My Shiny Weblog!

programming, photography and lifestyle

За government.bg Ssh червейте и детската порнография

Тези дни реших да си потърся решение на проблема със SSH червейте. Много са досадни, защото ми пълнат логовете с опитите си за кракване на пароли. Така и не намерих готово разумно решение на проблема. За това си направих една PF таблица, където си добавям ръчно IP адресите, които ме сканират. Всякакъв опит за автоматично забраняване на IP адреси след неуспешни опити за влизане в системата създава елементарна възможност за DoS атака. Както си ровех логовете на една машина днес, намерих поредния червей, който прави опити да влиза. Ето извадка от auth.log:

1
2
3
4
5
6
7
8
9
10
11
12
13
14

Dec 18 05:04:05 router sshd[9123]: Invalid user fluffy from 212.122.184.250
Dec 18 05:04:05 router sshd[9125]: Invalid user admin from 212.122.184.250
Dec 18 05:04:05 router sshd[9127]: Invalid user test from 212.122.184.250
Dec 18 05:04:05 router sshd[9129]: Invalid user guest from 212.122.184.250
Dec 18 05:04:06 router sshd[9131]: Invalid user webmaster from 212.122.184.250
Dec 18 05:04:06 router sshd[9133]: Invalid user mysql from 212.122.184.250
Dec 18 05:04:06 router sshd[9135]: Invalid user oracle from 212.122.184.250
Dec 18 05:04:07 router sshd[9137]: Invalid user library from 212.122.184.250
Dec 18 05:04:07 router sshd[9139]: Invalid user info from 212.122.184.250
Dec 18 05:04:07 router sshd[9141]: Invalid user shell from 212.122.184.250
Dec 18 05:04:08 router sshd[9143]: Invalid user linux from 212.122.184.250
Dec 18 05:04:08 router sshd[9145]: Invalid user unix from 212.122.184.250
Dec 18 05:04:08 router sshd[9147]: Invalid user webadmin from 212.122.184.250
Dec 18 05:04:09 router sshd[9149]: Invalid user ftp from 212.122.184.250

Нищо необичайно, типичен SSH червей. Все пак реших да пусна един traceroute, да видя каква е тази машина и какво се каня да сложа в таблицата с нежелани гости. По принцип съм свикнал подобни машини да са някакви хакнати “dedicated servers”, или някакви глупави домашни потребители от западна европа. Проблемът идва от там, че на машините има потребителски достъп, като се използва слаба парола. Това може да бъде избегнато елементарно, като се използва криптографски ключ за автентикация. Този път се изненадах от машината, която е заразена.
1
2
3
4
5
6
7
8
9
10

[root@router ~]# traceroute 212.122.184.250
traceroute to 212.122.184.250 (212.122.184.250), 64 hops max, 52 byte packets
 1  192.168.1.1 (192.168.1.1)  1.112 ms  1.046 ms  1.803 ms
 2  Virtual-ADSL.btc-net.bg (212.39.70.100)  7.874 ms  7.398 ms  7.347 ms
 3  212-39-87-78.btc-net.bg (212.39.87.78)  6.727 ms  6.858 ms  7.085 ms
 4  82-66.btc-net.bg (212.39.66.82)  6.685 ms  7.397 ms  7.097 ms
 5  spnet2mc.spnet.net (212.50.10.122)  7.230 ms  7.547 ms  7.657 ms
 6  mc2spnet.spnet.net (212.50.10.121)  7.645 ms  7.667 ms  7.394 ms
 7  host217-161.mlsp.government.bg (212.122.161.217)  7.670 ms  8.015 ms  8.102 ms
 8  ef.mlsp.government.bg (212.122.184.250)  8.469 ms  8.483 ms  8.261 ms

Мда, освен простотии, цигани, безработни и пенсионери явно от Министерството на труда и социалната политика се отглеждат и SSH червей. То червейчето само по себе си нищо лошо не прави. Като се има предвид, че при всяка една конекция се пресмята Diffie-Hellman handshake, най-много да гори малко повече ток тази машина. Ама какво от това, нали данъкоплатците го плащат. Чудя се дали тази машина не се използва и за нещо по-смислено от разпространение на червей, горене на ток и топлене на времето. Може би пък там има някоя интересна база данни с име и ЕГН на всеки безработен в България. От както е хакната може да има и някой огромен архив с детска порнография. В краен случай, при липса на въображение от страна на ползващите достъпа, може да има просто един spambot, който изпраща милиони писма на ден. Важното е, че там има безплатен достъп за всеки, който го пожелае. Друг интересен момент в историята с government.bg е, че човек по никакъв начин не може да се свърже с компютърно грамотен човек от там, който да отговаря за някакъв вид техническа поддръжка. Във всичките страници на министерства тази информация много старателно и стратегически не е публикувана. Преди време си загубих няколко дни да търся такъв човек, за един много подобен проблем с техни машини. Накрая пуснах едно любезно писмо до 4-5 техни адреса, но разбира се отговор не последва. Дори човек да има най-добри чуства и намерения, и да иска да им помогне да си оправят “лайната” без да се вдига шум, пак не може да го направи. Може би сега, предпразнично трябва да се обадя на някоя неграмотна журналистка, в някоя българска медия. Като и спомена за хакнат правителствен компютър и детска порнография веднага ще и светнат очичките за сензация. Ще изтипосат една първа страница с големи букви и купища технически неверни, измислени факти. Проблемът на този подход е, че тази сензация ще отмине, ще се забрави и от там нататък ще си караме по старо му. И така до следващия хакнат техен компютър. В случая предпочитам да не се занимавам, просто ще взема да се напия предпразнично за да забравя, че живея в тази държава.