Astalavista Pwnage Expose by anti-sec Group

Publié le 8 juillet 2009

Hacking
Un groupe de hackers, qui se nomme anti-sec, aurait réussi à pirater le serveur de l'un des administrateurs du site underground Astalavista.com (il s'agirait de Glafkos xxxxxx, également connu sous le pseudo nowayout). Ces derniers auraient exploité une faille de sécurité dans OpenSSH. Cette attaque fait beaucoup parler d'elle en ce moment, dans les réseaux underground et parmi les experts en sécurité, car celle-ci est de type Zero day.

Pour ceux qui ne connaissent pas trop le jargon de la sécurité informatique, une faille Zero day est en fait une faille dont personne ne connaît l'existence et qui n'est pas divulguée par les hackers, tout ceci afin de pouvoir l'utiliser à leur guise sur des périodes plus ou moins longues.

Mais, le fait le plus marquant est sans doute le côté agressif du groupe anti-sec. Car, après avoir piraté la machine en question, ces derniers ont également effacé l'ensemble des données et des sauvegardes.

L'historique de l'attaque a été mis en ligne. Cette dernière est assez longue et complexe, je vous propose donc ici une synthèse des principales actions effectuées par les pirates.

1. Intrusion et élévation de privilèges

Visiblement, ces derniers se sont aidés d'Infoz, un petit utilitaire fait maison, leur permettant d'obtenir plus d'informations sur la machine à partir de son nom de domaine : il s'agissait là d'un serveur web Apache, avec un service ssh qui tourne sur un port non standard (2222).

anti-sec:~/pwn# ./infoz infosec.org.uk
IP: 66.96.220.213
WWW Server:
Apache
SSH-2.0-OpenSSH_4.3 : PORT 2222

La suite est l'une des parties les plus mystérieuses de l'attaque. Les membres d'anti-sec vont faire appel à la commande openPWN (introuvable sur Internet à l'heure où j'écris ces lignes), afin d'exploiter une faille dans OpenSSH.

On remarquera l'utilisation de l'adresse IP du serveur, du port spécifique ainsi que l'emploi d'une soit-disant liste de comptes utilisateurs (fichier users.txt) :

anti-sec:~/pwn# ./openPWN -h 66.96.220.213 -p 2222 -l=users.txt

[+] openPWN - anti-sec group
[+] Target: 66.96.220.213
[+] SSH Port: 2222
[+] List: users.txt

[~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]

user: crownvip
uname: Linux srv01.webhostline.com 2.6.21.5-hostnoc-3.1.7-libata-grsec-32 ...

Les hackers vont ainsi se retrouver sur la machine connectée en tant que crownvip, un compte utilisateur sans droit particulier. Pour ne laisser aucune trace, l'étape suivante sera la redirection de l'historique des commandes vers /dev/null, en manipulant une variable d'environnement :

sh-3.1$ export HISTFILE=/dev/null

L'utilisation successive des commandes w et who va ensuite mettre en évidence des informations intéressantes :

sh-3.1$ w
11:23:39 up 306 days, 1:02, 1 user, load average: 0.77, 0.62, 0.64
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

sh-3.1$ who
infosec pts/2 2009-06-05 06:41 (91.184.220.239)

Tout d'abord, on constate que la machine n'a pas été redémarrée depuis 300 jours. D'ailleurs, un peu plus haut, on remarque que le noyau est en version 2.6.21. La seconde information concerne les utilisateurs. Un certain infosec est connecté. Les hackers se demande même avec ironie s'ils ne vont pas se faire repérer, car leur cible, Glafkos, est un soit-disant expert en sécurité.

Anti-sec group : // We got in, while he is -on- the server... is he going to catch us ( considering his amazing CV )? lets wait and see...

La suite est plus ou moins étrange. Dans l'historique original, la partie concernant l'élévation de privilèges en root semble avoir été effacée.

Pour moi, cela ne fait pas de doute, le noyau Linux qui tourne est la version 2.6.21.5 (cf. plus haut) et cette dernière souffre d'une faille grave de type "Local Root Exploit", vu il y a quelques mois. A partir de là, les hackers ont pu facilement passer root sur la machine et obtenir tous les droits.

2. Analyse des données et des comportements

La suite de l'histoire est toute aussi intéressante. Les membres d'anti-sec vont passer leur temps à analyser le contenu de la machine et passer en revue les fichiers utilisateurs (/etc/passwd), les mots de passe cryptés (/etc/shadow) ou encore les logs de connexion (lastlog).

Tout cela sans oublier de regarder les différents historiques de commandes (.bash_history) qui souvent se révèlent très bavards sur le comportement des administrateurs.

Mais, c'est en analysant l'ensemble des fichiers du serveur, notamment des fichiers php (on est sur un serveur web), que l'on en apprend le plus. Glafkos semble également être un hacker, car il y a tout un tas d'outils malveillants qui traînent dans les répertoires (scanner de ports, script de vol de cookies, mailbomber ...).

Et l'ensemble du contenu des fichiers de configuration va se révéler très payant par la suite. En effet, les hackers se rendent vite compte qu'il génère ses mots de passe en suivant à chaque fois la même règle : nom-du-service + les 4 caractères spéciaux $#@!

En voici quelques exemples :

sh-3.1# cat configuration.php
...
$_DBCONFIG['host'] = 'localhost'; // This is normally set to localhost
$_DBCONFIG['database'] = 'infosec_is'; // Database name
$_DBCONFIG['tablePrefix'] = 'infosec_'; // Database table prefix
$_DBCONFIG['user'] = 'infosec_is'; // Database username
$_DBCONFIG['password'] = 'is#@!'; // Database password
$_DBCONFIG['dbType'] = 'mysql'; // Database type (e.g. mysql,postgres ..)
...
sh-3.1# cat db_connect.php
$dbhost='localhost';
$dbuser='infosec_milworm';
$dbpass = 'milworm$#@!';
...
sh-3.1# cat conn.php
define('hostname', 'localhost');
define('username', 'md5org_hash');
define('password', 'h45h$#@!');
...
sh-3.1# cat configuration.php
$mosConfig_db = 'ryb_joomla';
$mosConfig_live_site = 'http://www.rootyourbox.org';
$mosConfig_mailfrom = 'nowayout@rootyourbox.org';
$mosConfig_password = 'joomla!@#';
$mosConfig_user = 'ryb_joomla';

A partir de là, c'est un jeu d'enfant pour deviner le mot de passe de son compte gmail. Ils ont déjà le login qui est l'adresse mail, le mot de passe est quant à lui sûrement email!@# ou peut-être gl4fk05$#@!.

Les anti-sec vont s'en donner à cœur joie et télécharger l'ensemble des conversations qu'il a eu. L'un des mails trouvés va même se révéler déclencheur d'évènements inattendus. En effet, quelques semaines auparavant, le groupe de pirates s'en est pris au site astalavista.com et dans l'un des mails, Glafkos les traite de script kiddies (= pirates débutants).

Return-Path:
From: "Glafkos xxxxxx"
To: "'Edward Lansink'"
Subject: RE: [IT Solutions Knowledge Base] Network security

Hello Edward,
This is my PayPal address paypal@webhostline.com
Sorry for delay but we have huge problem with Astalavista.com/.net
Some script kiddies hacked us and we are trying to recover everything back..

Anti-sec group : // You called us script kiddies, we are reading your email, we rooted your box while you were logged on it, we took everything and in a minute it will all be -gone-.

Et c'est sûrement à cause de ces propos qu'ils vont décider de supprimer toutes les données de la machine.

3. La destruction totale du serveur et des sauvegardes

On termine par la phase la plus sombre de l'attaque. Les hackers tombe sur le script de sauvegarde et découvre que les backups sont transférés régulièrement vers un serveur FTP.

sh-3.1# cat ftpbackup.sh
#!/bin/bash
FTPStatus=y
HOST='nowayout.myftp.org'
USERNAME='backup'
PASSWORD='b4ckup$#'
REMOTEDIR=`date +'%d-%m-%Y'`
HOSTNAME='/bin/hostname'
LOCALDIR='/home/backups/cpbackup/daily'

Ces derniers décident alors de tous les supprimer :

sh-3.1# ftp nowayout.myftp.org
Connected to nowayout.myftp.org.
Name: backup
Password:
230 User logged in.
ftp> ls -la
05-01-09 07:21AM <DIR> 01-05-2009
06-01-09 07:22AM <DIR> 01-06-2009
...
03-31-09 03:56PM <DIR> 31-03-2009
05-31-09 07:20AM <DIR> 31-05-2009
ftp> mdelete *

Et terminent par un monumental rm à la racine qui signera la mort du serveur par la même occasion :

sh-3.1# rm -rf /* &
[1] 26243

4. Conclusion

Pas grand chose à dire dans cette histoire. Je note juste que Glafkos, notre expert en sécurité a visiblement fait plusieurs erreurs.

La première concerne la mise à jour de son système. Si la dernière version du noyau avait été installée, les pirates auraient eu, sans aucun doute, plus de mal à passer root.

La deuxième erreur concerne les mots de passe, surtout celui du compte gmail. Il aurait dû choisir un mot de passe complètement différent, cela aurait limité les dégâts.

Enfin, la dernière erreur est d'avoir provoqué le groupe anti-sec. Ces derniers ont cherché à se venger et la destruction des données ainsi que celle des sauvegardes n'est pas un hasard. Les hackers ont voulu lui donner une leçon, et sur cet aspect, ils se sont plutôt bien débrouillés.

Dernières réactions
(S'abonner ...)

Anonymous: Mon ordinateur ne l’a pas accepté!

Baptiste: @Baptiste_kikoo_mystérieux : C’est pas comme ça qu’on imagine la vie

Tal: Comment créer un fichier avec 3 ligne le tout en utilisant une seule commande!!?

Baptiste_kikoo_mystérieux: C’est pas comme ça qu’on imagine la vie…

L.: AJOUTER UNE LANGUE: menu+centre de contrôle +clavier +agencements+ajouter+soit par le buttons pays soit par la...

29 Commentaires pour "Astalavista Pwnage Expose by anti-sec Group"

Flux des commentaires de cet article Ajouter un commentaire

Ils ont très bien fait ça mais bon, c'est un peu radical de se venger comme ça vu que ça fait "du mal" à d'autres personnes que lui je suppose. Je ne sais pas ce qu'il y avait sur ces serveurs web mais bon.

J'espère aussi que la faille dans openSSH sera vite réglée.

hiveNzin0 , le 8 juillet 2009 à 22:02
hum pas sympa les gars c'est sur, d'un autre coté Astalavista c'est la ou jai trouver mes 1er "crack" (y a presque 10ans) alors bon, a jouer avec le feu on finin par ce bruler le bout des doigt un jour non ?

ben , le 8 juillet 2009 à 23:55
Wahoo, très bon article, Merci !!!!

Greg , le 9 juillet 2009 à 00:12
J'aime bien le message sur leur site : "[...]And don't believe all you read on the internet. Most of them is just speculation![...]"

Kissifrot , le 9 juillet 2009 à 00:20
Mais c'est ENORME !!!

Merci pour ce log, cela permet de comprendre leur méthodologie ...

Après tout, bien qu'ils aient tout cassé, il faut reconnaître une certaine transparence qui amuse un peu, et j'espère que Glafkos s'est sévèrement flagellé après ...

Black hats de chez anti-sec, je dis : respect et :Ph34R: xD

P.S. : Je comprends pas comment un "expert" peut avoir un site aussi peu sécurisé aussi ... meme pas de honeypot ou d'IDS ? pas d'activités un peu suspectes qui auraient pu lui mettre la puce a l'oreille ? pourquoi des mots de passe aussis moisis ?

Kegeruneku , le 9 juillet 2009 à 00:46
Merci pour ce très intéréssant article !
J'ai cependant quelques questions :

- Comment cela se fait il qu'un expert en sécurité utilise des mots de passe aussi foireux ? Même ma petite soeur a des passwords plus sécurisés !
- Où as tu trouvé toutes ces informations détaillés ?

Arkezis , le 9 juillet 2009 à 05:53
@ben : visiblement ils s'en sont prit à Astalavista non pas par ce qu'ils hébergent des cracks, mais pour une histoire de forum payant (6$ /mois) qui ne contiendrait que des informations bidons sur la sécurité informatique.

Sinon moi aussi j'allais chercher mes cracks sur ce site, il y a très longtemps, quand j'utilisais Windows à 100%. Depuis que j'utilise massivement Linux, j'avais presque oublié l'existence de ce dernier.

@Greg : merci, ce n'est pas facile à rédiger en faite, car c'est assez complexe comme sujet.

@Kegeruneku : c'est vrai que leur transparence est sympathique. Ça permet d'en apprendre beaucoup. Concernant les machines, c'est effectivement assez bizarre qu'elle ne soit pas à jour. C'est une des règles fondamentales. Glafkos semble l'avoir oubliée.

@Arkezis : je ne trouve pas forcément les mots de passe foireux, car il utilise des caractères spéciaux. L'erreur ici est de tous les générer selon la même règle.

Sinon les infos je les ai trouvées après avoir lu un bulletin d'alerte de sécurité sur une éventuelle faille Zero day d'openSSH, exploité par un soft du nom d'Open0wn. Je l'ai donc cherché sur le net et je suis tombé sur les logs du hack des anti-sec (Si tu regarde bien le début, OpenOwn leur permet d'infiltrer la machine).

pti-seb , le 9 juillet 2009 à 08:45
Très intéressant, et instructif, ça tient en haleine! La sanction est en revanche trop violente à mon gout. Tuer le serveur soit, ça n'est pas si grave. Mais vider le ftp des backups... ça n'est pas fair play je trouve.

Edouard , le 9 juillet 2009 à 09:29
L'autre erreur majeur sont les sauvegardes en ligne par FTP. Il est assez évident qu'une fois le serveur est compromis les sauvegardes ont des chances d'etre soit efface ou de contenir du code non désirable.

Pour éviter tout cela configurer le serveur FTP de tel manière que l'utilisateur ne puisse qu'uploader des nouveau fichiers et surtout ne pas pouvoir les effacer.

Une autre bonne technique est d'utiliser un cron job sur le serveur de sauvegarde pour rsync incrémental de fichiers de sauvegardes, ne pas oublier les bases de données...

La commande suivante permet de limiter les droits de l'utilisateur sauvegarde:

$BACKUP_HOME/.ssh/authorized_key
no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="rsync --server --sender -logDtpr ." SSH_KEY

Petit exercice pour finir, lancer vos VM et essayer de reconstruire votre/vos serveur juste avec vos backups, il manque généralement toujours quelque chose.

lilliput , le 9 juillet 2009 à 09:29
"la partie concernant l'élévation de privilèges en root semble avoir été effacée."

ou alors la faille en question est un overflow dans sshd, ce qui expliquerait pourquoi la commande who n'affiche aucun utilisateur..

d'ailleurs le prompt "sh-3.1#" indique qu'il s'agit de /bin/sh, en général c'est plutot bash qu'on utilise, typique d'un shellcode...

j0rn , le 9 juillet 2009 à 09:43
L'attaque est plus que basique pour un serveur, seule la seconde etape (l'exploitation SSH) est à retenir, malheuresement, nous n'avons pas le code de l'exploit et même le SANS merde à l'heure actuelle pour avoir ce put*** de code.

Y'a pas mal de choses à retenir :

1. La mise à jour du noyau histoire de limiter la casse au cas où il y aurait un exploit d'élévation des privilèges.

2. La mise à jour d'OpenSSH (l'exploit est effective sur la 4.3 mais pas la 4.5 (a priori)

3. La réduction des Ips pouvant se connecter à SSH et aussi la suppresion des bandeaux permettant d'avoir des informations sur les services courrants du serveur (des fois, c'est impossible, les utilitaires se basent sur la formation des fenetres TCP/IP)

4. Chaque mot de passe différent (et pas avec des noms de barbies...)

5. Le nom changement possibles des variables d'environnement par des utilisateurs tiers que ROOT (bon, après, qu'ils passent en root, bye bye les logs)

6. Si utilisation d'exploits afin d'excalader les privilèges. Il faut avant tout supprimer touts les utilisitaires du type compilateurs, éditeurs de fichiers, et upload de fichiers sur le serveur.

(PS : Y'a d'autres captures d'attaques par le groupe info sec utilisant ce sploit...)

Félix Aimé , le 9 juillet 2009 à 09:56
4.5 et au dessus.... (j'ai fait une fixette sur la 4.5 car dans un forum, là où la rumeur avait éclatée, il parlaient de l'exploitation de cette dernière sur un 4.5, ce qui n'a pas encore été démontré.)

Félix Aimé , le 9 juillet 2009 à 10:04
y a un rapport avec ça ? :

We are working on the new and stronger community system to be the best and biggest hacking and security community on the internet.

And don't believe all you read on the internet. Most of them is just speculation!

ASTALAVISTA will be back soon!

c'est sur astalavista.com

GanGan , le 9 juillet 2009 à 10:47
Un article intéressant là-dessus :
http://isc.sans.org/diary.html?storyid=6760

Kissifrot , le 9 juillet 2009 à 10:56
c'est un hoax qui a bien fonctionné je pense.

GanGan , le 9 juillet 2009 à 11:34
@lilliput : pas mal ta technique d'utiliser un compte FTP qui aurait juste un droit upload. J'y avais jamais pensé.

@GanGan : oui le message sur Astalavista est en rapport, suite au hack. Le piratage du serveur n'est un hoax il est bien réel. par contre, la faille zero-day dans OpenSSH reste un mystère.

pti-seb , le 9 juillet 2009 à 12:31
En lisant cela, le Hoax est surement de plus en plus probable...
http://lwn.net/Articles/340483/

Félix Aimé , le 9 juillet 2009 à 14:16
Je crois que leur 1ere erreur est d'avoir usurpé le nom Astalavista...
"Earlier this week, the self-proclaimed “hacker community” Astalavista (not to be confused with the other Astalavista [ http://astalavista.box.sk/ ] ) has been targeted by hackers itself." (http://securityandthe.net/2009/06/07/astalavista-hacker-community-hacked/)

Et la 2eme d'avoir fait payer cher des services nuls....
"Other than the fact that they are not doing any of this for the “community” but for the money, they spread exploits for kids, claim to be a security community (with no real sense of security on their own servers), and they charge you $6.66 per months to access a dead forum with a directory filled with public releases and outdated / broken services."

Et la 3eme d'avoir voulu jouer les caids...

En tous cas la déculottée est magistrale

sweetSumo , le 9 juillet 2009 à 14:22
@sweetSumo : Tout à fait d'accord avec toi !
Ne pas confondre le ".box.sk" avec le ".com" qui ne sont pas la même chose.

"Qui fait le malin, tombe dans le ravin..."

krug3r , le 9 juillet 2009 à 16:41
@sweetSumo @krug3r : ha, j'ai également confondu astalavista.com et astalavista.box.sk. Du coup, je me dit qu'ils l'a méritaient sûrement leur correction en faite, car les mecs de astalivista.com sont visiblement que de simple imposteurs.

pti-seb , le 9 juillet 2009 à 18:01
Il s'agit uniquement d'une bête attaque brute force... en aucun cas une faille dans OpenSSH
C'est clair c'est des glandus.

Par contre le code pour s'échapper du jail pourrait être sympa à voir

Quand à l'escalade de privilège elle se fait par le prog r00tr00t, sans doute une faille kernel (genre prctl) sinon effectivement ça peut-être un fake.

fdddg , le 11 juillet 2009 à 08:37
Bizarre, ils viennent le pwned imageshacks (un simple bruteforce d'ssh ? Cela me ferait chier...), pour ce qui est de la sortie de jail, plusieurs méthodes peuvent êtres effectives et des scripts existent. (à noter que c'est une 4.5)

Un petit mot pour le SANS : http://tinyurl.com/kr46z6
Pour imagehacks : http://tinyurl.com/magflt

Félix Aimé , le 11 juillet 2009 à 09:11
Intéressant de voir comment ils font même si je suis incapable de 1 %, mais c'est instructif. merci

mapics , le 11 juillet 2009 à 13:36
@Félix Aimé @fdddg : je ne pense pas que ce soit de la brute force uniquement, pour tous leurs derniers hack, le service OpenSSH était en version 4.3 ou 4.5. Après, ils ont peut-être besoin d'un nom de compte valide pour exploiter la faille, ce qui explique les tentatives de brute force et l'utilisation d'un fichier users.txt dans l'exemple ci-dessus.

Enfin, c'est ma théorie.

pti-seb , le 11 juillet 2009 à 14:18
Génial !! J'ai adoré cet article !!
Vraiment classe les mecs. J'aurais fait pareil après tout, les guerres de gangs ce n'est pas uniquement dans les rues

Très pro et très organiser tout de même. On notera leur méthodologie est radicale.
Bon ensuite, niveau expert en sécurité, comme tous le monde le sait, Le cordonnier est toujours le plus mal chaussé. Bon niveau mot de passe ... Grosse erreur. Tout le monde sait qu'un mot de passe puissant doit être de 19 caractère avec les symbole/chiffre et lettre majuscule et minuscule pour être sur a 95% de pas se faire cracker par brute force... Et l'utilisation d'un kernel si vieux ... C'est abusé !!

En tout cas, article très intéressant !!

Merci Seb

SckyzO , le 11 juillet 2009 à 14:21
Super article. Passionnant. Du coup, je suis allé fouiller (un peu) sur ton blog. Z'il est trop bien :d . Flux rss =bookmark ++

CANYON , le 11 juillet 2009 à 15:56
Article excellent

Rydgel , le 11 juillet 2009 à 17:46
très très bonne article

heureux de voir des robins des bois in web (chasser les méchants) pour un court moment

il n'été déjà pas très crédible mais la expert informatique (j'en veut pas)

bonne continuation

1luigi , le 12 juillet 2009 à 00:55
Hihihi. En fait ils ont rendu service à beaucoup de gens. Belle attaque. Respect.

Marc , le 13 juillet 2009 à 14:52