sslug-teknik team mailing list archive

Thread
Date

Re: Bot loaded successfully..... [Baliem Hacker Scanner]

To: sslug-teknik@xxxxxxxx
From: Peter Makholm <peter@xxxxxxxxxxx>
Date: Wed, 28 Nov 2007 07:33:37 +0000
Cancel-lock: sha1:8MMdnvVwSZuye+paQlMOgfe3jhU=
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Organization? Hell no!
User-agent: Gnus/5.110006 (No Gnus v0.6) Emacs/21.4 (gnu/linux)
Xyzzy: Nothing happens!

Peter Rude <phr@xxxxxxxx> writes:

> Kristian Vilmann skrev:

>> Reinstallerer din server. Du ved ikke hvad den bot har gjort ved dit system.

> Har ikke lige lyst til at geninstallere - I hvert fald ikke en SuSE 9.0

Dét tror jeg heller ikke at der er nogen der vil foreslå. Ingen grund
til at installere en 4 år gammel version. Vælg hellere noget nyt. Men
hvis du ikke har lyst til at geninstallere i denne situation, så sluk
din computer, træd 3 skridt tilbage og nærm dig ikke før du er kommet
på bedre tanker.

> Så jeg rodede lidt i apache's log filer og fandt følgende:
>
> sh: -c: line 2: syntax error near unexpected token `;'
> 'h: -c: line 2: `; 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm
> rm: cannot remove `\r': No such file or directory
> sh: line 2: /tmp/cmdtemp: Permission denied
> rm: cannot remove `\r': No such file or directory
> sh: line 2: /tmp/cmdtemp: Permission denied
> rm: cannot remove `\r': No such file or directory
> sh: line 2: /tmp/cmdtemp: Permission denied
>
> Hvilket lugter af et fejlslået forsøg på at installere noget snavs -

Hvilket ligner som et lykkes forsøg på at udføre noget
shell-script. At lige præcis det stykke shell-script indeholder en
fejl betyder ikke at der ikke er noget der er udført korrekt.

> I mellemtiden er der kommet lidt mere interessant i min /tmp mappe :
>
> scan.txt dateret Nov 27 14:25
> Et langt perl script som starten med flg:
> ----- snip----
> #!/usr/bin/perl

[...]

> ----snip----
> Den er ikke eksekverbar.

Det er underordnet. Angriberen har allerede vist at hun kan udføre
ting på din computer. Der vil næppe være den store forskel mellem at
udføre '/usr/bin/perl /tmp/foo' og '/tmp/foo'.

Under Linux vil x-bitten i langt de fleste tilfælde bare være et
spørgsmål om bekvemlighed.

> Umiddelbart vil jeg mene at serveren er under angreb - meilserveren har
> været usædvanligt belastet at mails til irrelevante adresser, men der er
> ikke blevet sendt noget videre ud - jeg kan ikke se nogle tegn på at
> angrebet er lykkedes - Der er ikke nogen kunst at skrive til /tmp men
> det er en lidt større kunst at afvikle kode der.

Men du har allerede vist at angriberen har kunen udføre et
shell-script. Derfra er det næppe nogen større kunst at udføre
perl-scripts. 

Få nu reinstalleret den maskine. Selvom du kan fjerne alle spor har du
ikke den ringeste ide om hvad der er af ting du ikke har fundet.

//Makholm

References

Bot loaded successfully..... [Baliem Hacker Scanner]
From: Peter Rude, 2007-11-27
Re: Bot loaded successfully..... [Baliem Hacker Scanner]
From: Kristian Vilmann, 2007-11-27
Re: Bot loaded successfully..... [Baliem Hacker Scanner]
From: Peter Rude, 2007-11-27