Nem olvastam végig a thread-et, mert sokan írtak, lehet született megoldás, lehet nem.
A web szerver naplókba a következőre keress: eval=system(
config.inc.php -t fogják elvileg ily módon paraméterezve meghívni.
Aztán lesz wget, meg egyéb letöltések, amivel a shellbot-ot töltik le.
Régi PhpMyAdmin bug, hozzá tartozó CVE: CVE-2009-1151
A nagy mennyiségű UDP forgalom pedig DDoS.
A /tmp törlésével repül a shellbot-uk is (futó process-ek között httpd néven szerepel).
A szóban forgó shellbot tud DDoS-olni, remote access-t garantálni. Ha nézegeted még picit
a web szerver naplót lehet találsz más forrásról más állományletöltést is. Ott kicsit több
cuccot töltenek le, szintén backdoor-okat, syn és udp flood scripteket, elég sok perl és
python dolog. (A naplókban *.png, *.jpg-k szerepelnek a wget mögött, de ezek tar.gz-k.)
A gép egy botnet része lesz, IRC-n van a command channel.
Védekezni a következőképpen:
Tűzfal:
- Befelé csak az engedélyezett szolgáltatások legyenek elérhetőek (iptables, NEW, RELATED, ESTABLISHED states)
- Kifelé kizárólag ezek a szolgáltatások kommunikálhassanak, csak RELATED, ESTABLISHED
kapcsolatokra mehessen válasz. Persze itt gondolni kell még DNS kérésekre, egyebekre,
amik kifele kellenek.
(Így a támadónak nehezebb dolga van, mert a bind shell-t adó backdoor-ok rögtön nem
működhetnek, a reverse connect téma pedig lényegesen nehezebb, de adott esetben ez
utóbbi még működhet.)
Ha a tűzfalat úgy állítod be, hogy naplózzon, pl. az eldobott, kifelé tartó csomagokat
is, kiszűrheted (nem garantált, csak nagyobb az esélyed), hogy van-e még backdoor a
rendszeren.
Alkalmazás:
- PhpMyAdmin ugrade-et követően egész jó vagy. Egyébként ssh kivételével (mert feltételezem
az kell neked, de fentebb említett knockd-s ssh jó ötlet, csak akkor tűzfalra figyelni kell),
minden más alkalmazás, ami bármilyen adminisztratív tevékenységre ad lehetőséget, internet
felől történő elérését tiltani kell.
- Rendszeres update minden alkalmazásra, szolgáltatásra.
Vírusirtó, IPS:
- A fent említett shellbot-ot pl. a vírusirtók ismerik. :)
- A többi cuccot, amit letöltenek, már nem feltétlenül ismerik, de shellbot esetén már
kaptál volna riasztást, időben.
Mindenesetre a rendszer reinstall erősen javasolt. A szóban forgó sérülékenységet kihasználva csak
www-data -ként tevékenykedhettek első körben, de, ha nem lusták próbálkozhattak priviledge escalation-nal,
mondjuk egy local kernel exploit-tal.
Másik kérdésre válasz:
Nem létező szolgáltatásokra lehet filtereket, egyéb védelmet beállítani, a megoldás működésétől
függően plusz erőforrást vehet ez el.
Fene, regényt tudnék már írni lassan, úgyhogy befejezem. Ha esetleg kell még segítség, akkor privátban
elérhető vagyok (feltéve, ha a HUP küld e-mail értesítést - nem tudom hogy működik).