Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: John Qweerty 26. 01. 2015, 12:14:36

Název: Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 12:14:36
Ahoj,

systém mi komunikuje s adresou 104.129.176.14:443. Chtěl bych zjistit kdo, nebo co, jaká služba s touto adresou komunikuje z mého počítače.
Mám distribuci Ubuntu 10.04.4 LTS.
Při spuštění iptrafu se mi ukáže komunikace s touto adresou.
Lze zjistit co mi z počítače komunikuje, jaká služba, aplikace? A jak to mám zjistit.
Kdyz spustim nmap s dotazem na tuto adresu, tak zjistím otevřený port 22 - OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0), port 443 - https?, port 9999 - abyss
Název: Re:Co se skrývá za adresou 104.129.176.14:443
Přispěvatel: hawran diskuse 26. 01. 2015, 12:26:49
Ahoj,

systém mi komunikuje s adresou 104.129.176.14:443. Chtěl bych zjistit kdo, nebo co, jaká služba s touto adresou komunikuje z mého počítače.
Mám distribuci Ubuntu 10.04.4 LTS.
Při spuštění iptrafu se mi ukáže komunikace s touto adresou.
Lze zjistit co mi z počítače komunikuje, jaká služba, aplikace? A jak to mám zjistit.
Kdyz spustim nmap s dotazem na tuto adresu, tak zjistím otevřený port 22 - OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0), port 443 - https?, port 9999 - abyss

Přes web:
http://whois.domaintools.com/104.129.176.14 (http://whois.domaintools.com/104.129.176.14)

http://linux.die.net/man/1/whois (http://linux.die.net/man/1/whois)
Název: Re:Co se skrývá za adresou 104.129.176.14:443
Přispěvatel: to_je_jedno 26. 01. 2015, 12:35:33
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: JardaP . 26. 01. 2015, 12:46:57
Netstat by mel vypsat, ktery proces s tou adresou komunikuje. Nedivil bych se, kdyby to bylo nejake svinstvo v browseru.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 13:05:35
Z netstat jsem zjistil, že mi to komunikuje s portem 51746.
Z lsof jsem zjistil:
Citace
exe     5364     1000    3u  IPv4 338516      0t0  UDP *:59594
exe     5364     1000    4u  IPv4 318310      0t0  TCP 192.168.1.4:51746->104.129.176.14:443 (ESTABLISHED)

služba, program
Citace
exe
není závislá na prohlížeči, alespoň si to myslím (exe se spouští dříve jak prohlížeč)

Jak zjistím, kde exe je?
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: M. 26. 01. 2015, 13:23:51
No, nemohl by to být Adobe Flash přehrávač?
jimnak i to lsof vypisuje, co je to zač, bude na začátku, sloupec FD=txt třeba.
Název: Re:Co se skrývá za adresou 104.129.176.14:443
Přispěvatel: hawran diskuse 26. 01. 2015, 13:28:05
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14

 :o  >:(  ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Sten 26. 01. 2015, 13:35:44
Z netstat jsem zjistil, že mi to komunikuje s portem 51746.
Z lsof jsem zjistil:
Citace
exe     5364     1000    3u  IPv4 338516      0t0  UDP *:59594
exe     5364     1000    4u  IPv4 318310      0t0  TCP 192.168.1.4:51746->104.129.176.14:443 (ESTABLISHED)

služba, program
Citace
exe
není závislá na prohlížeči, alespoň si to myslím (exe se spouští dříve jak prohlížeč)

Jak zjistím, kde exe je?

/proc/PID/exe. PID je v tomto případě 5364.

Je to nějaká podivná služba. Maskuje se jako HTTPS, ale není šifrovaná (na TLS hlavičku zavře spojení). Tipuju to na nějaký farm controller.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: JardaP . 26. 01. 2015, 13:39:46
Jak zjistím, kde exe je?

ps aux rika co?
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 14:01:27
používám KDE
Alt+F2 -> výpis uživatelských procesů
název procesu exe -> PID

Citace
ps aux
3171  0.0  0.0    288   156 ?        S    13:40   0:00 kdeinit4

v čase 13:40 byl spusten i CRON

Citace
crontab -l
*/10 * * * * sh -c "/home/tupohlav/.config/kdeinit4 &"

(teď se mi zdá, že to má souvislost s firefoxem, který používám )
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 14:05:47
když nebudu skrývat lokálního usera, tak
lsof mi říká toto

Citace
exe       3171   tupohlav  cwd       DIR        8,7      4096 3457044 /home/tupohlav/.config
exe       3171   tupohlav  rtd       DIR        8,5      4096       2 /
exe       3171   tupohlav  txt       REG        8,7     36864 3605905 /home/tupohlav/.config/kdeinit4
exe       3171   tupohlav  mem       REG        8,7      4096 3460852 /home/tupohlav/.config/tempfile-x11sessioncache
exe       3171   tupohlav    0u      REG        8,7      4096 3460852 /home/tupohlav/.config/tempfile-x11sessioncache
exe       3171   tupohlav    1w     FIFO        0,8       0t0   73285 pipe
exe       3171   tupohlav    2w     FIFO        0,8       0t0   73285 pipe
exe       3171   tupohlav    3u     IPv4      75119       0t0     UDP *:45337
exe       3171   tupohlav    4u     IPv4      74532       0t0     TCP 192.168.1.4:50925->104.129.176.14:https (ESTABLISHED)
exe       3171   tupohlav    5r      CHR        1,9       0t0    5347 /dev/urandom

Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: JardaP . 26. 01. 2015, 14:25:38
Tak znovu:

netstat -naptu   ..... v pravo mate PID/jmeno programu

ps aux|grep prislusny_PID

Co je vysledkem?
Název: Re:Co se skrývá za adresou 104.129.176.14:443
Přispěvatel: to_je_jedno 26. 01. 2015, 14:26:06
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14

 :o  >:(  ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
hele tohle mi vyjelo jako prvni v google na dotaz "geoip" a zajimavy na tom je to, ze to vysledky neukazuje pro tuhle IP, ale jinak u vsech ostatnich ano.
Název: Re:Co se skrývá za adresou 104.129.176.14:443
Přispěvatel: hawran diskuse 26. 01. 2015, 14:34:54
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14

 :o  >:(  ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
hele tohle mi vyjelo jako prvni v google na dotaz "geoip" a zajimavy na tom je to, ze to vysledky neukazuje pro tuhle IP, ale jinak u vsech ostatnich ano.

(https://img1.etsystatic.com/047/0/6220313/il_340x270.669711621_hl28.jpg)

 ;D
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 14:43:13
to bude tim ze jde o ip nevada-area51 a jdou po nem bud proto ze je mimozemstan, mimozemstana ukrejva, nebo proto ze ma nebezpecne username ktere nabada k uprave strel, kazdopadne je nebezpecnej i kdyz mozna je to jen spici agent, ucet tu ma 5let a jen 6 prispevku z toho vetsina v tomto vlakne... taky muze jit jen o viral pro novej dil filmu Johny English tomu by odpovidalo zakodovane root username...
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Ondřej Caletka 26. 01. 2015, 14:46:24
crontab -l
*/10 * * * * sh -c "/home/tupohlav/.config/kdeinit4 &"
A tenhle záznam do crontabu jsi zadával, nebo ne? Rozhodně není normální, aby se cronem každých 10 minut pouštělo nějaké kdeinit4, ještě k tomu z .config. Spíš to vypadá na nějaký malware.

Ještě než to smažeš, někam to zálohuj, třeba to bude zajímavé prozkoumat.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 15:01:55
s jistotou vím, že jsem nic do crontabu nezadával
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Dzavy 26. 01. 2015, 15:05:05
Tyvoe tohle je diagnostika na dlouhy lokte...mame Ti napsat, at se do toho /home/tupohlav/.config/kdeinit4 podivas a pripadne sem pastnes obsah nebo na to prijdes sam?
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 15:12:04
a kde ten soubor najde ? a jak se do nej podivat ? a co je to pastnout ? podle me jsi dal malo a jeste nepresne informace :D
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 15:21:52
soubor kdeinit4 mam, ale nevim jestli by to slo sem dat, ma velikost 36 KiB, navic je to spustitelny binarni soubor

asi tak
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 15:36:05
kontrolni otazka... porad to mas v crontab ?
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: JardaP . 26. 01. 2015, 15:39:47
soubor kdeinit4 mam, ale nevim jestli by to slo sem dat, ma velikost 36 KiB, navic je to spustitelny binarni soubor

asi tak

Kristova noho, zazipuj to s heslem, hod na uptobox nebo nekam, dej sem heslo a odkaz.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Jenda 26. 01. 2015, 15:41:25
To vypadá na backdoor. Možná by mohlo být zajímavé se na to kouknout - zejména pokud ti to tam třeba dal někdo cizí.

Nahraj to třeba na nějaké Uložto, jestli nemáš kam jinam to dát, nebo mi to pošli mailem na jenda z hrach.eu a já to vystavím a koukneme na to.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Jenda 26. 01. 2015, 15:50:37
A můžeš přihodit i /home/tupohlav/.config/tempfile-x11sessioncache, takový soubor by také neměl být spouštěný - nejspíš si to stáhlo payload.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 15:58:15
pro zacatek si to vyhod z crontab a killni ;)
crontab -r
kill -9 3171
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Jenda 26. 01. 2015, 16:01:21
Přišlo, díky.

Je to zabalené UPXkem, zkusím rozbalit.

d0594e62ff898e36ea6fb6079d8eedd0143ea06f  kdeinit4

http://jenda.hrach.eu/f/kdeinit4-backdoor
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Jenda 26. 01. 2015, 16:08:03
virustotal: https://www.virustotal.com/cs/file/baa32583e4e041de14effbb93ad39971c358cb7ae570f2c285e16db49bc2cf4f/analysis/1422284635/

Po rozbalení to podle strings obsahuje nějaké torové adresy (kpvzqvzyooocvs7u.onion, luyvu4fv3d7q4ih6.onion).

Spíš by bylo zajímavé zjistit kde jsi to chytil :)
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 16:12:17
mozna s nejakou paverzi bitcoin clienta ? backdoor-linux-bew-a-et-client-bitcoin (https://translate.google.com/translate?hl=cs&sl=fr&tl=en&u=http://www.malekal.com/2014/03/backdoor-linux-bew-a-et-client-bitcoin)
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 16:14:54
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system

Nevim kde jsem to chytil, ani nevim kdy. Vsiml jsem si toho az dnes pri sledovani komunikace v iptraf.
Naposledy jsem instlaloval doplnky do firefoxu na ukladani videa z you tube.

Rad bych zjistil kde jsem se zavsivil.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 16:20:07
i kdyz se mohl maskovat, zkus se podivat na datum/cas souboru a srovnat to s tim firefox doplnkem, zrovna ff doplnek na tahani yt videa je idealnim adeptem na backdoor :) nebo dohledat podle data/casu dalsi soubory...

btw: na to ze byl detekovan uz nekdy 2013/06 je s podivem ze na dotaz crontab ".config/kdeinit4" (https://www.google.cz/search?q=crontab+%22.config%2Fkdeinit4%22) je jen 1 vysledek
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 16:27:56
ty doplňky mě napadly už když jsem zakládal téma diskuse a již jsou zakázané a odinstalované
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Jenda 26. 01. 2015, 16:34:36
i kdyz se mohl maskovat, zkus se podivat na datum/cas souboru a srovnat to s tim firefox doplnkem
V tom taru co mi poslal má ten soubor 2015-01-26 15:02, takže se to možná samo aktualizuje a tím si čas přepíše.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 16:38:22
ne ten cas/datum souboru je moji zasluhou, vse jsem si kopiroval, zalohoval do jednoho adesare. Takze za to muze prikaz cp
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 16:44:56
tak priste zachovej cas/atributy ;)
cp -a odkud kam

kdyz koukam dovnitr, tak zkoukni:
/etc/services
/etc/resolv.conf
/etc/passwd

a jedna z tech tor address smeruje na hiden wiki kde je mozne koupit usa pas/ridicak, uk pas, drogy, zbrane..., takze bacha na cervene svetelka na obleceni ;)
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Neviditelný 26. 01. 2015, 16:45:52
Já bych asi kontaktoval UltraVPS.com, určitě by je zajímalo, co za smetí jim to běží na VPSkáćh. Podle IP to vypadá na server v jejich datacentru v Las Vegas

Kód: [Vybrat]
# geoiplookup 104.129.176.14                                                 
GeoIP Country Edition: US, United States
GeoIP ASNum Edition: AS53340 VegasNAP, LLC

Kód: [Vybrat]
# dig -x 104.129.176.14

; <<>> DiG 9.9.6-P1-RedHat-9.9.6-6.P1.fc21 <<>> -x 104.129.176.14
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55492
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;14.176.129.104.in-addr.arpa.   IN      PTR

;; AUTHORITY SECTION:
176.129.104.in-addr.arpa. 8544  IN      SOA     ns1.ultravps.com. admin.ultravps.com. 2014110858 28800 7200 604800 86400

;; Query time: 11 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Po led 26 16:43:09 CET 2015
;; MSG SIZE  rcvd: 114
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: JardaP . 26. 01. 2015, 17:05:35
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system

Asi bych pod rootem vymazal z domovskeho adresare vse, co lze ozelit, tedy vse, krome osobnich dat, zalozek FF a tak.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 18:00:02
Hledám podle data a času a stejné datum mají další soubory, zajímavý je

Citace
.tar

, měl atribut pro spustění * a byl skrytý ., umístění měl v /home/tupohlav/, atribut pro spuštění jsem odstranil. Posílám  na hrach

Kde jsem to chytil, ach jo.
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: frnk 26. 01. 2015, 18:05:58
pro zajímavost, jaký je sha256sum toho původníko binárního souboru?
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: John Qweerty 26. 01. 2015, 18:18:24
sha26sum /home/tupohlav/.config/kdeinit4

Citace
baa32583e4e041de14effbb93ad39971c358cb7ae570f2c285e16db49bc2cf4f 

výpis souborů vytvořených ve stejný čas

(http://files.uloziste.com/670711ef30237e2d/kdeinit4.jpeg)
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: frnk 26. 01. 2015, 18:27:34
.. tak to jste chytil kdeinit4-backdoor aka Trojan.Linux.Bew
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: hovado 26. 01. 2015, 18:45:08
Jak se to tam mohlo dostat? Pres doplnek v prohlizeci?

Nebo jste mel smulu a navstivil stranku, kde bezel nejaky dobry exploit pack. Proti tomu se da poradne branit jen necim jako NoScript co zakazuje  javascript, flash, javu  takze vam web skoro nepujde :D
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 18:53:21
.. tak to jste chytil kdeinit4-backdoor aka Trojan.Linux.Bew

a to vis ze si nasel scan kterej nechal delat Jenda (http://forum.root.cz/index.php?topic=10546.msg119195#msg119195) a takto ten soubor sam prejmenoval ? ;)
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: randolf 26. 01. 2015, 19:57:23
Z crontabu jsem to uz davno smazal. Nejspis zmenim i hesla a mozna cely system

Asi bych pod rootem vymazal z domovskeho adresare vse, co lze ozelit, tedy vse, krome osobnich dat, zalozek FF a tak.

hmm... cely system asi neni potreba, ale ja bych asi pro jistotu smazal komplet home adresar toho uzivatele, pripadne se rucne probral obsahem a posoudil, co je a co neni legitimni.
Hesla urcite zmenit (na stroji i online, pote, co se ho zbavite), kdo vi, jestli to nema v sobe keylogger.

Randolf
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 26. 01. 2015, 20:43:23
pokud bude menit hesla s tim ze mohl byt keyloger, je nutno predpokladat ze by system mohl byt napaden...
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: Jenda 27. 01. 2015, 00:00:50
A ještě ten .tar

853287b5380c414a938bd53ddd9923a5c5b12fa18809b3e8c927530391bf043e  .tar

http://jenda.hrach.eu/f/kdeinit4-backdoor-tar
Název: Re:Co se skrývá za neznámou adresou?
Přispěvatel: nobody 27. 01. 2015, 01:13:29
.tar vypada ze je busybox s httpd - takze mohlo slouzit jako webserver (pokud byla verejna ip), ssh server(dropbear?) v tom snad neni takze protunelovane bez verejne ip snad nehrozilo...