Emanuele Gentili ha scritto:
Allora gente, la situazione e` molto seria.
Giorni fa sono state violate due box (una CentOS e una Ubuntu hardy) con
lo stesso metodo (vedere i log che ho postato sul mio blog).
Nella prima box erano disponibili un paio di applicazioni php (per cui
da una prima analisi non ho immediatamente puntato il dito su apache2) e
nella seconda era presente solo e soltanto la pagina di default del
webserver, vale a dire <h1>It works!</h1> con nessun modulo o altro
attivo (vista l`installazione freschissima).
Purtroppo quindi, devo confermare quello che ho scritto nel post.
Al momento abbiamo scritto un`applicazione php (che sta girando in tutti
i server di Canonical Ltd.) che si occupa di loggare piu` a basso
livello e trasferire informazioni su una seconda box remota in realtime,
sperando di riuscire a catturare piu` informazioni a riguardo.
Tutt`avia gli attacker non sembrano cosi` svegli, pur non riuscendo a
prendere privilegi di amministrazione caricano un rootkit in /tmp.
A quanto visto dai tuoi log, cercano di eseguire delle sysctl, quali
kern.osname che sono chiavi tipiche del kernel *bsd.
Quindi, fa credere che sia un tool automatico che appena trova la
vulnerabilità, esegue l' exploit, "fregandosene" del sistema operativo
dietro. Mi sembra una cosa troppo automatica.
Fatto stà, che non siano molto svegli comunque :)
Francesco
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
