Én magam is boldog tulajdonosa vagyok egy Asus WL-500g típusú routernek (amin természetesen Oleg firmware fut), és sokszor menedzselem távolról ssh-n keresztül. Sajnos a routerre nagy számban próbálkoznak betörni ssh-n keresztül (tudom, tudom a portáthelyezés sok mindent megoldana de én már csak ilyen mazochista vagyok) és szerettem volna ezeket betörési kísérletek jobban megfigyelni, elemezni.  Eme apropóból született egy kis scriptgyűjtemény, ami képes elvégezni ezt a feladatot, igazodva a router által biztosított szerény körülményekhez. Mindezen scripteket csak hobbiból írtam, kezdetben csak saját magam számára és később jutott eszembe, hogy megosztom másokkal is, hátha hasznosnak bizonyul. Ebből következőleg ez nem egy professzionális alkalmazás, így lehetnek benne hibák, és a tesztelése is csak egy szűk platformon történt meg. A scriptek szabadon módosíthatóak és mindenki saját igénye (és rendszere) szerint átalakíthatja őket, mindehhez nem szükséges más mint némi python ismeret és elszántság.

Egy kis ismertető

Némi gondolkozás után úgy döntöttem, hogy a scripteket Python-ban írom meg, mivel ez szinte minden ilyen típusú firmwaren elérhető (OpenWRT, Oleg stb.), így nem kell vesződni fordítással és egyéb nyalánkságokkal.

Fontos tudnivaló, hogy a scriptek használnak olyan eszközöket, melyeknek a megértése némi utánjárást igényel  (például iptables) és az egyéb szükséges szoftverek használata sem feltétlen triviális mezei halandó számára. Így hát a használatát inkább csak a barkácsolást szerető és a linuxhoz valamennyi értő emberkéknek javasolt (bár ha valaki már nem a gyári firmwaret használja a routerén, akkor valószínűleg kedveli az efféle elfoglaltságokat).
Na de lássuk is inkább, hogy mire képes ez a scriptgyűjtemény (ha már ilyen hangzatos nevet adtam neki ):

• Elemzi az ssh daemon logjait, amit stílszerűen syslog-ng naplóz (hogy miért pont syslog-ng kicsit később)
• Kiszűri a hibás bejelentkezési próbálkozásokat, amiket egy sqlite adatbázisba gyűjt (későbbi elemzés céljából)
• Kiegészítő pluginek révén képes automatikusan kitiltani a behatolók ip címeit (iptables segítségével)
• HTML oldalt generálni az adatbázisból

A script használatához szükséges néhány kiegészítő szoftvert is feltenni a routerünkre:

• OpenSSH (ez fontos, mert a script az OpenSSH szerver által generált logüzenetekre ugrik, a gyári Dropbear ssh szerverrel nem teszteltem, bár az iss.py-ban átírhatók az illeszkedés feltételei)
• Python (>=2.5)
• syslog-ng (ez egy igen hasznos és sokat tudó naplózó program, ami több olyan funkcióval is rendelkezik, amit én aktívan használok és a logok elemzését az általa naplózott logokon teszteltem. Ami fontos, hogy a script a logokban az összetartozó OpenSSH logüzeneteket az “sshd[PID]” forma alapján keresi, tehát ha nem syslog-ng-vel hanem a gyári sysloggal naplózunk akkor ilyen formában kell naplóznia ezeket az üzeneteket.)

Illetve néhány opcionális program (ezek nem kötelezőek, de a script futásához jól jöhetnek és jó eséllyel már más miatt feltettük a routerünkre):

• Cron (az időzítéshez, http://asus.ebond.hu/2008/07/30/oleg-firmware-telepitese-8resz-cron/)
• lighttpd (ha szeretnénk a routerünket webszerverként használni és rajta megtekinteni a script HTML kimenetét, http://asus.ebond.hu/2008/07/28/oleg-firmware-telepitese-5resz-lighttpd/)
• sqlite3 (ha ismerjük az SQL-t és szeretünk “látványosan” kézzel mókolni az adatbázisban)

Ezen programok többsége viszonylag könnyedén feltehető a routerünkre így (lásd még a fenti tutoriálokat illetve a következő fejezetet):

ipkg install openssh python2.6 syslog-ng cron sqlite3

ISS telepítése

Ezután töltsük le a tar.gz fájlt ami tartalmazza a scripteket.

• Intrusion Scanner System (247)

Hozzunk létre egy tetszőleges könyvtárat a routeren és csomagoljuk ki ide:

mkdir /opt/usr/local
tar xvzf intrusion-scanner-system-1.0.tar.gz -C /opt/usr/local

Ezután a scriptek a /opt/usr/local/intrusion-scanner-system könyvtárban találhatóak meg. Ami nagyon fontos, hogy a kicsomagolt python scriptekben írjuk át a python bináris elérési útvonalát ha ez szükséges (itt a #!/opt/bin/python2.6 típusú kezdősorokra gondolok, ha más a bináris neve vagy máshol van az elérési útvonala).

Ha nem találjuk a binárist, azt a következőképp tudjuk megkeresni: “find / -name python” (vagy a which parancs segítségével ha  az telepítve van a routerre, akkor “which python“)

A run.sh fájlban szintén írjuk át az elérési útvonalakat ha ez szükséges. Ezek után már csak egy apróság szükséges (de ez nem kötelező), állítsuk be a syslog-ng-nek hogy a létrehozott logfájlok dátumpecsételve legyenek (így megspóroljuk a cron-os logmozgatást). Erre azért van szükség, mert az elemző script mindig a teljes logfájlra fut le, így nem árt ha naponként rotáljuk a logfájlokat és mindig a legaktuálisabbra futtatjuk le (elkerülve így a duplikált működést, és a túl sok erőforrás lekötését a túl nagy logfájl elemzésére). Ehhez a következő konfigurációs változás szükséges a syslog-ng.conf fájlban (ami nálam a /opt/etc/syslog-ng/syslog-ng.conf-ban található):

A scriptekhez mellékeltem még egy run.sh nevü shell scriptet is, ami gyakorlatilag csak annyit csinál, hogy sorrendben lefuttatja az egyes scripteket. Ennek futását célszerű cronnal időzíteni (ezért kell a cron nekünk, de ez szintén nem szükséges), amihez a következő kiegészítést kell tenni a crontab fájlban (vagy a cron.d könyvtárban egy tetszőleges nevü fájlban):

15 0 * * * root /opt/usr/local/intrusion-scanner-system/run.sh >> /opt/var/log/iss-message 2>&1

Ez szimplán csak annyit csinál, hogy minden nap 00:15-kor lefuttatja a run.sh-t, a kimenetét pedig beleirányítja a megadott fájlba (ez akkor jön jól ha valamiért hiba történik a futása során).

Az ISS használata

Mindegyik python scripthez tartozik súgó, ami a –help opcióval csalogatható elő. A mellékelt README fájlban pedig részletesen ki van fejtve hogy melyik script mit csinál pontosan.

Help megtekintése

Én most csak egy gyakorlati példán keresztül szeretném bemutatni a használatát. Tételezzük fel, hogy már van néhány próbálkozási kísérlet a log fájlban.  Ekkor a teendőnk:

./iss.py -d test.db -m all 2009-03-10-messages

Ebben az esetben annyi fog történni, hogy a script feldolgozza a megadott messages fájl tartalmát, kigyűjti mind a próbálkozók ip címét, mind a próbált login neveket, és az adatokat a test.db nevű sqlite3 adatbázisba írja. Az adatbázis tartalma könnyen megtekinthető:

[pzolee@WL-001FC68CFF43 intrusion-scanner-system]$ sqlite3 test.db
SQLite version 3.6.11
Enter “.help” for instructions
Enter SQL statements terminated with a “;”
sqlite> select * from addresses;
1|2009-03-11|189.19.206.13|50
2|2009-03-11|62.68.63.14|15
3|2009-03-11|140.136.150.114|6
sqlite>
sqlite> select * from names;
1|2009-03-11|root|61
2|2009-03-11|oracle|4
3|2009-03-11|postgres|2
4|2009-03-11|test|1
5|2009-03-11|nobody|1
6|2009-03-11|patrick|2

Két tábla fog létrejönni (ezt a .tables paranccsal tudjuk lekérdezni, illetve a .schema mondja meg a táblák oszlopait), az egyik az ip címeket tartalmazza, a másik a neveket.  Az első oszlop egy azonosító, a második mindig a feldolgozás dátumát tartalmazza (ez fontos, nem a logba kerülés időpontját, hanem a script lefutásának idejét, ezért sem árt naponta futtatni), a harmadik oszlop az ip címet vagy login nevet, és végül a negyedik oszlop az előfordulások számát. SQL-t  ismerők számára így tetszőleges lekérdezések összeállíthatók, sőt az adatbázis könnyedén átmásolható másik gépre is (lévén csak 1 db fájl) és ott is elemezhető. SQL-hez kevésbé értőknek néhány példa:

select sum(db) from addresses; #megmondja az összes próbálkozási kísérletek számát
select count(*) from names; #megszámolja az összes bejegyzést (bár ez az id-ból is kitalálható)
select * from addresses order by db asc; # növekvő sorrendbe teszi előfordulási gyakoriság szerint

Ha szeretnénk HTML formában is feldolgozni, akkor futtasuk le az iss-genhtml.py plugint. Ez az adatbázisból egyszerű HTML táblázatos formában készíti el a fenti listát:

./iss-genhtml.py -d test.db addresses.html names.html

Fontos tudni, hogy mindig az első HTML fájlba fognak kerülni az ip címek és a másodikba a login nevek (nem véletlenül neveztem el őket így).

IP címek HTML formában

Felhasználói nevek HTML formában

És végezetül, a második plugin, ami felolvassa az adatbázist, és a meghatározott paraméter alapján (minimális előfordulás szám) iptables segítségével kitiltja a megadott ip-ket. Csak hozzáértőknek javasolt használni:

./iss-iptables.py -d test.db -m gen -l 10

a “-m gen” opció azt mondja meg hogy le szeretnénk generálni az iptables szabályokat (-m clean pedig törli a meglévőket, de csak a script által létrehozottakat), a “-l 10″ hogy csak azokra az ip címekre hozzon tiltó szabályt, amiknek az előfordulása meghaladja a 10-et (egy feldolgozásra vonatkoztatva).

A lefutása után pl. ilyen iptables szabályokat kaphatunk:

[pzolee@WL-001FC68CFF43 intrusion-scanner-system]$ ./iss-iptables.py -d test.db -m gen -l 1
[pzolee@WL-001FC68CFF43 intrusion-scanner-system]$ iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  –  140.136.150.114      anywhere           tcp dpt:ssh
DROP       tcp  –  62.68.63.14          anywhere           tcp dpt:ssh
DROP       tcp  –  mail.amboretto.com.br  anywhere           tcp dpt:ssh

A “-m clean”-re pedig kitörli ezeket a DROP sorokat (de csak ezeket).
Vigyázzunk arra, hogy sok IP cím esetén nagyon sok szabály keletkezhet, így ilyenkor egyszerűbb az iptables alapértelmezett szabályát DROP-ra állítani és inkább csak a nekünk szükséges címeket engedélyezni és kihagyni a plugin használatát (illetve az én saját tapasztalataim alapján ritkán próbálkoznák ugyanarról az IP cimről több alkalommal, inkább csak egy alkalommal de akkor sokat).

SSH logüzenetekről részletesebben

Utolsó fejezetként már csak egy kis ismertetőt tartanék az OpenSSH által generált logokról, amik hibás bejelentkezés során keletkeznek. Ezen logok általában így néznek ki:

Feb 12 08:29:10 src@WL-001FC68CFF43 /opt/sbin/sshd[514]: Invalid user test from 79.173.101.136
Feb 12 08:29:10 src@WL-001FC68CFF43 /opt/sbin/sshd[514]: input_userauth_request: invalid user test
Feb 12 08:29:10 src@WL-001FC68CFF43 /opt/sbin/sshd[514]: Failed password for invalid user test from 79.173.101.136 port 58880 ssh2
Feb 12 08:29:10 src@WL-001FC68CFF43 /opt/sbin/sshd[514]: Received disconnect from 79.173.101.136: 11: Bye Bye

Ez a 4 sor összetartozik, mivel a PID (514) megegyezik, tehát ugyanahhoz a sessionhoz tartoznak. Az ssh szerver sorban ellenőrzi az egyes authentikációs metódusokat, mint az ebben az esetben is látható. A fenti példában egy nem létező felhasználói névvel jött a próbálkozás, amihez értelemszerűen a jelszó sem érvényes. A logok elemzése abból a szempontból problémás, hogy ez a 4 sornyi üzenet egy próbálkozást jelentett és nem négyet. Természetesen ez lehet ennél bonyolultabb is, mivel az ssh általában támogatja a kulcsos és jelszavas authentikációt is, így ezek bármelyike lehet hibás, miközben egy későbbi metódus pedig sikeresen és persze ezek minden kombinációja.

Feb 13 12:53:51 src@WL-001FC68CFF43 /opt/sbin/sshd[731]: Failed keyboard-interactive for test from 192.168.20.1 port 53334 ssh2
Feb 13 12:53:59 src@WL-001FC68CFF43 /opt/sbin/sshd[731]: Accepted password for test from 192.168.20.1 port 53334 ssh2

Ez a példa pedig azt mutatja hogy túloldalnak nem sikerült az első authentikáció, de végül a jelszavas igen.

Nos, remélem sikerült érthetően bemutatnom a scriptgyűjtemény használatát és hasznos eszköz lesz mindenki számára aki használja. Természetesen az adatbázis használatára tetszőleges kiegészítő készíthető, például php modul dinamikusan generált html oldalhoz vagy esetleg muninhoz kiegészítő. A felhasználó barátság sajnos nem igazán lett még jól megvalósítva, mivel elég kevés időm volt rá, és nem is igazán szerettem volna belemélyedni a html és php rejtelmeibe.

PZolee

Join the forum discussion on this post - (3) Hozzászólások

• filemanager 1 vagy FileManager1
• filemanager 2 vagy FileManager2

És mivel azt ígértem, hogy a telepítés egyszerű lesz, nincs is más dolgunk, minthogy a két zip file-t kicsomagoljuk a www root alá, ami alapesetben az /opt/etc/samba/Share/www. Ezután már használhatjuk is böngészőnkből a filemangereket. Elérésük HTTPS-en keresztül a következő:

• https://my.router/filemanager1
• https://my.router/filemanager2

Kiegészítésként még annyit, ha valaki az általam készített image file-okat használja, akkor letöltheti ezt az index.htm file-t, és ezzel írja felül az /opt/etc/samba/Share/www alatt lévő index.htm-et, így a főmenüben is megtalálja majd a két új alkalmazást.

• index.htm vagy Index.html.zip

Join the forum discussion on this post - (1) Hozzászólások

• A Disk Image fileok, amiket letölthetsz:
  http://data.hu/get/1215613/WL-500GP-V2.ZIP.html
  vagy
  ASUS WL-500g Premium V2 Disk Image File & FlashFS Backup
• És a program, amivel visszaállítod a fileokat (Symantec Ghost). Ennek beszerzését mindenkire egyénileg rábízom

Én a Symantec Ghost Corporate Edition 11.5 verziót használtam, de nem hiszem, hogy csak ezzel működne.

A WL-500GP-V2.ZIP tartalma:

• WL500g.PremiumV2.tar.gz:
  Ez a FlashFS mentése, de mint már írtam, jelenleg csak egy nehezék a csomagban, nem kell róla tudomást venni.
• 1-opt.gho
  Az első partíció, Mérete 1 GB
  Ez majd az /opt mappába lesz csatolva.
• 2-swap.gho
  A swap partíció. Mérete 512 MB
  Létrehozhatod manuálisan is nem kell feltétlen az image file-t használni.
• 3-share.gho
  A harmadik partíció. Mivel ez egy pendrive-ról készült image, így ennek mérete mindössze 2GB körül van, de lehet nagyobbra is csinálni, ha van hely a cél lemezen. Minél nagyobb, annál jobb, mert ide lesznek letöltve a torrentek pl.

Amit tartalmaz:

• dropbear
• samba
• lighttp (https, autentikáció)
• rtorrent & WebUI
• wget & Mwget WebUI
• Midnight Commander
• cron
• vnstat
• AEGA

Az összeállítás többnyire r0by leírása alapján készült, de van amit más forrásokból tettem hozzá.

Akkor essünk neki…

Először is üzemeljük be a Ghost-ot, nyissuk meg az első (1-opt.gho) image file-t, és másoljuk a használni kívánt lemezre. A Ghost menüjében ez nagyjából így néz ki: Local -> Partition -> From Image, ezután kiválasztod a cél lemezt, és innen már a szokásos OK, OK, Next, Next… Ha ezzel végzett, akkor járjunk el hasonlóképpen a másik két particióval is (2-swap.gho, 3-share.gho).

Az eredeti tervek szerint itt a Flashfs visszaállítása következne a router webadmin felületén, de a visszajelzések sajnos azt támasztották alá, hogy ez az apró részlet sajnos nem működik megfelelően, így kénytelenek leszünk kézzel létrehozni azt a pár dolgot, ami a flashben van tárolva.

Tehát csatlakoztasd a meghajtót a routerre, majd egy újraindítás után lépj be TELNET-en a saját felhasználóneveddel, és jelszavaddal, majd add ki a következő parancsokat:

mount /dev/discs/disc0/part1 /opt

Ezzel elvileg mountoltuk az első particiót az opt mappába. Ha ez megvan, akkor a következő legyen a:

vi /usr/local/sbin/post-boot

Ezután nyomd meg az I betűt (mint Insert), majd pötyögd be az alábbiakat, vagy pedig jelöld ki, és jobb klikkel be tudod illeszteni a PUTTY ablakba:

Ha készen van, akkor nyomd meg az ESCAPE billentyűt, majd írj be egymás után egy kettőspontot, egy w betűt, egy q betűt, és egy ! jelet, majd nyomj ENTER-t.
Tehát a sorrend pontosan: ESCAPE : w q ! ENTER
Ezzel a post-boot meg is lenne, most hasonlóan a post-firewall-t is be kell tenni.

vi /usr/local/sbin/post-firewall

Itt ismét egy I betű következik…

ESCAPE : w q ! ENTER
Még két parancs van hátra,

flashfs save && flashfs commit && flashfs enable

reboot

Ha mindez készen van, akkor elértük azt amit a flashfs file betöltésével kellett volna eredetileg.
Folytassuk is tovább, generáljunk kulcsokat az SSH-hoz, és a HTTPS-hez. TELNET-eljünk be ismét, és írkáljuk be az alábbiakat:

mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_host_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_host_key
flashfs save && flashfs commit && flashfs enable

cd /opt/var/run
openssl req -new -x509 -keyout lighttpd.pem -out lighttpd.pem -days 3650 –nodes

Itt kérdezni fog néhány dolgot, amire válasznak elég egy-egy ENTER.
Ha készen van indítsd újra a routert:

reboot

Mostmár működnie kell az SSH-nak, és HTTPS-nek is. Az alapértelmezett név/jelszó a HTTPS-nél, admin/admin amit célszerű megváltoztatni. Ezt akár MC-vel is megteheted az /opt/etc/lighttpd/.passwd file szerkesztésével.

Lighttpd elérése: https://my.router vagy https://asus

Remélem lesz akiken segíteni fog, sok sikert hozzá!

Intruder2k5

Join the forum discussion on this post - (3) Hozzászólások

vi /usr/local/sbin/post-boot

Majd a következő sort:

/usr/sbin/dropbear

cseréljük le, illetve bővítsük erre:

/usr/sbin/dropbear -p 57000

A -p utáni portszám bármi más lehet, de persze lehetőleg olyan, amit még nem használ másik démon vagy folyamat.
Ha megvagyunk, akkor ne felejtsük a flash-ben rögzíteni a változtatásokat, valamint a végén kell egy reboot is, hogy érvénybe lépjenek a változtatások:

flashfs save && flashfs commit && flashfs enable && reboot

Az újraindulást követően már az új porton, vagyis jelen esetben az 57000-esen kell ssh-n csatlakoznunk.
Ha pedig kiadjuk a ps -ax parancsot, akkor hasonlót kell látnunk:

Openssh-t használóknak sincs túl sok tennivalójuk, csak nekik az /opt/etc/openssh/sshd_config állományt kell szerkeszteni, méghozzá a

#Port 22

helyett

Port 57000

kell írni.
Természetesen az újraindítás itt szükséges.

És végül ne felejtsük a tűzfalat sem hozzáigazítani az új portszámhoz!

Join the forum discussion on this post - (1) Hozzászólások

ipkg install openssl

Ezután le kell gyártanunk a kulcsot az /opt/var/run könyvtárba.

cd /opt/var/run
openssl req -new -x509 -keyout lighttpd.pem -out lighttpd.pem -days 3650 -nodes

Pár szösszenet után meglesz a kulcsunk, utána pedig pár kérdésre kell válaszolnunk. A biztonság miatt nem érdemes megadnunk könnyen beazonosítható adatokat. Csak simán végig enterezhetjük a sorokat.
Most kb. valami ilyet kell látnunk:

Most nyissuk meg kedvenc szerkesztőnkkel a lighttpd.conf állományt szerkesztésre.Adjuk hozzá az alábbi pár sort:

Pár szó a fenti sorokról:

• ssl.pemfile : ide az első lépésben legyártott kulcsunk elérési útját kell megadnunk
• server.document-root: ez lesz a document root, amit majd a https alól látni szeretnél
• Ha valami nem világos, akkor érdemes meglátogatni az alábbi oldalt :lighttpd ssl docs

Most indítsuk újra a lighttpd-t, hogy érvénybe lépjenek az új beállításaink:

/opt/etc/init.d/S80lighttpd restart

Ha sikeresen elindult, akkor adjuk ki a következő parancsot:

netstat -l | grep https

Ha ilyen kimenetet látunk, akkor minden oké, a lighttpd kész a https kapcsolat kiépítésére:

De azért győződjünk meg róla, írjuk be a böngésző címsorába:

https://asus

Az asus helyett mindenki a sajátját írja be.
Ha ilyesmit látunk Firefox alatt, akkor jól dolgoztunk:

Most már nincs más hátra, a tűzfalon is engedélyezni kell a 443-as (https) portot, ha kívülről is el szeretnénk érni; az alábbi két sor hozzáfűzésére lesz szükség:

Join the forum discussion on this post - (1) Hozzászólások