Furcsa kérések localhostról

Web, mail, IRC, IM, hálózatok

Sziasztok!

Valami gyanús töténik a szerveren, és gondoltam felvetem, hátha látott már is valaki hasonlót. Időnként az Apache nem proxyzza tovább a kérést Jboss (Liferay) felé, ráadásul a gép ilyenkor úgy beáll, mint a gerely. Az alábbi dolgok tüntek fel a logokban:

Jboss, másodpercenként 20-30 db :
INFO [com.liferay.portal.util.PortalImpl] (http-127.0.0.1-8080-6) Current URL /index.php generates exception: null

Apache access.log:
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:54 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:53 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:54 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:54 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:54 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:55 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:55 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"
127.0.0.1 - - [06/Nov/2011:13:45:55 +0100] "GET / HTTP/1.0" 503 591 "-" "Wget/1.12 (linux-gnu)"

Az apache errors.log-ban ez van:
[Sun Nov 06 13:29:07 2011] [error] ap_proxy_connect_backend disabling worker for (127.0.0.1)
[Sun Nov 06 13:39:58 2011] [error] [client 66.249.72.130] request failed: error reading the headers
[Sun Nov 06 13:43:24 2011] [error] (111)Connection refused: proxy: HTTP: attempt to connect to 127.0.0.1:8080 (127.0.0.1) failed
[Sun Nov 06 13:43:24 2011] [error] ap_proxy_connect_backend disabling worker for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)
[Sun Nov 06 13:43:24 2011] [error] proxy: HTTP: disabled connection for (127.0.0.1)

Rácsatlakoztam vnc-vel a szerverre (ez egy VPS), és az alábbi fogadott (kb csak ez volt a képernyőn):
INFO: task wget:23554 blocked for more than 120 seconds."echo > 0 /proc/sys/kernel/hung_task_timeout_secs"

Hihetném azt, hogy csak véletlen egybeesés, de annál szkeptikusabb vagyok. Én nem tettem a gépre ilyen cron-t az tuti, és rajtam kívűl nem elméletben nem fér hozzá más a géphez. Láttatok már ilyet? A cron.d-ben meg a 2 felhasználó cronjában nem találtam semmit.

Köszi a válaszokat előre is.

  • 1676 megtekintés

( mhmxs v | 2011. 11. 10., cs – 21:15 )

Megtaláltam az ártó kódot a gépen. A jboss/bin/kisses könyvtárban találtam érdekes install scripteket, meg pl fájlokat, meg egy jboss classpathal játszadozó kis scriptecskét is. Természetesen egy nagycsomó rendszerfájlt is felülírtak. Találtam Tomcat JMX-re csatlakozó perl scriptecskét meg még egy rakás finomságot. Akit érdekel tudok teljes pakkot küldeni :)

Az index.php-val egyébként bruteforceolták a rendszert, login adatokat pumpáltak.

_____________________
OWASP AntiSamy Javaban