Mit einem Android Handy und NFC Tag Info war schnell klar es handelt sich um NFC Chips mit MiFare Classic 1k, einer Verschluesselung die seit einigen Jahren gebrochen ist und dennoch weltweit massiv genutzt wird, Quellen zu Folge basieren ca. 80% der eingesetzten Zahlungssysteme auf dieser alten Technologie.

Also gehen wir nun ans Eingemachte, ich meochte an dieser Stelle vor allem auf eins Hinweisen, die Informationen die man hier nun erhalten kann koennen natuerlich verleiten, ja es ist durchaus moeglich sich Leistungen oder in dem Fall der hier nun geschildert wird Bohnenextraktpads zu erschleichen und warum sollte man dies nicht tun?
Ganz einfach, es ist illegal. Neben Erschleichen von Leistungen (§ 265a StGB Freiheitssrafe bis zu einem Jahr), kann es auch Diebstahl (§ 242 StGB Freiheitsstrafe bis zu 5 Jahren) werden oder Betrug (§ 263 StGB Freiheitsstrafe bis zu 5 Jahren), wenn man nun anfaengt sein Wissen zu Geld zu machen: Gewerbsmaessiger Betrug (Auch § 263 aber Absatz 1: 6 Monate bis 10 Jahre), also Finger weg dies in der freien Wildbahn zu nutzen!
Und an meine mitlesenden Kollegen: Ja ich koennte nun Eure Karten voll machen, oder selber braunen Extrakt bis zum umkippen trinken und keinen Cent bezahlen, aber 2 Fragen:
Beisst man wirklich die Hand die einen fuettert?
Lohnt es sich fuer vielleicht 10 Euro im Monat ne fristlose Kuendigung zu kassieren?
Richtig: 2 Mal Nein.

So genug jetzt, ab zur Technik.

Wir benoetigen einen NFC Reader/Writer, Linuxtreiber sollte er haben und keine Vermoegen kosten, Empfehlung meiner Seits: ein “ACR122U” Kostenpunkt ab 70 Euro inkl Versand.
Wir brauchen 2 Guthaben Chips, einen frischen und einen den wir bereits aufgeladen haben, wir brauchen keine komischen Chinaklonkarten fuer >25 Euro/Stueck.
Als letzte Zutat ein aktuelles Kali Linux, denn hier finden wir alle Tools die wir brauchen. Sicherlich kann man sich die Tools auch auf seine Workstation ziehen, jedoch gab es hier mit Arch massive Probleme, Tools die wir brauchen: pcsclite, mfoc und die libnfc inkl Tools, vbindiff (oder einen anderen Binarydiffer) und ein Hexeditor Deiner Wahl.

Nun machen wir uns an die Chips, ich hatte einen Chip welcher bereits einen Betrag von 13.60 Euro hatte und einen leeren Chip der noch nicht geladen wurde.
Als erstes erstellt man einen Dump des Chips dessen Informationen man kopieren oder bearbeiten moechte, der leere Chip ist eigentlich nur ein Backup, man moechte ja nicht im Testfall sein Guthaben loeschen.
Das Auslesen funktioniert mit mfoc, damit dieses Tool auslesen kann muss mind. ein Key bekannt sein von den Keys die auf der Karte stehen, hierzu bedient sich mfoc einer internen Datenbank von bekannten Keys und ist in der Lage die auslesbaren Keys eines Chips als Angriffsvektor zu nutzen. Also Chip auf den Reader und los geht der Spass:

root@kali:~/dumps# 13.60.dmp
-P steht fuer die Versuche die unternommen werden sollen, ueblich sind 20, aber das ist fuer die meisten Karten zu wenig. -O ist einfach unser Outputfile.
Nachdem nun 20 Cent von der Karte abgebucht worden sind, wird das Dumpingspiel nochmals wiederholt:
root@kali:~/dumps# mfoc -P 500 -O 13.40.dmp

Nun haben wir 2 Dumps, diese koennen nun untereinander verglichen werden, so koennen wir sehen an welcher Stelle die Informationen gespeichert werden die fuer die Betraege gedacht sind, ich bediene mich hier dem Tool vbindiff:

root@kali:~/dumps# vbindiff 13.60.dmp 13.40.dmp

Wir koennen nun auf dem folgenden Screenshot schoen erkennen wie und wo sich die Aenderungen befinden, im Fall der vorliegenden Chips Reihe 02D0 und zwar der rote Wert, wobei dieser nur die Nachkommastelle ist, wir haben also die Betraege wie folgt vorliegen: 05 50 und 05 3C. Hex ist kein Hexenwerk also sehen wir hier 1360 und 1340, das ist genau das was wir wollten und nach einer Aenderung des Wertes auf die 0539 haetten wir einen recht bekannten Betrag aufgeladen.

Da ich nun aber nicht meinen Chip grillen wollte mit dem ich wirklich bezahle, habe ich den oben erwaehnten leeren Chip, von diesem brauchen wir ebenfalls einen Dump, wozu kommt noch, also wie oben erstellen wir den gewuenschten Dump:
root@kali:~/dumps# mfoc -P 500 -O empty.dmp
Wir brauchen diesen Dump aus 2 Gruenden, einmal da sich ein Backup immer bewaehrt und wir keine original Chips zerstoeren wollen und einmal aus dem Grund, in den Dumps sind nicht nur die Infos fuer den Betrag gespeichert, sondern auch die Keys fuer die einzelnen Chips, auch aus einer Reihe haben die Chips unterschiedliche Keys und das wuerde uns beim Beschreiben mit einem Dump der nicht von der Karte stammt maechtig auf die Nase fallen lassen, in meinen Tests habe ich mit einem Force Write, den wir ausfuehren muessen einfach mal den Chip gegrillt.

Ok, nun oeffnen wir mit einem Hexeditor den empty.dmp und navigieren an unsere gewuenschte Position in der Reihe 02D0 und editieren diesen auf 05 39. Abspeichern und nun muss der Dump wieder auf die Karte, hierzu die Tools welche mit der nfclib kommen:

root@kali:~/dumps# nfc-mfclassic w A empty.dmp empty.dmp
root@kali:~/dumps# nfc-mfclassic w B empty.dmp empty.dmp

Was machen wir nun hier, wir weisen nfc-mfclassic an mittels w zu schreiben. A/B gibt den KeyType an, bei meinem Test benoetigte ich beide Schreibvorgaenge mit A und B, auch wenn dies wenig sinnvoll erscheint.
Wir nutzen hier fuer die Keys Grossbuchstaben, das hat den einfachen Grund, das es beim Schreiben zu Fehlern kommen wird, wir aber trotzdem zu Ende schreiben wollen, laut Doku muesste das eigentlich bei einem grossen W auch funktionieren, tut es aber in meinen Testdurchlaeufen nicht, Endergebnis laesst sich sehen wie man bereit oben im Screenshot erkennen kann der diesen Blogpost ziert.

Leider zeigt dieser Test, dass trotz bekannter Schwachstelle immer noch ein Grossteil der neu ausgegebenen Chips alte Software nutzt welche als Known Broken bekannt ist und ein hohes Missbrauchspotential besteht, aber nochmal den Zeigefinger: Baut keinen Scheiss mit diesen Informationen, denn hier erwischt zu werden ist a) nicht schwer, b) kann es massiven Aerger mit sich bringen, der Artikel richtet sich an Pentester und Bastler und ich habe lange hin und her ueberlegt ob ich die Erkenntnisse nun teilen sollte oder nicht, aber aus diversen Gruenden habe ich mich fuer ein ja entschieden:

- die Schwachstelle ist seit Jahren bekannt.
- es gibt durchaus andere Blogs, Foren etc die das Problem behandeln (meist natuerlich auf Englisch)
- gehe ich davon aus das die Leser meines Blogs genug Hirn mitbringen nicht jedes Tool gleich als naechstes Spielzeug anzusehen und wild auf Tour gehen.

So laufen die Behoerden nun bei Google und Apple regelmaessig die Tueren ein mit der Bitte die Devices doch bitte zu entschluesseln.
Neben einer eigens eingerichteten Queue fuer derartige Anfragen ist Apple nachweislich in der Lage die eigene Verschluesselung aufzubrechen.
Beweise hierfuer liegen in diversen Faellen vor, ein aktueller Fall waere ein verschluesseltes IPhone was im Besitz eines vermeindlichen Drogendealers war, die ATF (Federal Bureau of Alcohol, Tobacco, Firearms and Explosives) beschlagnahmte dessen Geraet und trat an Apple heran, da das Geraet verschluesselt ist.
Apple ist in der Lage einen vollstaendigen, entschluesselten Dump zu erstellen, dieser wird dann an die auf externen Devices an die Strafverfolger ausgehaendigt, die Frage die sich mir hier stellt ist, hat Apple etwa eine Backdoor in seinen Geraeten eingebaut?
Verschwoerungstheorien zu dem Thema gibt es schon lange, aber das hier etwas faul ist sollte klar sein.
Das naechste was man sich nun fragen kann ist, wie lange dauert es bis jemand den Weg gefunden hat den Apple hier zur Entschluesslung der Devices nutzt, sicherlich etwas in dem verborgen eine Menge Kapital steckt.

Wieder einmal zeigt sich hier, man sollte keinesfalls auf Closed Source Verschluesselung setzen, dies ist der Fall bei IOS und vielen anderen Beispielen auch, neben dem Risiko von massiven Problemen in den Algorithmen sind auch immer wieder Implementationsfehler bekannt geworden welche erfolgreiche Angriffe auf als sicher geltende Cipher moeglich machen oder eben wie im aktuellen Fall: Eine Backdoor.
Auch wenn noch kein Beweis fuer eine Backdoor erbracht worden ist, scheint mir dies nun der logischste Weg die eigene Verschluesslung aufzubrechen, wie die Backdoor nun aussehen mag, das ueberlasse ich Deiner Fantasie.

PS: Eine Anmerkung von meinem geschaetzen Kollegen Marko Rogge von Omega Defense: Remote Wiping ist kein echter Wipe, es ist nach wie vor Forensikern moeglich hier relativ problemlos Daten wiederherzustellen.

Langweilig denkt man sich nun, wenn da nicht nun der grossartige Hammer einer Sachbearbeiterin gekommen waere, ich erlaube mir ein Vollzitat:

Sehr geehrte Damen und Herren,

vielen Dank für Ihre E-Mail.

Leider können wir das von Ihnen benutzte Dateiformat nicht öffnen.

Bitte fügen Sie eine Word- oder PDF-Datei bei.Haben Sie Fragen? Die Geschäftskundenberater unseres Business Centers stehen Ihnen Montag bis Samstag von 8.00 bis 21.00 Uhr unter der Telefonnummer 0180 44 40 400 (20 Cent/Anruf aus dem dt. Festnetz; Mobilfunktarif max. 42 Cent/Minute) gerne zur Verfügung.

Mit freundlichen Grüßen

Ihr Postbank E-Mail Team
Kxxxxxxx Mzzzzzzzz

Mein Mailclient haengt Forwards im PlainText an die Mails an, wie das in meinen Augen jeder richtige Client tun sollte, ich habe meine Einstellungen diesbezueglich auch nochmals geprueft und nun frage ich mich wie bloed kann man sein?
Geschaeftskundenbetreuer, ja ich weiss schon wo ich jetzt schnell hin muss. Ich muss zur Postbank, da scheint mein Geld gut aufgehoben zu sein.

Wie dem auch sei, ich habe nun brav die Bitte der Sachbearbeiterin befolgt, meine Plaintext E-Mail in ein properitaeres PDF gesteckt und mit Hinweis auf den Dateinamen der Mail angehaengt.

Update vom 18/04/2013:

Ja es gibt ein Update, scheinbar haben die Mitarbeiterinnen der Postbank immer noch nicht verstanden welches Anliegen ich habe, zumindest verstehe ich diese Mail so:

Sehr geehrter Herr Berger,

vielen Dank für Ihre E-Mail. Ich bedauere sehr, dass wir einen negativen Eindruck bei Ihnen hinterlassen haben! Bitte seien Sie versichert, dass wir sehr an der Zufriedenheit unserer Kunden interessiert sind. Ihre Kritik ist für uns Anlass unseren Service zu optimieren.

Den Vorgang habe ich zur abschließenden Bearbeitung an den Fachbereich weitergeleitet.

Für die verzögerte Bearbeitung und die Ihnen dadurch entstandenen Unannehmlichkeiten entschuldige ich mich.

Aber immerhin scheint mein Anliegen nun einer Fachabteilung vorgelegt zu werden, es koennte also spannend bleiben.
Von den Firmen- und Privatkundenbetreuern habe ich noch gar keine Antwort bekommen, auch ok.

Update vom 18/04/2013:

Mitlerweile habe ich Post, echte Papierpost von der Postbank bekommen, ein vorgefertigter Druck wie es aussieht, es koennen keine privaten Daten an mich uebermittelt werden (wollte ich auch nie) und es wird sich um den Fall gekuemmert, wie es aussieht ist mein Anliegen nun doch endlich an die richtige Abteilung geschickt worden, was lange waehrt…

msf > irb
[*] Starting IRB shell...

>> framework.db.report_host(:host=>”8X.XXX.XXX.XXX”, s_sp=>”3.1″);
?>
>>
=> #
msf >

VERSION BUILD=7601105 RECORDER=FX
TAB T=1
URL GOTO=https://www.facebook.com/$DEINUSERNAME/allactivity?privacy_source=activity_log&log_filter=cluster_11
TAG POS=1 TYPE=I ATTR=CLASS:mrs_2fmucustomimgimgsp_1h7glssx_1f3e5a
TAG POS=1 TYPE=SPAN ATTR=TXT:Delete...
TAG POS=1 TYPE=INPUT:BUTTON ATTR=NAME:ok&&VALUE:Delete

Nun koennte man das Makro im Loop laufen lassen, doch 2 Probleme tauchen hier schnell auf, einmal kann es sein das durch Fehlermeldungen das Makro gestoppt wird, etwas was wir natuerlich nicht wollen, auf der anderen Seite koennte es passieren das der Post schon geloescht ist und eine weitere Fehlermeldung auf uns wartet bzw das Makro diese nicht kennt und daher den OK Button nicht findet, daher wurde das Script ein wenig aufgebohrt und sieht dann wie folgt aus:

VERSION BUILD=7601105 RECORDER=CR
SET !TIMEOUT_PAGE 1
SET !TIMEOUT_STEP 1
SET !ERRORIGNORE YES
WAIT SECONDS=1
TAG POS=1 TYPE=I ATTR=CLASS:mrs_2fmucustomimgimgsp_cjte7zsx_6cefef
WAIT SECONDS=1
TAG POS=1 TYPE=SPAN ATTR=TXT:Delete...
WAIT SECONDS=1
TAG POS=1 TYPE=INPUT:BUTTON ATTR=NAME:ok&&VALUE:Delete
TAG POS=1 TYPE=INPUT:BUTTON ATTR=NAME:ok&&VALUE:OK

Dieses Makro laesst sich nun im Loop abspielen und man kann beobachten wie ein Posting nach dem anderen verschwindet.
Das ganze laesst sich natuerlich noch beliebig erweitern auf Likes, Comments und Co.
Auf die Frage ob es nicht einfacher gewesen waere einfach den Account zu loeschen und gut, ja vielleicht, aber es mag durchaus Sinn machen vor dem Account loeschen seine Posts und Likes verschwinden zu lassen und eben mag es auch vorkommen das man das Profil als solches noch behalten moechte wenn auch brach liegend.

Also musste ein Webspacepaket her, Rootserver waren damals noch unbezahlbar, so aber auch der Space der angemietet wurde, 1GB Webspace inkl CGI und 10 oder 15 Domains, ich bin mir nicht mehr sicher, 1GB heute eine Lachnummer, damals in den Zeiten von Modems und ISDN eine grossartige Sache, ein Name musste her und dieser sollte auch gleich zeigen was es heisst zu rebellieren und ueber die Strenge zu schlagen, Deutsch sollte es sein und alles nur nicht normal und so kam es zum German Hack Crack illegal Force.
Ein Webdesign war schnell gefunden und in den klassischen Farben zusammengeschustert, schwarzer Hintergrund und gruene Schrift, so musste es sein:

In Muesamer Arbeit wurde nun alles zusammengetragen was sich um die Themen Hacking, Trojaner, Crackin, Phreaking, Phaking, Anrachie und Co drehte und auf die Webseite hochgeladen, sauber kategoriert und es dauerte nicht lange und das Team des GHCIF wurde immer groesser, die Webseite immer voller und die Zugriffe massiver.

Nach etwa 2 Jahren gesellte sich ein echte Webentwickler zu uns, welcher neben Webauftritten noch als Delphi Programmierer und PHPler unterwegs war und wir bekamen ein neues Design, leider ist hierzu nur noch ein Logo und der Eingangstext zu finden, Backups aus der alten Zeit habe ich leider durch diverse Vorkommnisse nicht mehr, aber fuer die Nostalgie und die Leute die sich noch an die alten Zeiten erinnern sicherlich ausreichend:

Mitlerweile waren wir das wohl groesste deutsche Archiv fuer diverse Scriptkiddie Tools, Trojaner und Viren sowie eigens programmierten Programmen wie diversen RATs, dem D2 CallYa Card Generator und dem allseits bekannten Acropolis.
Natuerlich erreichte man nicht nur viele Leute und erntete mehr oder minder Anerkennung fuer das was man tut, nein andere vor allem deutsche Gruppen zeigten viel Neid ueber die Zweifelhaften Erfolge die mit GHCIF erreicht wurden und versuchten wann immer sie konnten den Frieden unserer Truppe zu stoeren was uns jedoch nicht hinderte weiter zu machen.
Unser Forum war dem anderer Crews in keinster Weise unterlegen und auch wurden die Mitglieder von GHCiF ein wenig erwachsener und dies zeigte sich vor allem in der Gestaltung der Texte, ein z stellte kein s mehr dar, die reisserischen Sprueche auf der Einstiegsseite waren verschwunden und das Layout immer mehr angepasst:

Langsam erreichten uns auch die ersten Briefe die man nun nicht gerne zu Hause im Briefkasten vorfinden moechte unter anderem gefiel es zwei namhaften Handyherstellern nicht, das wir Programme zum entfernen von SIM Locks anbieten, jedoch gab es hier keine rechtliche Handhabe und dies ist schnell im Sand verlaufen und man hoerte nichts mehr von diesen.
Nach 4 Jahren sollte jedoch der Bruch der ganzen Maschinerie eingelaeutet werden.
Beruflich verschlug es mich in eine andere Stadt, private Probleme erlaubten mir nicht mehr mich um mein Baby zu kuemmern wie ich musste und das Vertrauen wurde in die falschen Personen gesetzt und somit kam es wie es kommen musste, ghcif war pleite.
Ein Spendenaufruf hatte das noetige Kleingeld schnell eingespielt, bei mehreren eintausend Uniq Hits auch nicht verwunderlich, jedoch wurde das Spendenkonto gepluendert und so sperrte man den Webspace und ich hatte im realen Leben zuviel zu tun als das ich mich haette darum wirklich kuemmern koennen.
Es dauerte nahezu ein Jahr bis das Leben es wieder zugelassen hat einen Neuanfang zu starten und mental, beruflich gereift aber auch der komplette Umschwung im Netz machte aus dem ehemals vor allem fuer Trojaner und boeswilliger Software bestehenden Portal eine kleine Seite mit einigen Downloads, freundlichem Design und vorbei die Zeit der Rebellen aber auch die Zeit des ueber 50 Kopf grossen Teams und ghcif erschien in einem neuen Licht:

und mit 3 Mitgliedern.
Vorbei die Zeiten von Hack und Crack und das Germans Home of Cybernetic Interest and Facts war geboren.
Es wurden News veroeffentlich und Tools angeboten und der ein oder andere aus alten Zeiten meldete sich, die Userzahlen waren nicht mehr so hoch wie sie es damals waren, jedoch das Klientel welches erreicht wurde auch ein vollkommen anderes und das war auch gut so.
Erneut kam dann die Zeit in der es wichtiger war sich um das echte Leben zu kuemmern, die Userzahlen waren weiter Ruecklaeufig und auch der Content schlief ein bis ich mich dann 2009 wieder dazu entschlossen habe mein Baby wieder auf Vordermann zu bringen und wenn es nur fuer mich privat ist, als kleines Andenken an die Zeit vor der Jahrtausendwende und so kam es zu dem was man nun hier sehen kann, dem ghcif Blog.

Sicherlich bleibt die Frage ob es nun so gut war nochmal an die alten Zeiten zu erinnern und darauf aufmerksam zu machen koennte es doch Reputation kosten, aber ich denke nicht das es das tut. Jeder der mag kann sich Wayback Maschinen widmen und herausfinden wie Webseiten denn vor geraumer Zeit ausgesehen haben und ich weiss von vielen ehemaligen Usern und auch Mitgliedern das GHCiF es war die sie zur IT gebracht haben und nun sind dies teilweise studierte die mit guten Jobs in der IT arbeiten und wenn auch selten, freue ich mich ueber fast jeden Kontakt mit den alten Jungs welche sich vielleicht einmal wieder hier her verirrt haben und den gruenen Muellhaufen noch immer in Erinnerung haben.

assert failed: apply_patch_check("/system/lib/hw/power.tuna.so", "5452b798b4d319d3af27c55ba9d0ddc4b6fe6422", "e5c07efe10ed6cbc2306a087b31b685db8449564")
(Status 7)
Installation aborted.
Da ich bekennender Freund von Franco’s Kerneln bin war der Uebeltaeter schnell gefunden und die Originale Datei musste her, guter Rat ist meistens teuer wenn man sich nicht zu behelfen weiss, aber das File konnte schnell aus den Factory Images besorgt werden, adb push und schon funktioniert es auch mit dem Update.
Damit Ihr nun nicht lange suchen muesst liebe Franco Anhaenger steht hier das File nun bereit power.tuna.so Android 4.2.1

Einen kompletten Post des Ganzen findet Ihr hier: Facebook: Fehler im Hidden Feld. Unsichtbares sichtbar.
Auch wenn unsere Vermutung erst eine andere waren, doch ein grosser Spass sich durch die Datenbanken und Dumps zu wuehlen welche durch die Facebook Applikation erstellt wurden und/oder mittels der Spielzeuge von Marko.
Danke nochmal an dieser Stelle, es hat Spass gemacht mit Dir zusammen das Ganze zu zerpfluecken, bis zum naechsten Mal!

Nein, so einfach sollte es dann doch nicht sein, es wurden weiterhin in unregelmaessigen Abstaenden die Files veraendert und so begann eine schier endlos scheinende Suche und der Erfolg sollte sich nicht so schnell einstellen wie ich das gewohnt war.
Hier lief kein Script, kein Cronjob, was passiert hier nur?
Also starten wir einen Passwort Audit, doch dieser zeigte auch nur maessige Ergebnisse gegen die ueblichen Dictonary Attacks und die Permutationsangriffe von John.
Ich musste also an einen Punkt kommen an dem ich genau sehen kann welcher Prozess und vor allem welcher User veraendert hier die Files. Gedanke eins: Inotify, wuerde gehen, ein wenig umstaendlich, da musste es doch etwas schoeneres geben und so landete ich bei auditd – The Linux Audit daemon.

Ein recht maechtiges Tool welches die unterschiedlichsten Veraenderungen auf dem System monitoren kann und entsprechend logged. Die Installation ueber den Paketmanager recht trivial und auch eine Konfiguration war kaum noetig, ich gehe hier auf den Teil ein den ich nun fuer meine Arbeit auf der Kiste brauchte, wir monitoren die Filechanges aller .htaccess Files.
Um Files in das Monitoring aufzunehmen bedient man sich des Kommandos auditctl, folgend ein Beispiel:

auditctl -w /etc/passwd -p wa -k passwd

-w gibt des Filenamen an der Ueberwacht werden soll.
-p hier werden die Filter fuer die Ueberwachung gesetzt wobei w fuer write, a fuer append (anhaengen), r fuer read (lesen) und x fuer execute (ausfuehren) steht. In unserem Fall monitoren wir also Schreibzugriffe.
-k Hier geben wir einen Filterkey an welchen wir spaeter fuer eine saubere Ausgabe benoetigen.

Die fuehrt nun zu folgendem in einem kleinen Test:
[root@0xC0FF33 ~]# auditctl -w /etc/passwd -p wa -k passwd
[root@0xC0FF33 ~]# ausearch -k passwd
----
time->Wed Feb 6 10:05:58 2013
type=CONFIG_CHANGE msg=audit(1360141558.745:2): auid=1000 ses=1 op="add rule" key="passwd" list=4 res=1
[root@0xC0FF33 ~]# useradd testuser
[root@0xC0FF33 ~]# ausearch -k passwd
----
time->Wed Feb 6 10:05:58 2013
type=CONFIG_CHANGE msg=audit(1360141558.745:2): auid=1000 ses=1 op="add rule" key="passwd" list=4 res=1
----
time->Wed Feb 6 10:06:21 2013
type=CONFIG_CHANGE msg=audit(1360141581.262:4): auid=1000 ses=1 op="updated rules" path="/etc/passwd" key="passwd" list=4 res=1
----
time->Wed Feb 6 10:06:21 2013
type=PATH msg=audit(1360141581.172:3): item=0 name="/etc/passwd" inode=583657 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1360141581.172:3): cwd="/root"
type=SYSCALL msg=audit(1360141581.172:3): arch=c000003e syscall=2 success=yes exit=4 a0=616000 a1=20902 a2=0 a3=7fff81008010 items=1 ppid=6419 pid=7604 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 ses=1 tty=pts4 comm="useradd" exe="/usr/sbin/useradd" key="passwd"
----


Wie man sehen kann lasse ich mir via ausearch und meinem vorher gesetzten Keyword die Aenderungen anzeigen welche ich sehen moechte.
Alternativ hierzu koennte ich ausearch auch ein einzelnes File anzeigen lassen, dies passiert mit dem Parameter -f statt -k und statt dem Key eben ein File:

ausearch -f /etc/passwd

Es koennen jedoch nicht nur Files und deren Zugriffe ueberwacht werden, auditd bietet auch die Moeglichkeit Verzeichnisse zu monitoren oder Syscalls aufzuzeichnen, ein weiteres interessantes Beispiel waere sicherlich dieses:

auditctl -w /tmp -p e -k tmpwatch

Hiermit werden Executes aus dem /tmp Verzeichnis gelogged, interessant evtl fuer Server welche kein noexec /tmp gemounted haben (warum auch immer).

Nun wieder zurueck zu meinem Problem, die veraenderten .htaccess Files, ein kleiner find sollte nun alle vorhandenen .htaccess Files in mein Monitoring aufnehmen und nach einigen Tagen zeigte sich ein doch recht ungewoehnlicher Fund. Die .htaccess Dateien wurden nicht wie erwartet von einem Script geaendert sondern ueber vsftp und diversen Userlogins, hier wurden einige Konten kompromittiert welche die ueblichen 8 Zeichen alphanumerischen Kennwoerter aufgewiesen haben, leider ist bis heute unklar wie der Hacker an die Logins gekommen ist. Wahrscheinlich ist jedoch eine Bruteforce Attacke und eine laengere Vorbereitungszeit durch den Angreifer. Da alle Passwoerter Standard generiert wurden durch Confixx war zumindest der Zeichensatz und die Laenge bekannt.

Generell ist natuerlich jedem zu empfehlen der Auditd testen moechte die manpages zu lesen, denn alle moeglichen Optionen hier zu posten waere nicht wirklich Sinn des Ganzen.

Jeder Like, jeder Share und jeder Daumen hoch ist einiges Wert, genug geschrieben Augen auf:
https://www.youtube.com/watch?v=-R79hx6msyA