La macchina era stata dichiarata per essere una Debian ma in realta' aveva installato una Ubuntu Server 11.04 base e la macchina sostanzialmente non era mai stata gestita. I primi problemi sono nell'ordine
- apt-get non funzionante quindi impossibile fare gli aggiornamenti di sistema. Peraltro apt-get update (nel caso avesse funzionato) mostrava la necessita' di aggiornare le libc
- non era installato il sistema build-essential quindi era impossibile anche installare programmi da sorgenti
- la macchina aveva solo l'utente root e l'utente di lavoro entrambi con la medesima banale password
- erano esposti senza filtri i servizi sulla porta 22 (SSH permetteva anche il login da root), porta 80 (Apache) 3306 (Mysql) e 21 (FTP)
Eseguendo un iftop la banda era quasi tutta saturata da un traffico in uscita di diverse Megabit su porta 80 verso akamai (un noto servizio olandese a cui si appoggiano su cui si appoggiano praticamente tutti i grandi nomi da Microsoft, Apple, Adobe....), ed un paio di siti cinesi
il primo sito cinese ad una scansione con nmap non dava particolari informazioni mentre il secondo (14.17.x.x) mostrava aperte tutte le seguenti porte (7,9,13,21,22,23,25,26,37,53,79,80,81,88,106,110,111,113,119,135,139,143,144,179 e cosi' via). In pratica il secondo indirizzo sembra essere un honeypot...strano...
usando rootkit hunter non e' stato mostrato niente di strano (tutti i controlli passati)
Memore di un paio di attacchi di 10 anni prima ho provato a cercare delle directory triplo punto (...) in cui erano nascosti file sospetti ma niente. Anche l'occupazione dello spazio disco non mostrava niente di anomalo (ero abituato ad attacchi che installano degli ftp pirata per cercavo l'eventuale directory di upload/download)
Frugando meglio con netstat (netstat -tulpn) mi sono saltate subito all'occhio le chiamate di iptables (vedi immagine sottostante)
ancora di piu' mi e' saltata subito all'occhio la grafia. Non si trattava del normale comando iptables ma di IptabLes (notare le maiuscole!!). in pratica era stato installato un programma da un nome simile ad un legittimo comando nella speranza di nascondersi
Da qui e' partita una breve ricerca che mi ha portato a questo link dove e' spiegato come questo sia un trojan che si installa usando una vulnerabilita' zero day legata ad Apache 2 (il messaggio e' datato maggio 2013)
Leggendo le istruzioni ho trovato i file ospite esattamente dove erano indicati dalla guida
In sostanza il server era usato per effettuare attacchi DDOS verso siti cinesi e verso Akamai
Una analisi completa del programma e' riportata da questo link dove si suppone l'origine cinese
Giusto per vedere se potevo guadagnare un po' di tempo in attesa di mettere su un nuovo server ho provato a killare il programma a mano ed a rimuovere i programmi IptabLes e IptabLex ma il mattino successivo il trojan era di nuovo al suo posto (non avendo potuto aggiornare Apache la macchina era rimasta vulnerabile e probabilmente gli attacchi sono automatizzati)