20.04.2013 | 14:43

Adam Haertle

Zwolniony administrator zostawił rootkita na 2700 serwerach

Jednym z największych zagrożeń dla bezpieczeństwa danych, oprócz hakerów, są osoby, które już dostęp do tych danych mają – czyli pracownicy. Przykładem takiego scenariusza jest historia zwolnienia administratora dużej amerykańskiej firmy hostingowej.

Jak opisuje Ars Technica, Eric Gunnar Gisse, bohater tej historii, pracował na stanowisku administratora systemów w firmie HostGator od września 2011 do lutego 2012. Nie wiemy, za co został zwolniony, wiemy za to, co zostawił po sobie na pamiątkę. HostGator to spora firma hostingowa, obsługująca w 2012 8 milionów domen oraz co najmniej 2700 serwerów. O ile informację o domenach zaczerpnęliśmy z Wikipedii, o tyle ilość serwerów znamy, ponieważ właśnie na tylu maszynach znaleziono tylną furtkę, zainstalowaną przez Erica.

Dzień po zwolnieniu Erica administratorzy firmy odkryli, że proces pcre, na co dzień udostępniający wyrażenia regularne Perla innym programom, posiada zaskakującą funkcjonalność, polegającą na udostępnianiu zdalnego dostępu do serwerów z kilku nieznanych wcześniej lokalizacji. Przeszukali szybko całą sieć firmową i odkryli podstawiony proces na 2723 serwerach. Dalsza analiza wykazała, że proces korzystał z klucza SSH, do którego najwyraźniej dostęp miał Eric, a który umożliwiał zdalny dostęp do konta roota na serwerach www. Eric próbował dostać się do sieci firmy z zewnątrz – prawdopodobnie wtedy odkryto jego podstęp. Jak twierdzi firma, Eric nie uzyskał dostępu do danych klientów – choć było to możliwe.

Kilka dni później administratorzy HostGatora odkryli drugą niespodziankę – zmodyfikowane zostały polecenia ps oraz netstat. Modyfikacja miała za zadanie ułatwić ukrycie obecności nieautoryzowanego użytkownika w systemach firmy. Co prawda działania Erica nie zostały wykryte w trakcie, gdy instalował złośliwe oprogramowanie, jednak jego wina została szybko potwierdzona dzięki zainstalowanemu systemowi monitoringu. Oprócz logowania każdej sesji SSH, system wykonywał co minutę zrzut ekranu wszystkich stacji roboczych. Pozwoliło to szybko ustalić odpowiedzialnego za instalację tylnej furtki. Sprytny administrator wyszedł za kaucją i czeka obecnie na proces.

Budzi zdziwienie fakt, że podmienione pliki na serwerach firmy nie zostały odkryte wcześniej – metody wykrywania tego typu incydentów znane są od bardzo dawna. Na plus HostGatorowi można jednak zapisać fakt odkrycia modyfikacji już następnego dnia po zwolnieniu administratora. Lepiej późno niż wcale.

Powrót

Komentarze

  • 2013.04.20 15:09 Marcin

    „Budzi zdziwienie fakt, że podmienione pliki na serwerach firmy nie zostały odkryte wcześniej […]”

    „Oprócz logowania każdej sesji SSH, system wykonywał co minutę zrzut ekranu wszystkich stacji roboczych.”

    Mnie dziwi, że administrator nie wiedział o tych zrzutach ekranu ;)

    Odpowiedz
    • 2013.04.20 15:10 Marcin

      PS Proponuję dodać powiadomienie mail o nowym komentarzu :)

      Odpowiedz
  • 2013.04.20 17:25 Druy

    Eric juz byl karany za przestępstwo komputerowe.

    Odpowiedz
  • 2013.12.02 18:14 pati

    jesteście głupi bo nikt taki by nie chciał takiej rangi mieć bo byś musiał
    wszystko robić

    Odpowiedz

Zostaw odpowiedź do Marcin

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zwolniony administrator zostawił rootkita na 2700 serwerach

Komentarze