Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: rkhunter vind dat sha1 niet meer klopt.  (gelezen 1904 keer)

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
rkhunter vind dat sha1 niet meer klopt.
« Gepost op: 2009/08/21, 14:10:54 »
Hallo mensen,

Sinds een aantal maanden heb ik veel last van hackers op mijn servers sinds dien laat ik onze systemen geregeld scannen om problemen doormiddel van rkhunter daar kwamen wat vreemde dingen te voor schijn zie bijlage.

is dit erngstig en hoe kan ik dit oplossen graag jullie advies over mijn log en eventueele oplossingen.

Wij hebben ook de politie al in geschakeld voor het hackers gedeelte.
« Laatst bewerkt op: 2009/08/21, 14:13:05 door Vinnie665 »

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #1 Gepost op: 2009/08/21, 14:56:42 »
Wat voor hackers gaat het om? Zie je simpele SSH-scans in je firewall logs of is het al een aantal keer gebeurd dat er hele websites aangepast zijn? Of iets anders? Dat maakt nogal een verschil.

In de log van rkhunter zie ik niet zoveel bijzonders.
De veranderde sha1sum voor awk komt waarschijnlijk door een recente update. Ik heb zelf het pakket gedownload, uitgepakt en de sha1sum gecontroleerd en die komt overeen met de sha1sum van het bestand uit jouw log.
Hoogstwaarschijnlijk is er met dat bestand niks aan de hand.

Wil je dat zelf controleren, dan kan je hier het pakket downloaden: http://packages.ubuntu.com/jaunty/gawk
Klik dan op de i386 versie. Kies daarna de downloadlocatie en pak het .deb bestand uit in een aparte map. (Met de achiefbeheerder dus, niet met Gdebi)
Pak vervolgens data.tar.gz ook uit. Nu zie je o.a. de bestandsnaam gawk. Die zou hetzelfde moeten zijn als de /usr/bin/awk op je verdachte systeem. Met sha1sum kan je de hashes vergelijken.
Doe dit wel op een systeem waarvan je zeker bent dat die schoon is. Bijvoorbeeld een live cd.

Andere waarschuwingen komen doordat je zelf nieuwe pakketten hebt geïnstalleerd. Rkhunter kan dat niet weten en klaagt terecht over nieuwe gebruikers,groepen en bestanden. Als je zeker weet dat die goed zijn, kan je dat aan rkhunter melden via het --propupd commando.

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #2 Gepost op: 2009/08/21, 17:14:21 »
Wat voor hackers gaat het om? Zie je simpele SSH-scans in je firewall logs of is het al een aantal keer gebeurd dat er hele websites aangepast zijn? Of iets anders? Dat maakt nogal een verschil.

De hack activiteiten is gericht op onze fileservers op deze servers staan klanten data van o.a de systemen die wij repareren daar staan ze tijdelijk om later als backup terug te plaatsen op de systemen van onze klanten.

SSH hacking is ook gebeurt gewoon door willekeurig gebruikersnaam en wachtwoord te raden deze aanvallen hebben wij allemaal weten te blokkeeren.

FS01 - klanten server hebben wij tijdelijk van het netwerk moeten halen omdat ze daar langs de firewall waren gekomen, dit is opgelost en werkt nu weer zo als het hoort.

Daarom hebben wij die scan gedraaid en kwamen we uit op wat u in de log kon lezen.

Citaat
Wil je dat zelf controleren, dan kan je hier het pakket downloaden: http://packages.ubuntu.com/jaunty/gawk
Klik dan op de i386 versie. Kies daarna de downloadlocatie en pak het .deb bestand uit in een aparte map. (Met de achiefbeheerder dus, niet met Gdebi)
Pak vervolgens data.tar.gz ook uit. Nu zie je o.a. de bestandsnaam gawk. Die zou hetzelfde moeten zijn als de /usr/bin/awk op je verdachte systeem. Met sha1sum kan je de hashes vergelijken.


Er zijn recentelijk wel wat updats uitgevoerd maar dat word automatish gedaan dus daar zien wij zlef weinig van.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #3 Gepost op: 2009/08/21, 18:04:35 »
De hack activiteiten is gericht op onze fileservers op deze servers staan klanten data van o.a de systemen die wij repareren daar staan ze tijdelijk om later als backup terug te plaatsen op de systemen van onze klanten.
Waarom hangen computers met zulke belangrijke data direct aan het internet? Kan je die niet beter afschermen?
Als ze eerst een ander systeem in jullie netwerk gekraakt hebben en daarna via dat systeem bij de fileservers geraakt zijn dan is er wel meer aan de hand...

Citaat
SSH hacking is ook gebeurt gewoon door willekeurig gebruikersnaam en wachtwoord te raden deze aanvallen hebben wij allemaal weten te blokkeeren.
Waarom maken jullie geen gebruik van keys? Dan heeft het hele bruteforcen geen zin meer. Keys werken met Linux en ook via bijv. Putty in Windows. En wederom: waarom laat je SSH verbindingen vanaf het internet toe?

Citaat
FS01 - klanten server hebben wij tijdelijk van het netwerk moeten halen omdat ze daar langs de firewall waren gekomen, dit is opgelost en werkt nu weer zo als het hoort.
Als de firewall nu wel goed is ingesteld, en de computers achter de firewall ook, dan kan dat al een heleboel schelen.

Citaat
Daarom hebben wij die scan gedraaid en kwamen we uit op wat u in de log kon lezen.
Alleen een scan met rkhunter? Of ook andere scans? Bijvoorbeeld chkrootkit, een virusscanner, een scan op mogelijke configuratiefouten, etc? En de gewone logfiles bekeken? En daar kwam niks bijzonders uit?
Als je alleen even rkhunter gedraaid hebt dan is dat wel wat magertjes. Er zijn genoeg andere manieren om in te breken die rkhunter niet kan zien...

Citaat
Er zijn recentelijk wel wat updats uitgevoerd maar dat word automatish gedaan dus daar zien wij zlef weinig van.
Daar krijgt de beheerder toch wel een mailtje over neem ik aan? Of is dat allemaal uitbesteed? Ik neem aan dat er toch wel aandacht aan besteed wordt.

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #4 Gepost op: 2009/08/21, 18:24:49 »
Citaat
Waarom hangen computers met zulke belangrijke data direct aan het internet? Kan je die niet beter afschermen?
Als ze eerst een ander systeem in jullie netwerk gekraakt hebben en daarna via dat systeem bij de fileservers geraakt zijn dan is er wel meer aan de hand...

De servers hangen niet direct aan het internet maar draaien in het netwerk, reden daar voor is dat wij op verschillende locaties in ons pand uiteraard de files moeten kunnen benaderen aan gezien we verschillende plekken hebben waar hij de pc`s repareren.

Citaat
Waarom maken jullie geen gebruik van keys? Dan heeft het hele bruteforcen geen zin meer. Keys werken met Linux en ook via bijv. Putty in Windows. En wederom: waarom laat je SSH verbindingen vanaf het internet toe?

Om eventuele mankementen extern op te kunnen lossen als de systeembeheerder ( ik o.a ) niet in het pand aanwezig is.

en over die keys zal ik wat meer informatie halen aangezien ik dat zelf nooit gebruikt heb  :rolleyes:

Citaat
Als de firewall nu wel goed is ingesteld, en de computers achter de firewall ook, dan kan dat al een heleboel schelen.

Elke cleint heeft een eigen firewall en virusscanner aan board en die scannen elke dag 2 x.

Citaat
Alleen een scan met rkhunter? Of ook andere scans? Bijvoorbeeld chkrootkit, een virusscanner, een scan op mogelijke configuratiefouten, etc? En de gewone logfiles bekeken? En daar kwam niks bijzonders uit?
Als je alleen even rkhunter gedraaid hebt dan is dat wel wat magertjes. Er zijn genoeg andere manieren om in te breken die rkhunter niet kan zien...

Wij hebben met clamd ook gescanned en daar is niks bijzonder uitgekomen. Onze virusscanner draait elke nacht en mailt ons het raport automatish dit geld ook voor de updates. Dat andere programma hebben wij nog niet ggebruikt en gaan wij zeker doen.

Citaat
Daar krijgt de beheerder toch wel een mailtje over neem ik aan? Of is dat allemaal uitbesteed? Ik neem aan dat er toch wel aandacht aan besteed wordt.
Dit word uiteraard in de de gaten gehouden door ons team van infrastructuur.
« Laatst bewerkt op: 2009/08/21, 18:32:30 door Vinnie665 »

Offline Scormen

  • Lid
    • LinuxOntdekt.Be
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #5 Gepost op: 2009/08/22, 11:22:56 »
Als ik hier even mag tussen komen ...

Een tijd geleden had ik ook last van - wellicht een bot - die per dag honderden keren probeerde om via verschillende gebruikersnamen in te loggen.
Ik heb simpelweg de SSH poort van 22 naar iets anders gewijzigd. Tot nu toe hebben de bots de nieuwe poort nog altijd niet gevonden.

Misschien wel een té simpele oplossing voor dit geval...
Ubuntu gebruiker #18341 | Linux gebruiker #456955
· Mijn persoonlijke Linux blog

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #6 Gepost op: 2009/08/22, 12:19:23 »
Voor simpele SSH scans zijn er wel meer oplossingen:
  • Keys gebruiken, kan dat echt niet forceer dan veilige wachtwoorden. Kan via PAM dacht ik.
  • Je firewall goed instellen: alleen verbinden vanaf bepaalde IP adressen. Kan dat niet, zet er dan een rate limiter op zodat er niet ongelimiteerd uitgeprobeerd kan worden
  • Denyhosts of Fail2ban gebruiken, zodat je na een aantal foute inlogpogingen geblokt wordt
  • Poortnummer veranderen (al is dat geen echte beveiliging, meer "security by obscurity")

Je kan ook hier eens kijken: https://wiki.ubuntu-nl.org/community/VeiligheidInUbuntu
Enkele aandachtspunten: In jullie geval is een virusscanner wel aan te raden. Jullie server is waarschijnlijk vooral bezig met Windows-bestanden. En het is ook wel handig om te bepalen hoe de inbrekers de vorige keer zijn binnengekomen. Anders stel je volgende week misschien wel weer dezelfde vraag hier. ;)

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #7 Gepost op: 2009/08/22, 16:46:00 »
Voor simpele SSH scans zijn er wel meer oplossingen:
  • Keys gebruiken, kan dat echt niet forceer dan veilige wachtwoorden. Kan via PAM dacht ik.
  • Je firewall goed instellen: alleen verbinden vanaf bepaalde IP adressen. Kan dat niet, zet er dan een rate limiter op zodat er niet ongelimiteerd uitgeprobeerd kan worden
  • Denyhosts of Fail2ban gebruiken, zodat je na een aantal foute inlogpogingen geblokt wordt
  • Poortnummer veranderen (al is dat geen echte beveiliging, meer "security by obscurity")

Je kan ook hier eens kijken: https://wiki.ubuntu-nl.org/community/VeiligheidInUbuntu
Enkele aandachtspunten: In jullie geval is een virusscanner wel aan te raden. Jullie server is waarschijnlijk vooral bezig met Windows-bestanden. En het is ook wel handig om te bepalen hoe de inbrekers de vorige keer zijn binnengekomen. Anders stel je volgende week misschien wel weer dezelfde vraag hier. ;)

Ons onderzoek is op dit momend afgerond en wij zijn er achter te komen dat een keylogger binnen onze systemen de wachtwoorden hebben verzonden naar de eigenaar die wij niet hebben gevonden maar daat is de politie voor toch ;), echter zijn wij er nog niet uit wat er nu allemaal gebeurt is daarom gaan wij voor de zekerheid de fileservers opsconen en eventueel opnieuw installeren. Zo dat de klanten gegevens veilig blijven en de beveiliging aangepast word zo word alle verkeer geblokkeerd naar buiten en alleen mail WWW en smb locaal geaccepteerd.

Hier bij zullen wij doornemen dat ook de denyhosts weer geinstalleerd word en de ssh poort wor dopgehoogt naar een nummer na de 10000 aangezien portscanners die moeilijker zien.

Offline AptlyNamed

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #8 Gepost op: 2009/08/23, 21:26:40 »
Niet dat ik veel af weet van van security, maar zou een werkstation dat gebruikt wordt om in te loggen met administrator rechten op een productieserver niet fysiek afgeschermd moeten worden om installatie van keyloggers tegen te gaan?
« Laatst bewerkt op: 2009/08/23, 21:30:33 door AptlyNamed »

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #9 Gepost op: 2009/08/24, 09:34:58 »
Niet dat ik veel af weet van van security, maar zou een werkstation dat gebruikt wordt om in te loggen met administrator rechten op een productieserver niet fysiek afgeschermd moeten worden om installatie van keyloggers tegen te gaan?

Dat klopt maar wij moeten inloggen via een login om bestanden over te zetten blijkbaar heeft 1 van onze systeem beheerders zijn eigen account gebruikt wat niet de bedoeling was en zo een SSH password bloodgelegt.

De keylogger software stond namenlijk op een pc van 1 van onze klanten.

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #10 Gepost op: 2009/08/24, 10:12:55 »
Een keylogger hoeft niet altijd software matig te zijn, dit kan ook hardware zijn....

Maagoe nu zie je hoe belangrijk het is nooit een andere pc te vertrouwen.
Voor de toekomst altijd een Ubuntu live-cd mee nemen en daarvan booten en werken, of een USB stick.
Dan weet je zeker dat je geen last hebt van virussen of keyloggers.
En natuurlijk het kabeltje kontroleren van het toetsenbord  ;)
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #11 Gepost op: 2009/08/24, 10:41:16 »
Als je SSH met keys zou gebruiken, dan zou alleen het wachtwoord van je key uitlekken. Maar zonder het keybestand zelf krijg je geen toegang. Een key zou deze aanval misschien geblokkeerd hebben.

En als je je key op bijvoorbeeld een usb stick zet en die kwijt raakt, dan kan men nog niets, zolang men het wachtwoord op de key niet weet :)

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #12 Gepost op: 2009/08/24, 12:20:18 »
Op dit momend ben ik aan het kijken hoe dat met keys nou in zijn werk gaat ik ga het zeker toepassen na deze nog al genante inbraak.

weet iemand zo ie zo een goede plek om er iets over te lezen? ik heb nu

http://www.debuntu.org/ssh-key-based-authentication gevonden.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #13 Gepost op: 2009/08/24, 12:42:03 »
Onze eigen wiki heeft ook een handleiding: http://wiki.ubuntu-nl.org/community/Openssh-server

Offline Vinnie665

  • Lid
  • Steunpunt: Nee
Re: rkhunter vind dat sha1 niet meer klopt.
« Reactie #14 Gepost op: 2009/08/24, 15:00:37 »
Het is opgelost wij hebben nu een key login op onze ssh zitten via een usb stick zouden ze dan kunnen inloggen. Uiteraard mag deze usb stick het pand niet verlaten als je daar geen rechten toe hebt :p er zijn er maar 2 die dat mogen binnen ons bedrijf.

bij deze wil ik heb melden als opgelost en jullie hartelijk bedanken voor de input en informatie :)