----- Forwarded message from paspao <paspao(at)gmail.com> ----- From: paspao <paspao(at)gmail.com> To: ml(at)sikurezza.org Subject: Aiuto con Stealth Shellbot
salve a tutti, sto cercando di fare hardening di un web server su cui sono riusciti a far entrare uno script perl Stealth Shellbot. Chkrootkit e rkhunter non danno allarmi. Sto cercando di trovare lo script php vulnerabile, nel frattempo ho installato mod_security con regole prese da gotroot. Vorrei capire meglio alcune cose: - sapreste descrivermi cosa pu? fare lo script oltre a connettersi ad irc? - come mai un find / -name sess_308b.txt -print non trova il file scaricato? - posso impedire ad apache di usare il perl o di usarlo seletivamente solo per alcuni virtualhost? tracce trovate nel error.log di apache : perl(7702): Operation not permitted perl: no process killed perl(7702): Operation not permitted perl: no process killed perl(7702): Operation not permitted perl: no process killed perl(7702): Operation not permitted perl: no process killed --23:58:57-- http://usuarios.arnet.com.ar/adrikrasnow/sess_308b.txt => `sess_308b.txt' Resolving usuarios.arnet.com.ar... 200.45.0.139 Connecting to usuarios.arnet.com.ar[200.45.0.139]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 29,269 [text/plain] 0K .......... .......... ........ 100% 41.62KB/s 23:58:58 (41.62 KB/s) - `sess_308b.txt' saved [29269/29269] Grazie Ciao Paolo ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
