Egyik ismerősöm szerverén éppen ki-bejárkálnak. A /tmp/nt könyvtárba tettek fel egy jelszókereső scriptet, azt futtatják 1001 példányban. Találkoztatok már ilyennel? Tud valaki segíteni, hogy hol vagy hogyan keressem a behatolót?
Egyébként webhosting server, kb 200 weblappal és sajnos rendezetlen logokkal. Elég macerás így keresni bennük.
Az apacs error.log-ban találtam egyedül erre utaló nyomokat:
sh: /usr/bin/wget: Permission denied
[Mon Nov 22 20:21:20 2010] [notice] mod_python: Creating 8 session mutexes based on 150 max processes and 0 max threads.
[Mon Nov 22 20:21:21 2010] [notice] mod_python: using mutex_directory /tmp
[Mon Nov 22 20:21:21 2010] [notice] Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ssl/2.2.9 OpenSSL/0.9.8g configured -- resuming normal operations
sh: line 0: cd: /tmp/nt: No such file or directory
sh: -c: line 1: syntax error near unexpected token `;'
sh: -c: line 1: `; 1> /tmp/Ve_cENxShell 2>&1; cat /tmp/Ve_cENxShell; rm -rf /tmp/Ve_cENxShell'
Gondolom ezzel a Ve_cENxShell-el tették fel a scriptet, csak az kérdés hogyan került fel ez a shell. Valami Joomla-ra vagy egyéb php-s cuccra gondolok, de jó jönne egy kis segítség, hogy célirányosabban tudjak keresni.
Érdekességképpen:
A script kb. 2 napig futott. Ezalatt 375 jelszót talált meg véletlenszerű IP címeken. A legegyszerűbb egy "1"-es volt, a legbonyolultabb 16 char, de ez szótáras találat volt. A loginnév mindvégig "Administrator" volt.
- 5004 megtekintés
Hozzászólások
phpBB3, én is jártam így.
állítsd le az összes phpbb-s vhostot, irtsd ki az összes processzt és szokj rá az rkhunter-re meg a chkrootkit-re.
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
- A hozzászóláshoz be kell jelentkezni
Köszi! Közben nyakoncsíptem a behatolót, itt egy e107-es weblapon jött be, egy közkézen forgó exploittal.
- A hozzászóláshoz be kell jelentkezni
Ugye a shell_exec,eval,passthru,system es ilyesmik tiltva voltak/vannak legalább?
- A hozzászóláshoz be kell jelentkezni
Semmi nem volt tiltva, teljesen alap debian telepítés, a gép security faktora egyenlő a nullával. Csoda, hogy még csak most nyomták fel. Igaz még csak két hónapja megy ezen a vason egy kényszerköltözés miatt. Csak tudnám mit csinált idáig az illetékes rendszergazda?
Az én kompetemciám itt véget ért. SOS-ben hívtak fel kora este, hogy valami gáz van a szerverrel. Szerncsére sikerült megtalálnom, viszont az semmi értelme nem volt mert a tulaj nem akarta letiltani azt a bizonyos e107-es lapot mert egy országos közüzemi szolgáltató lapja. Innentől kezdve no comment. Holnaptól (vagy már most is) ugyanúgy fogja keresni a jelszavakat, vagy bármit.
- A hozzászóláshoz be kell jelentkezni
"...viszont az semmi értelme nem volt mert a tulaj nem akarta letiltani azt a bizonyos e107-es lapot mert egy országos közüzemi szolgáltató lapja..."
Ez van, ha uram-bátyám kapcsolatok nyernek meg nagyobb volumenű munkát és nem hozzáértők.
- A hozzászóláshoz be kell jelentkezni
hát igen...
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
- A hozzászóláshoz be kell jelentkezni
web tartalom lement
szerver újratelepít
webes tartalom visszatöltése.
A legalapabb, hogy a /tmp -re nosuid,noexec,nodev mount opció, de erősen javasolt az virtualhost docroot-ok file rendszerére is.
ja, és a php+apache+security kulcsszavakra talált oldalak intenzív olvasgatása sem árt.
- A hozzászóláshoz be kell jelentkezni
"A legalapabb, hogy a /tmp -re nosuid,noexec,nodev mount opció, de erősen javasolt az virtualhost docroot-ok file rendszerére is."
Erre van jobb megoldás azon kívül, hogy külön partíció és mountnál megadom?
- A hozzászóláshoz be kell jelentkezni
tmpfs, size= paraméterrel
+ megfelelő méretű swap (a futtatandó processzek által valaha szumma elfoglalt összes virtuális memória + a /tmp-be rakandó fájlok mérete - a gépben levő RAM mérete)
- A hozzászóláshoz be kell jelentkezni
subscribe
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni