¿Alguien realmente conectó un iPhone, o son estos síntomas de un intento de explotación?

16

Mi syslog indica que alguien conectó un dispositivo USB de iPhone a mi escritorio a las 4 am de hoy, durante aproximadamente 10 minutos. Estoy revisando los registros de seguridad física para ver si había alguien en la habitación, pero mientras tanto, estoy tratando de investigar si estos síntomas podrían indicar algún otro tipo de intrusión. Espero que no ...

¿Alguna otra sugerencia para investigar esto?

Sistema:

Nombre de host de Linux 2.6.35-28-genérico # 40-Ubuntu SMP vie. Mar 18:42:20 UTC 2011 x86_64 GNU / Linux Ubuntu 10.10

Síntomas (el nombre de host ha sido ofuscado):

  • Un diálogo abierto en Gnome que lee "Unable to mount GEORGE's iPhone. DBus error org.freedeskop.DBus.Error.NoReply: Message did not receive a reply (timeout by message bus)" .

  • Los siguientes mensajes en /var/log/kern.log. Todos los demás mensajes registrados son normales.

    May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
    May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
    May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
    May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
    May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
    
  • Los siguientes nuevos procesos. Todos los demás procesos actuales pueden ser contabilizados.

    root      5519     1 99 04:01 ?        05:24:11 /lib/udev/iphone-set-info
    root      5525   486  0 04:01 ?        00:00:00 udevd --daemon
    root      5526   486  0 04:01 ?        00:00:00 udevd --daemon
    
  • El proceso de set-info de iphone ha fijado un núcleo en 100% de utilización. Solo noté esto después de eliminar físicamente la máquina de la red.

    PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                            
    5519 root      18  -2 50028 2660 2108 R  100  0.0 455:36.10 iphone-set-info  
    
  • Los siguientes mensajes en / var / log / syslog. Todos los mensajes subsiguientes son normales. El mensaje cron de php es normal.

    May 18 04:01:29 hostname kernel: [1250738.453932] usb 2-3: new high speed USB device using ehci_hcd and address 2
    May 18 04:01:31 hostname kernel: [1250740.692816] ipheth 2-3:4.2: Apple iPhone USB Ethernet device attached
    May 18 04:01:31 hostname kernel: [1250740.692906] usbcore: registered new interface driver ipheth
    May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
    May 18 04:01:33 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: device added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0): no ifupdown configuration found.
    May 18 04:09:01 hostname CRON[5572]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete)
    May 18 04:12:23 hostname kernel: [1251392.150063] usb 2-3: USB disconnect, address 2
    May 18 04:12:23 hostname NetworkManager[1181]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/pci0000:00/0000:00:1d.7/usb2/2-3/2-3:4.2/net/wwan0, iface: wwan0)
    May 18 04:12:23 hostname vmnetBridge: RTM_DELLINK: name:wwan0 index:79 flags:0x00001002
    May 18 04:12:23 hostname avahi-daemon[1175]: Withdrawing workstation service for wwan0.
    May 18 04:12:23 hostname kernel: [1251392.270794] ipheth 2-3:4.2: Apple iPhone USB Ethernet now disconnected
    
  • Nada inusual en la historia, bash history zsh, etc. para cualquier usuario

  • Nada inusual en / var / log / auth

Nunca se ha utilizado un dispositivo iPhone en esta máquina. Entiendo que el diálogo y el núcleo anclado son un problema común cuando no está configurado.

Para mí, todas las pruebas sugieren que alguien conectó un teléfono a las 4 am, pero si los registros de seguridad física (tarjetas magnéticas y video) no son compatibles con esta suposición, debo sospechar algún tipo de ataque remoto. ¿Alguna otra sugerencia para investigar esto?

Mi hipótesis es la limpiadora conectada a su teléfono para recargarla durante 10 minutos, sin embargo, he tomado precauciones para bloquear la máquina.

    
pregunta Jeromy Evans 18.05.2011 - 04:33
fuente

1 respuesta

9

Es más común que las personas tengan iPhones que ataques de 0 días y es más probable que alguien haya conectado un iPhone. Dicho esto, es totalmente posible explotar una máquina a través de USB . En este caso, el módulo del núcleo ipheth podría haber sido explotado y realmente no hay forma de saber de este registro, simplemente no es suficiente información. A veces, un exploit de corrupción de memoria ejecutará su código shell, instalará una puerta trasera y luego bloqueará el proceso vulnerable. Se podía ver un pánico en el kernel en dmesg, pero eso no sucedió. Si el exploit está bien escrito, entonces el núcleo no se bloqueará.

    
respondido por el rook 18.05.2011 - 20:39
fuente

Lea otras preguntas en las etiquetas