funl0l ha scritto: >> Allora gente, la situazione e` molto seria. >> Giorni fa sono state violate due box (una CentOS e una Ubuntu hardy) con >> lo stesso metodo (vedere i log che ho postato sul mio blog). >> > > Puoi dirci come hai interpretato quei log che hai postato sul tuo blog > e sopratutto, da essi, dove è l'evidenza che ti ha fatto pensare ad > uno 0day sul core di apache2? >
Dai Log non c`e` nulla di evidente che possa avvalorare la mia tesi e renderla come "verità assoluta", il contesto che ho descritto pero` mi sembra molto chiaro. Tutto inizio alcune settimane fa (ormai un mese? boh..) quando un paio di utenti si fecero vivi (con un 5 giorni circa di distacco) in #ubuntu-hardned per notificarci un`intrusione subita. Entrambi ci dissero che avevano solo e soltanto apache2 in running ed entrambi riscontrarono una sorta di rootkit caricato in /tmp. Uno dei due ci chiese informazioni riguardo alcune fix che a lui sembravano non essere attive, ma presenti e pubblicate nell`archivio CVE. Dopo un`attenta verifica dello status delle fix nel pacco che distribuivamo sia io che gli altri sviluppatori non dammo molto peso alla situazione, ma poi nel giro di poco tempo la situazione si e` verificata nuovamente su due box a cui io avevo accesso. La prima (CentOS apache 2.2.8) con script php e moduli vari, la seconda con solo apache "puro" attivo (ubuntu hardy con apache 2.2.8). Entrambe le box con errorlog (che ho postato) praticamente identico. Aver visto e subito la questione, sapendo come era configurata la macchina e via discorrendo mi porta sempre di piu` ad avvalorare la tesi, ma concordo con ascii.. al momento non abbiamo (ne io ne voi a quanto pare) maggiori informazioni a riguardo.. quindi tanto vale aspettare ed avere un minimo di report utilizzabile. E. Da quel momento come ripeto -- Emanuele Gentili | http://launchpad.net/~emgent [EMAIL PROTECTED] | Ubuntu Security Developer [EMAIL PROTECTED] | Window Maker Developer [EMAIL PROTECTED] | Rapache Developer [EMAIL PROTECTED] | nUbuntu Developer [EMAIL PROTECTED] | Joomla! Security Developer Key fingerprint: F4B7 0793 069A 217E BB9F 8925 E0AC 34C2 2201 1E9A gpg --keyserver keyserver.ubuntu.com --recv-keys 22011E9A
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
