Возможно ли нахождение бекдора в левых пакетах (ex. dotdeb)?

Добрый день.

Под моим управлением на момент описываемых событий было около 10 серверов и vds-ок.

На трёх из них экспериментально пользовались пакеты с dotdeb. Вот с ними после того, как я стал (в целях прокачки скила iptables ) на всех машинах следить за открываемыми на LISTEN портами, стали возникать проблемы.

Каким образом я стал следить.

1) DROP на неразрешенное явно. Всё было почти нормально. Изредка приходили отбивки мониторинга, что mysql тупит просто ад(бекапы на соседних vds, думал я).

2) На двух мои шаловливые ручки сделали ставший доступным TARPIT вместо DROP.

И тут началось.

От mysqld в какое-то странное время примерно раз в две недели (единственная закономерность — минута равна последний_октет_IP%60) на порте пвышенной случайности (примерно 10к-20к) отфоркивается и открывает соединения Xinetd.


mysqld в этот момент не подаёт признаков жизни (похоже ждёт чего-то).

Затем примерно через 20сек xinetd умирает, всё работает.


Я посмотрел на этот ппц и вынес весь дотдеб к чертям.


Опасений прибавило и то, что на GDD11 я мимоходом услышал такой кусок чего-то диалога «Если ваш сисадмин стал ставить пакеты с дотдеба и прочий левак, гоните его ссаными тряпками с соответствующей записью в трудовой подальше от серверов, он некомпетентен.»


Так как скоро высвободится немного времени, думаю продолжить копать.


Вопросы к аудитории:

1) компрометировался ли доступ к репам дотдеба (и возможно я просто [не]удачно попал и зря расходовал ресурс клавиатуры)?

2) Как хм… поискать закладку? (буду рад ссылкам и советам)

3) можно ли ускорить системный таймер раз в 10 (чтобы попробовать повторить это всё)?

4) Возможно, кто-то сможет пояснить чем плох сисадмин, ставящий пакеты из репов, и не засирающий систему make && make install?

Я не вижу в этом чего-то плохого, только хорошее. Кто ж виноват, что офф. репы такие слоупоки.


А вообще, худший сценарий выдаёт идеальное преступление:

1) начать собирать пакеты

2) собрать уровень респекта и скорости реагирования

3) замутить в бинарники бекдор, который открывается во время и на порту зависящими от ПО, версии ПО, IP сервера, ОС сервера, фазы луны, количества медалей сборной Китая на Пекинской Олимпиаде 2008 года.

4)…


Заранее спасибо!
  • Вопрос задан
  • 2860 просмотров
Пригласить эксперта
Ответы на вопрос 4
А MySQL у вас наружу не светится? По описанию это гораздо больше похоже на эксплуатацию уязвимости в MySQL, например э
Ответ написан
Ernillew
@Ernillew
Администрирую *nix-системы с 1997 года
Извините, идиотский вопрос, если «отфоркивается и открывает соединения Xinetd», то может стоит для начала посмотреть все его конфиги? Может там найдете виновника, кто это делает?
Ну плюс, раз отслеживаете момент когда он запускается, то lsof -i -n вам в этот момент в помощь или там netstat
Ну и всякие rkhunter вам в помощь, может они кого знакомого встретят.
Ответ написан
Alukardd
@Alukardd
Пакеты ставить надо исключительно из репов и исключительно из официальных репов дистрибутива, или репов (в редких случаях единичных пакетов) предоставляемых разработчиками необходимой Вам утилиты (например VirtualBox от Oracle или Proxmox имеющий собственный реп).

Про make && make install читать статью.
Ответ написан
@odmin4eg
Оч интересный вопрос, дотдебом пользуюсь в личных целях, за хакерами гонялся один раз, но уязвимость была в обнуленном толи шаблоне для джумлы (пускай блин друзей к себе на сервер), толи в дырке скрипта и загрузке шелла на сервер

Шелл управлялся через ИРК канал, в /tmp лежала папочка с сорцами шелла и там конфиг был, прописаны явки и пароли, сидел я на том канале прикидываясь ботом, но потом заговорил с опом канала, он убил всех ботов, а я остался.

Отдельная мутная история, про рассылку спама и продажу готовых чистых серверов под рассылки.

с тех пор некоторая параноя во мне живёт, дотдебом пользоваться начал с выходом похапе 5.3

в общем подохрительный активности не замечал пока, но может ещё не попадалось просто…
буду внимательнее наблюдать…
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы