Hardware y software

Problema de seguridad con Teamviewer

preguntitas
preguntitas #1 Abr '16 Cofrade

"Buenas" tardes,

Esta mañana me ha dado el día un chino cabrón. Se me ha colado en mi querida Debian 8 usando el teamviewer .

En mi trabajo, yo soy el único que toca el ordenador, mi jefe es alérgico a la tecnología, y como hoy en día todo hay que hacerlo desde un pc, y en muchas ocasiones no me encuentro físicamente allí, se me ocurrió instalar el teamviewer para conectarme remotamente desde el móvil y la tablet cuando hiciera falta.

Pues, sobre las 12, cuando he vuelto de una salida, me he encontrado el típico mensaje "TEAMVIEWER: Sesión patrocinada";... osea, habia habido una sesion y yo no habia sido. Pero yo que se.. digo, mi jefe, que solo sabe hacer click sobre el navegador para ver las noticias que tiene como pagina de inicio, le habra dado sin querer sobre el icono del Teamviewer y habra activado algo. Me voy a comer y sigo dandole vueltas, algo huele mal.

Así que al volver, me pongo a revisar el log y me encuentro con una conexion desde China(113.13.97.223), que por supuesto no he sido yo, de unos dos minutos de duración. Se me han puesto los pelos como escarpias; he cerrado el programa, he cambiado la contraseña a una muy fuerte(tenia una fuerte, 8 caracteres alfanumericos) y estoy aqui acojonaito.

Y me he puesto a buscar informacion y lo unico que he encontrado es esto; alguien sabe algo de esto?, es decir, estoy tras un router que me hace de firewall, y el nat estatico que tengo es solo el 80 hacia un apache que tengo para programa de facturación. Así que no me ha atacado directamente, sin no que lo ha hecho mediante el servidor de team. ¿Hay algun problema de seguridad en los servidores teamviewer?

Estaba iniciada la sesion del usuario, nada de root ni administrador, aunque tiene permiso para sudo, pero necesita la pass. Y ahora viene lo que necesito de algun fiera de Linux, que se que los hay por aquí; mis conocimientos de redes/linux/... son los de un usuario medio, nada de avanzados ni sysadmin ni nada eso. Y necesito que alguien me oriente sobre donde mirar, que logs tendria que examinar para saber si me ha colado "otro" troyano(aparte del que tenia yo puesto-teamviewer), o si ha hecho alguna otra cosa.

Gracias de antemano.

Pd: he comprobado que ha hecho 3 conexiones de unos dos minutos cada una durante toda la mañana.

713367771 Radiadores 01-04-2016 09:55:29 01-04-2016 09:57:43 radiadores RemoteControl {F75C3A0F-F03C-4586-8E27-39AA08360116}
649934698 Radiadores 01-04-2016 11:31:10 01-04-2016 11:31:37 radiadores RemoteControl {BDC9E0A6-22D6-476E-AF40-8A27A7F826D3}

más la que yo he detectado que ha sido a las 11:55 hasta la 11:57

ppd: si, tengo miedo y estoy muy triste :-((((

preguntitas
preguntitas #2 Abr '16 Cofrade

Joder que mal rollo:

auth.log a la hora de la intrusion

Apr  1 11:55:29 debian su[4745]: Successful su for radiadores by root
Apr  1 11:55:29 debian su[4745]: + ??? root:radiadores
Apr  1 11:55:29 debian su[4745]: pam_unix(su:session): session opened for user radiadores by (uid=0)
Apr  1 11:55:29 debian systemd-logind[442]: New session c3 of user radiadores.
Apr  1 11:55:29 debian su[4745]: pam_unix(su:session): session closed for user radiadores
Apr  1 11:55:29 debian systemd-logind[442]: Removed session c3.

¿eso es que ha tenido root verdad? :-( ¿que es el "session c3"?

necesito saber donde mirar mas, es muy urgente por favor. :-(((

pd: estoy cambiando todas las contraseñas

garlor
garlor #3 Abr '16

history y netstat

Khrixso
Khrixso #4 Abr '16

A mi eso de router que hace de firewall no me convence, yo pondría un fortinet.

Y la configuración del teamviewer que no autodetecte el proxy, configuralo manualmente.

QueTzaL
QueTzaL #5 Abr '16 Inocente

Para lo del ransomware mira si en el log de teamviewer aparece si ha transferido algun archivo.

Que ID te sale en el log del teamviewer? Mira si te sale el Estimated RTT to 479440875 ?

Y lo del firewall no te entiendo, ¿a que te refieres exactamente?, si han podido atacar tu Debian 8 y asi han adquirido el ID y contraseña?

preguntitas
preguntitas #6 Abr '16 Cofrade

Gracias. Mañana miraré todo esto que me decís... Y voy a mirar lo de fortinet que no se lo que es.

Con lo de router haciendo de firewall, me refiero a que los puertos del teamviewer no son accesibles desde internet como "puerto remoto", no tengo dmz, solo mapeado el 80 para el apache. Por lo que no debería poder atacar mi teamviewer directamente. Tenia entendido algo así.

En el enlace que he puesto hablan de un posible ataque a los servidores de teamviewer. Era por si se había oído algo de que habían sido comprometidos.

Gracias por las contestaciones. Os seguiré con tanto.

1 respuesta
QueTzaL
QueTzaL #7 Abr '16 Inocente

#6 El Teamviewer no necesita tener puertos abiertos hacia la maquina que lo tiene instalado para que se puedan conectar a ella ya que no se comporta como un servidor, funciona a la inversa, es decir, como un cliente sin mas, este se conecta a los servidores de Teamviewer usando los puertos 80 (http) y 443 (https) como si de un explorador web se tratara.
Asi que no, realmente no pueden atacar directamente a tu Teamviewer.

Me he leido todos los comentarios del enlace que has puesto que apuntaban a un hilo en Bleeping Computer y no quedo claro de como el atacante ha conseguido el ID / Password para entrar en los equipos.
Dan varias posibilidades;
1) A un problema de seguridad por parte de los servidores de Teamviewer y la version 10 de Teamviewer.
2) A que de alguna manera el hacker ha averiguado la cuenta de Teamviewer donde estan guardadas las ID y las contraseñas.
3) Una ultima, fuerza bruta. Yo diria que super improbable.
4) Y una 4 que no dicen pero perfectamente aplicable a cualquier programa hoy en dia, se te ha colado algun tipo de troyano... en tu PC que ha atacado a tu cliente de Teamviewer (version 10?) para obtener IDs y contraseñas.

La opcion 2 me parece bastante viable, mas teniendo en cuenta que la cuenta de Teamviewer usa como username una cuenta de correo y ya sabemos la mala costumbre que tiene mucha gente de usar la misma contraseña para TODO. Basta que hayan hackeado la base de datos de algun foro / red social etc en la que estabas registrado con ese mismo mail y contraseña de siempre para que luego empezaran a probar con tus datos en otros servicios.

No se como te conectas tu, si lo haces manualmente, es decir, con el ID y la contraseña o tienes una cuenta de Teamviewer donde tienes metido el ID de la Debian entre otros equipos.
Si tienes cuenta de Teamviewer, yo me inclinaria mas por ahi.
Si no es asi, pero tienes la version de Teamviewer 10 instalada o anterior, yo diria que a falta de confirmacion oficial, o es la opcion 4 o la 2; la han cagado por parte de Teamviewer pero claro, de ser asi, supongo que se callaran como putas.

1 respuesta
preguntitas
preguntitas #8 Abr '16 Cofrade

#7 , efectivamente uso una cuenta teamviewer. Suelo usar varias contraseñas, una muy sencilla para foros y paginas "sin importacia", y otra mas avanzada(8 digitos, alfanumericos mayusculas/minusculas) para los servicios más importantes(paypal,ebay,amazon,google,teamviewer...). Además, para estas últimas no suelo usar el mismo correo que en las primeras. Pero, en este caso, si que use el correo "menos seguro", puede que por ahi vayan los tiros como bien has dicho.

Ayer me decidí a crearme un sistema de generanción de contraseñas, para establecer una password por servicio/web, usando caracteres del username, url... A ver si así llevo un poco más de control.

Gracias de nuevo.

pd: si uso la version 10

preguntitas
preguntitas #9 Abr '16 Cofrade

Bueno, hoy he llegado al trabajo y mis contraseñas, tanto del usuario como de root no me funcionan... y no sé si con los nervios del viernes me equivoque al ponerlas o el chino cabron me las cambió :(

He conseguido entrar con el usuario postgre pero no tiene ni permisos de administrador(que pensaba que si) ni sudoer.

Así que necesito cambiar las passwords, cual es la mejor manera? Recuerdo en mis principios de linux que borraba el pass del usuario del archivo /etc/passwd ... pero parece que ahora no es tan fácil. ¿ Es posible usando un live acceder al disco duro y modificar algún archivo para poder borrar la contraseña?

Gracias

pd: Ya lo he conseguido, modificando las opciones de arranque desde el grub. Pulsando la tecla "e" y añadiendo al final de la linea que empieza por linux la opcion init=/bin/bash, con esto he conseguido un teminal con permisos root. He montado la particion raiz con permisos rw, y he modificado el archivo /etc/shadow borrando el password encriptado de root. Reinicio y entro como root sin problemas. Y restauro mis passwords.

ppd: Voy a seguir mirando a ver si hay algo más.

ULTIMO EDIT: Bueno, después de haber revisado minuciosamente los logs que he encontrado. Parece que al chinito no le dio tiempo a hacer nada; la mayoría de "efectos" eran propios de mi imaginación. Esto me ha servido para, lo primero, valorar un poco más la seguridad de mi sistema, y en segundo lugar, seguir aprendiendo un poquito mas de linux.

#10
comentario moderado
1 comentario moderado

Usuarios habituales

Tags