Возможно ли нахождение бекдора в левых пакетах (ex. dotdeb)?

Question

[la0]

Добрый день.

Под моим управлением на момент описываемых событий было около 10 серверов и vds-ок.

На трёх из них экспериментально пользовались пакеты с dotdeb. Вот с ними после того, как я стал (в целях прокачки скила iptables ) на всех машинах следить за открываемыми на LISTEN портами, стали возникать проблемы.

Каким образом я стал следить.

1) DROP на неразрешенное явно. Всё было почти нормально. Изредка приходили отбивки мониторинга, что mysql тупит просто ад(бекапы на соседних vds, думал я).

2) На двух мои шаловливые ручки сделали ставший доступным TARPIT вместо DROP.

И тут началось.

От mysqld в какое-то странное время примерно раз в две недели (единственная закономерность — минута равна последний_октет_IP%60) на порте пвышенной случайности (примерно 10к-20к) отфоркивается и открывает соединения Xinetd.


mysqld в этот момент не подаёт признаков жизни (похоже ждёт чего-то).

Затем примерно через 20сек xinetd умирает, всё работает.


Я посмотрел на этот ппц и вынес весь дотдеб к чертям.


Опасений прибавило и то, что на GDD11 я мимоходом услышал такой кусок чего-то диалога «Если ваш сисадмин стал ставить пакеты с дотдеба и прочий левак, гоните его ссаными тряпками с соответствующей записью в трудовой подальше от серверов, он некомпетентен.»


Так как скоро высвободится немного времени, думаю продолжить копать.


Вопросы к аудитории:

1) компрометировался ли доступ к репам дотдеба (и возможно я просто [не]удачно попал и зря расходовал ресурс клавиатуры)?

2) Как хм… поискать закладку? (буду рад ссылкам и советам)

3) можно ли ускорить системный таймер раз в 10 (чтобы попробовать повторить это всё)?

4) Возможно, кто-то сможет пояснить чем плох сисадмин, ставящий пакеты из репов, и не засирающий систему make && make install?

Я не вижу в этом чего-то плохого, только хорошее. Кто ж виноват, что офф. репы такие слоупоки.


А вообще, худший сценарий выдаёт идеальное преступление:

1) начать собирать пакеты

2) собрать уровень респекта и скорости реагирования

3) замутить в бинарники бекдор, который открывается во время и на порту зависящими от ПО, версии ПО, IP сервера, ОС сервера, фазы луны, количества медалей сборной Китая на Пекинской Олимпиаде 2008 года.

4)…


Заранее спасибо!

Answer 1

[Владимир Дубровин]

А MySQL у вас наружу не светится? По описанию это гораздо больше похоже на эксплуатацию уязвимости в MySQL, например э

Comments

[Владимир Дубровин]

той :) Простите, тачпад глюкнул.

[la0]

Нет. Всё биндится на локалхост.

[Владимир Дубровин]

Как вариант, может эксплуатироваться SQL injection через веб, погрепайте логи веб-сервера на предмет чего-то похожего на SQL-команды в параметрах.

[la0]

Эти сервера динамику не обслуживают. Только внутренние задачи.

Answer 2

[Эргил Осин]

Извините, идиотский вопрос, если «отфоркивается и открывает соединения Xinetd», то может стоит для начала посмотреть все его конфиги? Может там найдете виновника, кто это делает?
Ну плюс, раз отслеживаете момент когда он запускается, то lsof -i -n вам в этот момент в помощь или там netstat
Ну и всякие rkhunter вам в помощь, может они кого знакомого встретят.

Comments

[la0]

rkhunter это первое, что я сделал.
Руткитов (к сожалению, ага) нет, конфиги зинета дефолтные. (вторая vds-ка это вообще была чистая система и поставленные пакеты)

[Эргил Осин]

Хм… ну таки может тогда стоит посмотреть всякие lsof -i, что бы посмотреть все открытые дескрипторы, какой-нить unhide, что бы покопался в /proc и сравнил с ps`ом.
Самому интересно стало, что это у вас там такое

Answer 3

[Alukardd]

Пакеты ставить надо исключительно из репов и исключительно из официальных репов дистрибутива, или репов (в редких случаях единичных пакетов) предоставляемых разработчиками необходимой Вам утилиты (например VirtualBox от Oracle или Proxmox имеющий собственный реп).

Про make && make install читать статью.

Comments

[Эргил Осин]

> исключительно из официальных репов дистрибутива

То есть мне собственный репозиторий немедленно отключить?
Глупость говорите.

Из репозиториев которым доверяете, так можно было написать, а про исключительность «это вы что-то нескладное придумали, над вами смеяться будут» © М.А.Булгаков

[Alukardd]

Давайте буквоедством заниматься. Можно докопаться до любой фразы и до миллионов формулировок.
К тому же нехрена читать часть предложения. Там стоит союз «или».

Answer 4

[odmin4eg]

Оч интересный вопрос, дотдебом пользуюсь в личных целях, за хакерами гонялся один раз, но уязвимость была в обнуленном толи шаблоне для джумлы (пускай блин друзей к себе на сервер), толи в дырке скрипта и загрузке шелла на сервер

Шелл управлялся через ИРК канал, в /tmp лежала папочка с сорцами шелла и там конфиг был, прописаны явки и пароли, сидел я на том канале прикидываясь ботом, но потом заговорил с опом канала, он убил всех ботов, а я остался.

Отдельная мутная история, про рассылку спама и продажу готовых чистых серверов под рассылки.

с тех пор некоторая параноя во мне живёт, дотдебом пользоваться начал с выходом похапе 5.3

в общем подохрительный активности не замечал пока, но может ещё не попадалось просто…
буду внимательнее наблюдать…