Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó.

Podobné prezentace


Prezentace na téma: "Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó."— Transkript prezentace:

1 Kovářova kobyla případová studie forenzní analýzy OS Linux ● Radoslav Bodó

2 Co je FA ●... hledání informací pro účely důkazního řízení v rámci vyšetřování bezpečnostních incidentů ● Oznámení BI ● Sběr dat ● Od uživatele ● Z dostupných záznamů o síťové aktivitě ● První průzkum běžícího systému ● ls, ps, netstat, lsof, lsmod, strace/truss,... ● chkrootkit, rkhunter, rpscan ● linky v /proc ● dd disků

3 Snort event cut IDS event --- IPv4: x.200 -> xxx.96 hlen=5 TOS=0 dlen=1496 ID=2773 flags=0 offset=0 TTL=63 TCP: port=80 -> dport: 2608 flags=***A**** seq= color=red> Linux mistik grsec #1 SMP Thu May 11 11:57:34 Apache/ (Debian GNU/Linux) PHP/ uid=33(www-data) gid=33(www-data) groups=33(www-data) /sbin/apache ( me=report cols=121 rows=15>uid=0(root) gid=0(root) groups=33(www-data).

4 Prohlídka systému ● logy – protokoly událostí ● systémová nastavení (etc) ● spouštěcí skripty (rc, inittab,... ) ● kontrola záměny systémových nástrojů (ls, ps, netstat,...) ● suid a sgid programy a adresáře nejlépe pomocí ověřených kontrolních součtů z distribučního média ● důležitá místa jako /tmp, /bin,... ● moduly jádra operačního systému ● moduly autentizačnícho subsystému ● profily a historie příkazů všech uživatelů ● skryté či nezměnitelné (immutable) soubory ● soubory podezřelých vlastníků (numerické hodnoty) ● soubory a adresáře vlastněné provozovanými službami ●...

5 Webové a vyhledávací služby ● Obě jsou velmi mocné technologie ● access.log: xxx [13/Jan/2007:17:34: ] "POST /ftp/incoming/z.php HTTP/1.0" ● auth.log:Dec 5 17:11:49 mistik proftpd[7734]: mistik.zcu.cz (proxy.lipetsk.ru[ xxx.96]) ANON anonymous: Login successful. ● auth.log:Jan 8 04:31:56 mistik proftpd[29866]: mistik.zcu.cz (crawl googlebot.com[ xx.10]) ANON anonymous: Login successful ● z.php nebyl nalezen, ale bylo prokázáno, že útočník mohl na server nahrávat libovolné aplikace << FTP server umožňoval zápis pro anonymní uživatele (viz proftpd.conf )

6 Google 1 ● access.log.2: xx [17/Dec/2006:14:17: ] "GET /ftp/incoming/r57.php HTTP/1.1"

7 R57 – Bot Скрипт - 1 ● útočný php skript z dílny ruských autorů ● listování adresářů ● editování stávajících a nahrávání nových souborů ● pohodlné vyhledávání souborů pomocí předdefinovaných příkazů find ● procházení databází Mysql, MS-SQL, PostgreSQL ● ftp a klienta, lámání ftp hrubou silou ● automatické promazání /tmp ● další pomocné utility nese v sobě ● zakódované v Base64 ● bindport, backconnect, datapipe; webcounters ;) ● Zdrojové kódy pro Perl i C... binárky?

8 R57 – Bot Скрипт - 2

9 R57 – Bot Скрипт - 3

10 Google 2 ● Google se snaží zabránit dialerům ● Yahoo méně

11 root ? ● Find / -user www-data ● Najde podezřelý adresář /sbin/apache ● -rwsrwxrwx 1 root root :03 s -rw-r--r-- 1 www-data www-data :25 shadow ● s = zřejmě suid program který spustí rootovský shell ● strings, objdump

12 Linux Kernel PRCTL Core Dump Handling Privilege Escalation Vulnerability ● atop prozradil spouštění ● google prozradí ● downloads.securityfocus.com/vulnerabilities/exploits/ zmia-jul sh ● ● umožní vytvořit coredump v i adresáři na který nemá uživatel právo zápisu ● jádra: <= x <=

13 Ukázka - zmia-jul sh funguje ;) na duplikátu nalezen smazaný blok ---- cut --- sklad$grep -iab "cron.d/core" mistik.hda :* * * * * root chown root:root /tmp/s ; chmod 4777 /tmp/s ; rm - f /etc/cron.d/core ---- cut ---

14 Závěr ● proč a jak ? < konfigurační chyba ● anonymní FTP sdílené přes WWW ● nezabezpečené PHP ● žádný jail/chroot/oddělené prostředí ● neaktualizované jádro ● kolik jich asi je ? ● co všechno dokáží vyhledávače najít...

15 .. děkuji za pozornost. Kovářova kobyla případová studie forenzní analýzy OS Linux ● Radoslav Bodó

16 Kovářova kobyla případová studie forenzní analýzy OS Linux ● Radoslav Bodó


Stáhnout ppt "Kovářova kobyla...... případová studie forenzní analýzy OS Linux ● Radoslav Bodó."

Podobné prezentace


Reklamy Google