Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó.

Podobné prezentace


Prezentace na téma: "Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó."— Transkript prezentace:

1 Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó

2 Co je FA ●... hledání informací pro účely důkazního řízení v rámci vyšetřování bezpečnostních incidentů ● Oznámení BI ● Sběr dat ● Od uživatele ● Z dostupných záznamů o síťové aktivitě ● První průzkum běžícího systému ● ls, ps, netstat, lsof, lsmod, strace/truss,... ● chkrootkit, rkhunter, rpscan ● linky v /proc ● dd disků

3 Snort event 498 ---- cut IDS event --- IPv4: 147.228.x.200 -> 195.34.xxx.96 hlen=5 TOS=0 dlen=1496 ID=2773 flags=0 offset=0 TTL=63 TCP: port=80 -> dport: 2608 flags=***A**** seq=226365842... color=red> Linux mistik 2.6.14.6-grsec #1 SMP Thu May 11 11:57:34 Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-18 uid=33(www-data) gid=33(www-data) groups=33(www-data) /sbin/apache ( me=report cols=121 rows=15>uid=0(root) gid=0(root) groups=33(www-data). { "@context": "http://schema.org", "@type": "ImageObject", "contentUrl": "http://images.slideplayer.cz/42/11313055/slides/slide_3.jpg", "name": "Snort event 498 ---- cut IDS event --- IPv4: 147.228.x.200 -> 195.34.xxx.96 hlen=5 TOS=0 dlen=1496 ID=2773 flags=0 offset=0 TTL=63 TCP: port=80 -> dport: 2608 flags=***A**** seq=226365842...", "description": "color=red> Linux mistik 2.6.14.6-grsec #1 SMP Thu May 11 11:57:34 Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-18 uid=33(www-data) gid=33(www-data) groups=33(www-data) /sbin/apache ( me=report cols=121 rows=15>uid=0(root) gid=0(root) groups=33(www-data).

4 Prohlídka systému ● logy – protokoly událostí ● systémová nastavení (etc) ● spouštěcí skripty (rc, inittab,... ) ● kontrola záměny systémových nástrojů (ls, ps, netstat,...) ● suid a sgid programy a adresáře nejlépe pomocí ověřených kontrolních součtů z distribučního média ● důležitá místa jako /tmp, /bin,... ● moduly jádra operačního systému ● moduly autentizačnícho subsystému ● profily a historie příkazů všech uživatelů ● skryté či nezměnitelné (immutable) soubory ● soubory podezřelých vlastníků (numerické hodnoty) ● soubory a adresáře vlastněné provozovanými službami ●...

5 Webové a vyhledávací služby ● Obě jsou velmi mocné technologie ● access.log:195.34.xxx.96 - - [13/Jan/2007:17:34:23 +0100] "POST /ftp/incoming/z.php HTTP/1.0" 200 34840 ● auth.log:Dec 5 17:11:49 mistik proftpd[7734]: mistik.zcu.cz (proxy.lipetsk.ru[195.34.xxx.96]) ANON anonymous: Login successful. ● auth.log:Jan 8 04:31:56 mistik proftpd[29866]: mistik.zcu.cz (crawl-66-249-66- 10.googlebot.com[66.249.xx.10]) ANON anonymous: Login successful ● z.php nebyl nalezen, ale bylo prokázáno, že útočník mohl na server nahrávat libovolné aplikace << FTP server umožňoval zápis pro anonymní uživatele (viz proftpd.conf )

6 Google 1 ● access.log.2:87.126.xx.17 - - [17/Dec/2006:14:17:38 +0100] "GET /ftp/incoming/r57.php HTTP/1.1" 200 32295

7 R57 – Bot Скрипт - 1 ● útočný php skript z dílny ruských autorů ● listování adresářů ● editování stávajících a nahrávání nových souborů ● pohodlné vyhledávání souborů pomocí předdefinovaných příkazů find ● procházení databází Mysql, MS-SQL, PostgreSQL ● ftp a email klienta, lámání ftp hrubou silou ● automatické promazání /tmp ● další pomocné utility nese v sobě ● zakódované v Base64 ● bindport, backconnect, datapipe; webcounters ;) ● Zdrojové kódy pro Perl i C... binárky?

8 R57 – Bot Скрипт - 2

9 R57 – Bot Скрипт - 3

10 Google 2 ● Google se snaží zabránit dialerům ● Yahoo méně

11 root ? ● Find / -user www-data ● Najde podezřelý adresář /sbin/apache ● -rwsrwxrwx 1 root root 5295 2007-01-14 09:03 s -rw-r--r-- 1 www-data www-data 1460 2007-01-14 18:25 shadow ● s = zřejmě suid program který spustí rootovský shell ● strings, objdump

12 Linux Kernel PRCTL Core Dump Handling Privilege Escalation Vulnerability ● atop prozradil spouštění ● google prozradí ● downloads.securityfocus.com/vulnerabilities/exploits/ zmia-jul14-2006.sh ● www.securityfocus.com/bid/18874 ● umožní vytvořit coredump v i adresáři na který nemá uživatel právo zápisu ● jádra: 2.6.13<= x <=2.6.17.4

13 Ukázka - zmia-jul14-2006.sh funguje ;) na duplikátu nalezen smazaný blok ---- cut --- sklad$grep -iab "cron.d/core" mistik.hda1 29158161:* * * * * root chown root:root /tmp/s ; chmod 4777 /tmp/s ; rm - f /etc/cron.d/core ---- cut ---

14 Závěr ● proč a jak ? < konfigurační chyba ● anonymní FTP sdílené přes WWW ● nezabezpečené PHP ● žádný jail/chroot/oddělené prostředí ● neaktualizované jádro ● kolik jich asi je ? ● co všechno dokáží vyhledávače najít...

15 .. děkuji za pozornost. Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó

16 Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó


Stáhnout ppt "Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó."

Podobné prezentace


Reklamy Google