Ícone RSS Ícone Página Principal
  • IptabLes e Iptablex: Um caso.

    Publicado em 16 de agosto de 2014 omyasuda Sem comentários

    hacked_skull_imageEstávamos percebendo uma certa lentidão no nosso acesso à internet na nossa rede local! Em determinado instante observei  que as luzes de uma das portas do router picava incessantemente. Justamente a lampada do meu servidor Apache. Saquei-o fisicamente da rede e descobri que ele havia sido escravisado com o par IptabLes e IptabLex.

    Acho que fui invadido?

    Retirei da rede, troquei as senhas dos usuários e parei os processos suspeitos. Acho que isso é o básico, mas que mesmo assim, só consigo fazer nesta máquina pois ela não tinha nada significativo rodando.

    As evidencias da invasão eram  claras:

    1. lentidão na rede.
    2. luzes do router piscando insistentemente na porta desta máquina.
    3. mensagens de erros nos logs.
    4. programas suspeitos rodando.

    Como fui invadido?

    Fui vitima de um ataque de força bruta, minutos após abrir o acesso ssh à minha máquina, observo nos logs as tentativas de acesso. Depois de alguns dias de exaustivas tentativas, uma delas foi bem sucedida. Rapidamente, o intruso saiu da sessão.

    Com a informação de login um outro ip é usado para entrar, agora com a convicção de usuário e senha, e implantar os arquivos, links e diretórios para deixar o funcional.

    Algumas deficiencias contribuiram para o sucesso deste ataque.Usuário óbvio (root) e senha frágil (curta e provável em qualquer dicionário) são os principais itens da lista.

    A abertura do acesso SSH para o mundo também não contribuí para prevenir este tipo de ataque. A restrição de endereços, ainda que pontualmente no caso de tentativas insistentes, diminuiria as changes de sucesso. Apesar de ser um tanto trabalhoso.

    Isso levanta o segundo nível de cuidado, o do acompanhamento. A observação frequente dos logs e mensagens do sistema poderiam estimular as contra medidas como a de bloquear os originadores mais insistentes.

    O que ele faz?

    Este ataque aparentemente colocou somente os programas .IptabLes e .IptabLex com  a estrutura de reinicialização em caso de parada, mas fica bem difícil de garantir que ele não tenha deixado outros recursos para tentar voltar ao sistema em outra oportunidade.

    Os programas .IptabLes e .IptabLex implementam o ataque DDoS e é bem documentado por exemplo em

     

    Também entre os serviços

    Como estes dois programas IptabLes e IptabLex foram instalados entre os serviços, também provocam erros ao tentar atualizar o sistema.

    insserv: Starting IptabLes depends on minissdpd and therefore on system facility `$all’ which can not be true!

    insserv: Starting IptabLex depends on minissdpd and therefore on system facility `$all’ which can not be true!

    ….

    com os comandos

    sudo apt-get update

    sudo aptitude safe-upgrade

    Parece que o update-rc.d se lembra que este serviço foi em determinado instante instalado e tenta atualizá-lo neste processo, mas não encontra os programas que já tinha deletado. Este erro causa alguns erros de atualização em consequência.

    A forma que encontrei para sanar o problema foi simplesmente remover os dois serviços usando o próprio update-rc.d com

    sudo update-rc.d IptabLes remove

    sudo update-rc.d IptabLex remove

    Claro. Alguém vai dizer, mas “isso não importa se você instalar o sistema novamente!”

     

     

    O que fazer agora?

    O meu caso é realmente trivial. A maquina ainda não tinha nada em produção ou disponibilizada para o publico. Mas, seguiremos a recomendação geral de reinstalar tudo de novo e começar do início, pois não sabemos o que mais pode ter sido adulterado e comprometido.

    Alem disso, esta é uma boa oportunidade de refazer implementando as medidas de defesa recomendadas para estes casosm como em :

     

     

     

     

     

    Deixar uma resposta

    Você precisa fazer o login para publicar um comentário.