Qualcuno ha davvero inserito un iphone o sono questi i sintomi di un tentativo di exploit?

16

Il mio syslog indica che qualcuno ha collegato un dispositivo USB iPhone al mio desktop alle 4 di oggi, per circa 10 minuti. Sto controllando i registri di sicurezza fisica per vedere se c'era qualcuno nella stanza, ma nel frattempo sto cercando di indagare se questi sintomi potrebbero indicare qualche altro tipo di intrusione. Spero di no ...

Qualche altro suggerimento per indagare su questo?

Sistema:

Nome host Linux 2.6.35-28-generic # 40-Ubuntu SMP Fri Mar 18:42:20 UTC 2011 x86_64 GNU / Linux Ubuntu 10.10

Sintomi (il nome host è stato offuscato):

  • Una finestra di dialogo aperta in Gnome che legge "Unable to mount GEORGE's iPhone. DBus error org.freedeskop.DBus.Error.NoReply: Message did not receive a reply (timeout by message bus)" .

  • I seguenti messaggi in /var/log/kern.log. Tutti gli altri messaggi registrati sono normali.

    May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
    May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
    May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
    May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
    May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
    
  • I seguenti nuovi processi. Tutti gli altri processi attuali possono essere considerati.

    root      5519     1 99 04:01 ?        05:24:11 /lib/udev/iphone-set-info
    root      5525   486  0 04:01 ?        00:00:00 udevd --daemon
    root      5526   486  0 04:01 ?        00:00:00 udevd --daemon
    
  • Il processo iphone-set-info ha bloccato un core al 100% di utilizzo. L'ho notato solo dopo aver rimosso fisicamente la macchina dalla rete.

    PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                            
    5519 root      18  -2 50028 2660 2108 R  100  0.0 455:36.10 iphone-set-info  
    
  • I seguenti messaggi in / var / log / syslog. Tutti i messaggi successivi sono normali. Il messaggio php cron è normale.

    May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
    May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
    May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
    May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
    May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: device added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0): no ifupdown configuration found.
    May 18 04:09:01 hostname CRON[5572]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete)
    May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
    May 18 04:12:23 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
    May 18 04:12:23 hostname vmnetBridge: RTM_DELLINK: name:wwan0 index:79 flags:0x00001002
    May 18 04:12:23 hostname avahi-daemon[1175]: Withdrawing workstation service for wwan0.
    May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
    
  • Niente di insolito nella cronologia, cronologia di bash zsh etc per tutti gli utenti

  • Niente di insolito in / var / log / auth

Un dispositivo iPhone non è mai stato utilizzato su questa macchina. Capisco che il dialogo e il nucleo bloccato sono un problema comune quando non è impostato.

Per me, tutte le prove suggeriscono che qualcuno ha collegato un telefono alle 4 del mattino, ma se i registri di sicurezza fisica (schede magnetiche e video) non supportano questa ipotesi, ho bisogno di sospettare qualche tipo di exploit remoto. Qualche altro suggerimento per indagare su questo?

La mia ipotesi è il dispositivo di pulizia collegato al telefono per ricaricarlo per 10 minuti, tuttavia ho preso delle precauzioni per bloccare la macchina.

    
posta Jeromy Evans 18.05.2011 - 04:33
fonte

1 risposta

9

È più comune per le persone avere iPhone che exploit a 0 giorni e lì è più probabile che qualcuno abbia davvero collegato un iphone. Detto questo, è assolutamente possibile sfruttare una macchina tramite USB . In questo caso il modulo del kernel ipheth avrebbe potuto essere sfruttato e non c'è davvero modo di sapere da questo registro, semplicemente non abbastanza informazioni. A volte un exploit di corruzione della memoria esegue il suo shellcode, installa una backdoor e quindi blocca il processo vulnerabile. Si potrebbe vedere un panico del kernel in dmesg, ma ciò non è accaduto. Se l'exploit è scritto bene, il kernel non si bloccherà.

    
risposta data 18.05.2011 - 20:39
fonte

Leggi altre domande sui tag