5:botnet採取、その中身

数時間Fedora Coreをインターネットに接続しただけで、早速botにssh経由で一般ユーザーが乗っ取られた。簡単なパスワードのtestユーザーがあったからね。botnetのパケットが本当にインターネットには行き交ってるな。

Fedora Coreのsshはデフォルトでplain passwordですね。openSUSEはchallenge/response (keyboard-interactive)ですが。openSUSEのデフォルト設定の方が良いかな。

乗っ取られた後は大量のsshプロセスを起動していたので、外部のハックをしていた。すぐ止めましたが。

/var/log/messageには以下のようなtestユーザーに対してのアクセスが大量にあった。

May 4 06:28:54 gbox01 sshd(pam_unix)[9250]: session opened for user test by
(uid=0)
May 4 06:29:02 gbox01 sshd(pam_unix)[9275]: authentication failure; logname
= uid=0 euid=0 tty=ssh ruser= rhost=xxx.16.119.16 user=test
May 4 06:29:05 gbox01 sshd(pam_unix)[9277]: authentication failure; logname
= uid=0 euid=0 tty=ssh ruser= rhost=xxx.16.119.16 user=test
May 4 06:29:08 gbox01 sshd(pam_unix)[9279]: authentication failure; logname
= uid=0 euid=0 tty=ssh ruser= rhost=xxx.16.119.16 user=test
May 4 06:29:12 gbox01 sshd(pam_unix)[9281]: authentication failure; logname
= uid=0 euid=0 tty=ssh ruser= rhost=xxx.16.119.16 user=test

/home/testには以下のようなファイルが作られている。

# ll /home/test
total 1856
drwxr-xr-x 3 test users 4096 May 4 15:31 bot5
-rw-r--r-- 1 test users 581873 Apr 19 07:01 bot5.zip
drwxr-xr-x 3 test users 4096 May 4 15:00 mech
-rw-r--r-- 1 test users 581960 May 4 14:54 mech.zip
drwxr-xr-x 2 test users 4096 May 4 18:24 ssh
-rw-r--r-- 1 test users 698012 Nov 17 18:21 ssh.tgz

# ll /home/test/mech
total 1436
-rwxr-xr-x 1 test users 447156 Oct 19 2005 darwin
-rwxr-xr-x 1 test users 354306 Oct 19 2005 freebsd
-rwxr-xr-x 1 test users 412095 Jul 9 2005 linux
-rwxr-xr-x 1 test users 22465 Jun 13 2001 mech.help
-rw-r--r-- 1 test users 1004 May 4 19:18 mech.levels
-rwxr-xr-x 1 test users 5 May 4 14:56 mech.pid
-rw-r--r-- 1 test users 1576 May 4 19:18 mech.session
-rwxr-xr-x 1 test users 3615 May 4 08:51 mech.set
-rwxr-xr-x 1 test users 167964 Mar 16 2001 pico
drwxr-xr-x 2 test users 4096 May 4 08:37 randfiles
-rwxr-xr-x 1 test users 238 May 4 19:18 unix1.users
-rwxr-xr-x 1 test users 238 May 4 19:18 unix2.users
-rwxr-xr-x 1 test users 238 May 4 19:18 unix3.users
-rwxr-xr-x 1 test users 238 May 4 19:18 unix4.users

# ll /home/test/ssh
total 1672
-rwxr-xr-x 1 test users 307 Jul 30 2005 a
-rwxr-xr-x 1 test users 2893 Nov 5 2006 mass
-rwxr-xr-x 1 test users 4815 Dec 14 2005 nobash.txt
-rwxr-xr-x 1 test users 273836 Dec 19 2005 pass.txt
-rwxr-xr-x 1 test users 5944 May 16 2005 pscan2
-rwxr-xr-x 1 test users 5797 May 16 2005 pscan2.c
-rwxr-xr-x 1 test users 307 Jul 30 2005 scan
-rw-r--r-- 1 test users 1547 May 4 19:18 scan.log
-rwxr-xr-x 1 test users 1384518 Jun 6 2005 sshd
-rwxr-xr-x 1 test users 0 May 4 18:24 vuln.txt

pass.txtには2万件くらいのユーザー名とパスワードの組み合わせがあり、これでランダムに作成したアドレスに攻撃してると思われる。

採取したbotnetはゆっくり解析させていただきます。

sshdの設定でFedoraCoreとopenSUSEとの違いは
FedoraCoreのsshdの設定は（/etc/ssh/sshd_config）

...
PasswordAuthentication yes
ChallengeResponseAuthentication no
...

openSUSEのsshdの設定は（/etc/ssh/sshd_config）

...
PasswordAuthentication no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
...

ちょっとFedoraCoreの設定は甘いな。