Привет. У меня дедик. Пару дней назад я получил от хостера письмо - на сервер прислали абузу, с сервера была атака. Что случилось - с ходу понять не удалось. Я отписал хостеру, что нужна более подробная инфа, что за атака, куда, в каком виде, и т.д., кроме того, сказал чтобы не менжевались и сами прошмонали сервер. От хостера пока что не было ответа, но сегодня в top-е я обнаружил, что perl жрет 100% CPU, хотя все сайты у меня на php, а сервер используется только под веб. Я сменил рутовый пароль и бутнул сервер (однако протупил, и не посмотрел, кем был запущен perl). Сделав find / -name *.pl я нашел в /var/tmp/d.pl вот это: http://www.everfall.com/paste/id.php?6svv31r0bzsy Пока что все тихо, сегодня отпишу хостеру о находке, но все еще есть вопросы: 1. Как оно туда попало? 2. Как узнать, кем оно запускалось? 3. Как убедиться в том, что все вычещено и этого больше не повторится? (файл d.pl я удалил)
Как угодно, начиная, как сказал im1111, от брута заканчивая закрытыми багами в сетевых демонах вплоть до апача/нгикса + php-скрипты одна большая дырка в большинстве случаев, смотрите логи веб-сервер, если у вас сконфигурировано. Это бэк-коннект, там в параметрах ип, посмотреть можно через ps или vim ~/.bash_history. Хотя если лазил не полный школий то врядли вы что-либо найдете. 1. find / по дате создания d.pl. Результаты вероятно будут обильными, + поиск последних модифицированных с битом x. 2. Rkhunter/chkrootkit 3. Tripwire 4. Установка обновлений/проверка входных параметров в скриптах/пароли
Бгггг вас порутал кто из наших инжекторовцов на рутворме в привэйт ареа выкладывался мой переработанный мод системы организации ботнет сетей юниксоподобных машин LinuQ RW( своеобразный комбайн со всякими ремоут сплоетами в частности для pma, всяких движков, самбы, фтп, и прочих сетевых демонов. В качестве пайлоада можно прикрутить любой шел скрипт, бинарник или прочий файл)
> Satsura кажется когото из ваших инжекторовцев ждет статья - Clyde, да ладно ? > Satsura Ну рассказывай тогда чо делать ) Да, и главное - каким образом порутал-то? - чего рассказывать то ? (: все я описал в первом посте. паблик версия (представленна ввиде ддос бота). скачать можно отсюда .: http://dump.uz/downloadf-25b9d7e2b41-7z.html В priv8 версии есть куча интересных модулей и сплоентов, ну например : Код (Text): my $packet = "\x4D\xXX\x48\xXX\x4D\x58\x20".$file. "\x20\x48\x54\xXX\xXX\xXX\x31\x2E\x31\n". "\x48\xXX\x73\xXX\x3A\x20".$host."\n\n\n"; для обхода basic & digest авторизации на сервере [htaccess, httpd.conf] apache. 6 сплоетов для пробива pma(phpmyadmin), remote xploits для samba, wuftp, proftpd, etc , ну и для популярных двигов (joomla, wordpress, phpbb, drupal, etc). Включена система автоматизации сканирования по доркам и просто диапазонам адрессов. насчет пайлоада уже отписал. все управление ботнетом (пробив, инстал, управление) производится через веб панельку с удобной статой (;
Satsura Ого, а это как? Всякие CMS-ки то - хер с ними, понятно что везде дыры, но апач? Неужели апачевская авторизация тоже уявзимости имеет?
> Ого, а это как? Всякие CMS-ки то - хер с ними, понятно что везде дыры, но апач? Неужели апачевская авторизация тоже уявзимости имеет? - апач нынче дырявый как сито, переходи на нжэйникс (:
На дамаге обсуждается паблик мод https://damagelab.org/index.php?showtopic=21876 зы.: остерегайтесь барыг, настоясчие приваты не продаюцо :p
