volver al sitio...

www.thorconsultora.com.ar

Seguridad Práctica - Hackeando a un hacker: el gato y el ratón

...Si bien el racconto de esta historia bien puede ser apreciado solo por "entendidos", merced a su descripción tan gráfica, sirve para entender los retos a los que se enfrentan a diario los administradores GNU/Linux. Además contamos con un "agregado" hecho por Arturo "Buanzo" Busleiman, un consultor en seguridad informática, muy apreciado en toda la comunidad "linuxera" argentina...

 

Así podría haber quedado la PC del hacker que lo atacó, pero nuestro compañero, es un buen tipo...
 

Por Ariel Corgatelli* & Arturo Busleiman

Era muy temprano por la mañana y estaba sentado frente a mi PC cuando escucho mi disco rígido moverse de forma alocada.

Me conecto vía SSH a mi servidor y encuentro que quieren ingresar a como de lugar.
Veo la IP de esta máquina y me imagino debe ser algún tipo de script el que están corriendo de forma automática realizo el chequeo de la IP para ver con quién me estaba topando.

Era de esperar un server Linux corriendo del otro lado, antes de disponerme a tirar toda mi artillería pesada se me ocurre ingresar vía ssh como root con la clave 123456

ariel:/home/ariel # ssh 210.73.133.22
root@210.73.133.22's password:
Last login: Fri Mar 17 2006 19:26:06 +0800
You have new mail.

Hasta me enteré de los errores en el servidor generados por el mismo.

Como supuse entré sin problemas, se imaginarán el primer comando ingresado passwd root desde ese mismo momento comenzó la inspección para ver por qué y cómo estaba corriendo un equipo escaneando puertos.

[root@xd ~]# df
Filesystem             1K-�       ��     ����% �ص
/dev/mapper/VolGroup00-LogVol00
                     305314056   5295780 284509184   2% /
/dev/hdc1               101086     12122     83745  13% /boot
none                    253240         0    253240   0% /dev/shm
[root@xd ~]# passwd root
Changing password for user root.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[root@xd ~]#
Password:

Hasta ese mismo momento era totalmente invisible antes los ojos del administrador root, por supuesto borré todos los log como el lo habría realizado en mi equipo y comenzó la búsqueda.
La distro era RedHat 4 Enterprise con el kernel certificado de estos muchachos y corriendo su sistema SELinux el cual establece que el sistema no queda a merced del root, en este caso no sirvió de mucho.
Con top encuentro que estaba escaneando "a full" con un programa llamado sshscan, no hace falta que explique lo que hace, con solo ver la figura del log de mi pobre server ya es mas que suficiente.



 

Paso seguido killall sshscan, luego busqué el binario de este programita con un simple rm -R al directorio se borro el sshscan, y de ahí en mas envié el mensaje


[root@xd ~]# wall no quieras hackear a nadie sin saber con quien te metes jajaja

Broadcast message from root (pts/33) (Fri Mar 17 19:37:37 2006):

no quieras hackear a nadie sin saber con quien te metes jajaja
[root@xd ~]#


Luego y para finalizar me encargué que por lo menos sepa de mi visita y que nunca mas intente hackear a nadie si no está seguro de lo que hace.

Aquí revise un poco el kernel

[root@xd log]# uname -a
Linux xd 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux

Por ultimo liste los usuarios conectados a este equipo, la IP 200.55... es de mi server, de cualquier manera le renové así que no lo intenten ustedes conmigo.

[root@xd log]# who
root     pts/32       Mar 17 07:02 (:pts/29:S.0)
root     pts/34       Mar 17 19:28 (200.55.127.7)
root     pts/33       Mar 17 19:29 (200.55.127.7)
[root@xd log]# vi /etc/motd


Moraleja de esta experiencia: no hay que instalar programitas ya sea en Windows o Linux sin saber de que se trata con el ánimo de arruinar equipos a nadie.
Y por último, mi mejor consejo, no intenten hackear a nadie solo protejan su equipo de estos ataques.

Moraleja de esta experiencia 2: (Por Arturo "Buanzo" Busleiman)

ariel:/home/ariel # ssh 210.73.133.22

Lo divertido de esta historia es que Ariel le mando un mensaje en castellano a un usuario de un linux con ip de China :P - Con lo que, el artículo, le agregaría que antes de "contraatacar" es bueno investigar de donde es la IP a donde vas a "contraatacar", ya que te podés meter en problemas.

Para esto, el comando whois es bastante piola:

buanzo@murray ~ $ whois 210.73.133.22
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 210.73.133.0 - 210.73.133.255
netname: XZINC
descr: Xuzhou Science & Technolog Information Networks
country: CN
admin-c: CZ24-AP
tech-c: CZ24-AP
mnt-by: MAINT-CNNIC-AP
status: ASSIGNED NON-PORTABLE
changed: zc@sti.js.cn 20010309
changed: hm-changed@apnic.net 20040927
source: APNIC

person: Chao Zhang
address: No.77,SuoJinCun,JiangSu Province,China
country: CN
phone: +86-25-5415928
fax-no: +86-25-5405953
e-mail: zc@sti.js.cn
nic-hdl: CZ24-AP
mnt-by: MAINT-CNNIC-AP
changed: zc@sti.js.cn 20001201
source: APNIC

inetnum: 210.73.133.0 - 210.73.133.255
netname: XZINC
descr: Xuzhou Science & Technolog Information Networks
country: CN
admin-c: CZ24-CN
tech-c: CZ24-CN
mnt-by: MAINT-CNNIC-AP
status: ASSIGNED NON-PORTABLE
changed: zc@sti.js.cn 20010309
changed: hm-changed@apnic.net 20040927
source: CNNIC

person: Chao Zhang
address: No.77,SuoJinCun,JiangSu Province,China
country: CN
phone: +86-25-5415928
fax-no: +86-25-5405953
e-mail: zc@sti.js.cn
nic-hdl: CZ24-CN
mnt-by: MAINT-CNNIC-AP
changed: zc@sti.js.cn 20001201
source: CNNIC

* Es consultor GNU/Linux, vive en la localidad de Caseros (Buenos Aires) y reparte su tiempo entre su labor como docente y sus colaboraciones habituales en diversas publicaciones ligadas a la comunidad tuxera.

volver al sitio...