.. tecnicamente non andresti a controllare l'uso di ram e cpu del server perchè
non dovrebbero essere elevati, dato che i programmi che ti servono li usi in locale, al massimo puoi tenere qualche file (per condivisione) o qualche impostazione di qualche programma che usi su più pc..

Ovvio che se sei un utente attento e vai a controllare spesso il rootkit non dovrebbe fregarti, ma se magari tu sei attento non è detto che un altro utente lo sia..
Immagina una società, un sistemista non sta 24 ore su 24 connesso al server per controllare che tutto vada bene..

[seven speed]

si certo, stavo facendo un discorso troppo personale, o comunque rivolto alla maggior parte dei forumisti. chiaro che in ambito server è un bel problema

[Arcun]

Già, potrebbe attaccare un server e chi lo gestisce potrebbe non accorgersene mai... o magari potrebbe attaccare qualche router con ssh no?
Se attacca un router sarebbe davvero difficile trovarlo..

[seven speed]

ma se attacca un ruter di una connessione domestica cosa succederebbe? non aumenterebbe la potenza di calcolo della botnet, ne "entrerebbe" nei pc ad esso collegato (non necessariamente, se ben protetti), o mi sbaglio?