Собственно интересная проблема, вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top что они перестали работать, на апач поставили модуль rootme... запустили irc бот... вообщем все как обычно, если за тазиком не следят или не апдейтят Н-лет... Но в данном случае - проблем в том, что за ним - следят, стоит gentoo - обновленная максимум 2 недели назад, с тех пор ни в одном из portage - багов не замечено, но факт есть, тазик поламали. Предположительно взлом был через апач, по крайней мере в папке одного из сайтов лежит файлик crack -rwsr--r-- 1 root apache crack где crack - обычный bash Но опять таки - не ясно как ;( Понятно все, как и что ставили, как и что ломали, кроме одного, как произошло первое получение +s +root -- GSA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Segfault'ы были в логах ? А utmp/wtmp тёрлись ?
Собственно интересная проблема,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top
что они перестали работать, на апач поставили модуль rootme...
запустили irc бот... вообщем все как обычно, если за тазиком не следят или не апдейтят Н-лет...
Но в данном случае - проблем в том, что за ним - следят, стоит gentoo - обновленная максимум 2 недели назад, с тех пор ни в одном из portage - багов не замечено, но факт есть, тазик поламали.
Предположительно взлом был через апач, по крайней мере в папке одного из сайтов лежит файлик crack
-rwsr--r-- 1 root apache crack
где crack - обычный bash
Но опять таки - не ясно как ;(
Понятно все, как и что ставили, как и что ломали, кроме одного, как произошло первое получение +s +root
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Sergey A. Gribchenko wrote:
Но опять таки - не ясно как ;( Понятно все, как и что ставили, как и что ломали, кроме одного, как произошло первое получение +s +root
cacti присутствует ? Левые скрипты в php ? Что светит наружу? -- Алексей Радецкий CIO @ Net Style +38 (050) 4139380 RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Nov 06, 2007 at 02:23:50PM +0200, Sergey A. Gribchenko
Собственно интересная проблема,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top
что они перестали работать, на апач поставили модуль rootme...
запустили irc бот... вообщем все как обычно, если за тазиком не следят или не апдейтят Н-лет...
Но в данном случае - проблем в том, что за ним - следят, стоит gentoo - обновленная максимум 2 недели назад, с тех пор ни в одном из portage - багов не замечено, но факт есть, тазик поламали.
А gentoo никому не обещал накатывать security-патчи быстро. Так что отсутствие обновлений от дистрибутиводелателей - это еще не показатель. Тем более, из этого письма неясно, но на этом сервере точно не было "левого" кода? phpBB какого-нибудь...
Предположительно взлом был через апач, по крайней мере в папке одного из сайтов лежит файлик crack
-rwsr--r-- 1 root apache crack
где crack - обычный bash
Тогда это не "предположительно", это очевидно.
Но опять таки - не ясно как ;(
Понятно все, как и что ставили, как и что ломали, кроме одного, как произошло первое получение +s +root
Смотреть логи апача. Там _будет_ ответ. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Nov 06, 2007 at 02:53:45PM +0200, Victor Forsyuk wrote:
Смотреть логи апача. Там _будет_ ответ.
...если остались эти самые логи... -- VP992-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Nov 06, 2007 at 03:03:18PM +0200, Vladimir A. Podgorny
On Tue, Nov 06, 2007 at 02:53:45PM +0200, Victor Forsyuk wrote:
Смотреть логи апача. Там _будет_ ответ.
...если остались эти самые логи...
Никто не даст гарантии, что они обязательно останутся, но на практике я не встречался со взломами, когда бы чистили или убивали логи. Такие взломы происходят, естественно, не вручную. Сканируются тупо IPшники с известными запросами к URLам дырявых веб-приложений. При попадании машина автоматически заражается. Чистить логи - ручная работа и времязатратно для взломщика, удалять - более заметное действие, которое может вызвать более быстрое обнаружение взлома. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, 06 Nov 2007, Vladimir Sharun wrote:
Segfault'ы были в логах ? А utmp/wtmp тёрлись ?
Segfault - не было, Nov 5 18:52:26 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' utmp/wtmp не терлись, а вот логов апача, точнее информации в них - по тому сайту в домике которого лежал файлик - нет, хотя в австате - данные по ним есть, то есть их успешно потерли. Собственно на том сайте, через который предположительно произошло внедрение - дырявый форум, но даже допустим он дырявый, даже допустим у злодея есть шел, как он получил suid? -- GSA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, Nov 06, 2007 at 03:20:14PM +0200, Sergey A. Gribchenko
utmp/wtmp не терлись,
а вот логов апача, точнее информации в них - по тому сайту в домике которого лежал файлик - нет, хотя в австате - данные по ним есть, то есть их успешно потерли.
Значит к вам уже заходили. Так что если не уверены в своих силах, дератизацию системы наверное проще всего провести ее переустановкой...
Собственно на том сайте, через который предположительно произошло внедрение - дырявый форум, но даже допустим он дырявый, даже допустим у злодея есть шел, как он получил suid?
Ну как мы можем на это ответить, не видя этой машины? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Tue, November 6, 2007 08:35, Alex Radetsky wrote:
Sergey A. Gribchenko wrote:
Но опять таки - не ясно как ;( Понятно все, как и что ставили, как и что ломали, кроме одного, как произошло первое получение +s +root
cacti присутствует ? Левые скрипты в php ? Что светит наружу?
А что, про casti что-то плохое можешь сказать ? -- Amb =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top
Извините, что с дурацкими вопросами влажу. Какая "обычная" цель установки этого всего? Спам рассылать? -- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
IMHO це _оперативний_ "джентльменський наб?р" "кул хацкера". Т?па ?нструментар?й. За допомогою котрого дал? можна буде використати даний таз?к для "обычной цели" кул хацкера :)).
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Michael Petrusha Sent: Wednesday, November 07, 2007 12:58 PM To: Sergey A. Gribchenko Cc: uanog@uanog.kiev.ua Subject: Re: [uanog] похачили тазик... все б ничего
Hi,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, > как обычно влепили такие версии ps ls netstat top
Извините, что с дурацкими вопросами влажу. Какая "обычная" цель установки этого всего? Спам рассылать?
-- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Да не, это как раз что б не было видно того, что будет выполнять задачи хацкера, в списке процессов, открытых портов и т.п. :)
IMHO це _оперативний_ "джентльменський наб?р" "кул хацкера". Т?па ?нструментар?й. За допомогою котрого дал? можна буде використати даний таз?к для "обычной цели" кул хацкера :)).
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Michael Petrusha Sent: Wednesday, November 07, 2007 12:58 PM To: Sergey A. Gribchenko Cc: uanog@uanog.kiev.ua Subject: Re: [uanog] похачили тазик... все б ничего
Hi,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, > как обычно влепили такие версии ps ls netstat top
Извините, что с дурацкими вопросами влажу. Какая "обычная" цель установки этого всего? Спам рассылать?
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Угу. Чей-то не подумалось в этом разрезе... Тормознулнаг :).
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Sergey Holod Sent: Wednesday, November 07, 2007 5:13 PM To: uanog@uanog.kiev.ua Subject: Re: [uanog] RE: [uanog] похачили тазик... все б ничего
Да не, это как раз что б не было видно того, что будет выполнять задачи хацкера, в списке процессов, открытых портов и т.п. :)
IMHO це _оперативний_ "джентльменський наб?р" "кул хацкера". Т?па ?нструментар?й. За допомогою котрого дал? можна буде використати даний таз?к для "обычной цели" кул хацкера :)).
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Michael Petrusha Sent: Wednesday, November 07, 2007 12:58 PM To: Sergey A. Gribchenko Cc: uanog@uanog.kiev.ua Subject: Re: [uanog] похачили тазик... все б ничего
Hi,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top
Извините, что с дурацкими вопросами влажу. Какая "обычная" цель установки этого всего? Спам рассылать?
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (9)
-
Alex Radetsky -
amb@amb.kiev.ua -
Hrynchuk Oleh -
Michael Petrusha -
Sergey A. Gribchenko -
Sergey Holod -
Victor Forsyuk -
Vladimir A. Podgorny -
Vladimir Sharun