Het gaat om een recent (1 maand oud) geinstalleerde machine. Ik heb er een standaard install van SuSE 9.1 op laten zetten.
Het eerste wat ik gedaan heb:
- Alle voorgeinstalleerde services eraf
- nieuwste OpenSSL + OpenSSH erop, alleen root login met password-protected private key is mogelijk. (OpenSSH_4.0p1, OpenSSL 0.9.7f 22 Mar 2005)
- nieuwste versie apache (Server version: Apache/2.0.53, Server built: Mar 29 2005 02:46:43)
- (toen) nieuwste versie PHP5 (PHP 5.0.3 (cli) (built: Mar 29 2005 01:53:21)), als apache shared module. Er zijn geen kritieke fouten gevonden in 5.0.3, al is er al wel een 5.0.4 uit.
Alleen de poorten 22,80,443 staan open in de firewall voor NEW, ESTABLISHED en RELATED verkeer. Verder wordt alles geblokt (inkomend dan).
Vanmorgen logde ik voor het eerst in na de install rond eind maart, en ik zag een process genaamd 'isec' draaien, wat 100% cpu trok. Even gezocht waar het stond (find / -name isec), en toen trof ik een hoop troep aan in de /tmp map.
De standaard kernel bij SuSE 9.1 is: (uname -a)
Linux p15097278 2.6.9-041221 #1 SMP Tue Dec 21 16:00:43 CET 2004 i686 i686 i386 GNU/Linux
Ik vraag me af hoe ik aan deze serie DoS tools en exploits kom. Het merendeel heeft als owner de webserver user en groep, wat erop duidt dat de bestanden via de webserver op de machine gekomen zijn. Dan is er nog de _elf_lib binary, die als owner root heeft.
Verder draai ik op deze machine een oude versie van phpBB (website van een bekende) zag ik net, versie 2.0.8, heeft hij zelf geinstalleerd.
Hmmm http://www.pandasoftware....aspx?IdVirus=56520&sind=0 Ik zie dat ik wat te snel gepost heb. Dit moet dan wel een aangepaste vorm van Santy zijn, aangezien ik geen vervangen pagina's heb, en ik een stel extra exploits heb die niet bij santy horen.
Kan iemand me uitleggen hoe deze worm (ongeveer) te werk gaat? Ik zou zeggen dat, zelfs als phpBB lek is, er nog niets aan de hand is. Apache draait immers onder een non-priviliged account. Is phpBB soms zo lek dat er arbitraire bestanden kunnen worden geupload, en uitgevoerd? Dat zou verklaren waarom er ook andere exploits op staan, er zit een downloader bij.
-- edit:
phpBB zojuist bijgewerkt naar 2.0.13
rootkithunter uitgevoerd, vond niets
chkrootkit vond ook niets
nmap -sS vanaf een andere host levert geen openstaande poorten op, buiten de bekende poorten
Ook draaien er geen onbekende processen
Het eerste wat ik gedaan heb:
- Alle voorgeinstalleerde services eraf
- nieuwste OpenSSL + OpenSSH erop, alleen root login met password-protected private key is mogelijk. (OpenSSH_4.0p1, OpenSSL 0.9.7f 22 Mar 2005)
- nieuwste versie apache (Server version: Apache/2.0.53, Server built: Mar 29 2005 02:46:43)
- (toen) nieuwste versie PHP5 (PHP 5.0.3 (cli) (built: Mar 29 2005 01:53:21)), als apache shared module. Er zijn geen kritieke fouten gevonden in 5.0.3, al is er al wel een 5.0.4 uit.
Alleen de poorten 22,80,443 staan open in de firewall voor NEW, ESTABLISHED en RELATED verkeer. Verder wordt alles geblokt (inkomend dan).
Vanmorgen logde ik voor het eerst in na de install rond eind maart, en ik zag een process genaamd 'isec' draaien, wat 100% cpu trok. Even gezocht waar het stond (find / -name isec), en toen trof ik een hoop troep aan in de /tmp map.
code:
1
2
3
4
5
6
7
8
9
10
| -rw-r--r-- 1 nobody 4294967295 1487 Mar 30 23:51 1.c -rw-r--r-- 1 nobody 4294967295 7895 Mar 30 23:53 2.c -rw-r--r-- 1 nobody 4294967295 7895 Mar 30 23:53 2.c.1 -rwxr-xr-x 1 root root 8192 Apr 12 18:16 _elf_lib -rwxrwxrwx 1 nobody 4294967295 28792 Feb 20 21:24 isec -rw-r--r-- 1 nobody 4294967295 12651 Apr 4 11:02 pwned.c -rwxrwxrwx 1 nobody 4294967295 18838 Mar 6 11:05 stackgrow -rw-r--r-- 1 nobody 4294967295 555 Feb 8 01:25 sun.pl -rw-r--r-- 1 nobody 4294967295 18742 Apr 1 20:42 use.c -rw-r--r-- 1 nobody 4294967295 12717 Apr 1 20:38 uselib.c |
De standaard kernel bij SuSE 9.1 is: (uname -a)
Linux p15097278 2.6.9-041221 #1 SMP Tue Dec 21 16:00:43 CET 2004 i686 i686 i386 GNU/Linux
Ik vraag me af hoe ik aan deze serie DoS tools en exploits kom. Het merendeel heeft als owner de webserver user en groep, wat erop duidt dat de bestanden via de webserver op de machine gekomen zijn. Dan is er nog de _elf_lib binary, die als owner root heeft.
Verder draai ik op deze machine een oude versie van phpBB (website van een bekende) zag ik net, versie 2.0.8, heeft hij zelf geinstalleerd.
Hmmm http://www.pandasoftware....aspx?IdVirus=56520&sind=0 Ik zie dat ik wat te snel gepost heb. Dit moet dan wel een aangepaste vorm van Santy zijn, aangezien ik geen vervangen pagina's heb, en ik een stel extra exploits heb die niet bij santy horen.
Kan iemand me uitleggen hoe deze worm (ongeveer) te werk gaat? Ik zou zeggen dat, zelfs als phpBB lek is, er nog niets aan de hand is. Apache draait immers onder een non-priviliged account. Is phpBB soms zo lek dat er arbitraire bestanden kunnen worden geupload, en uitgevoerd? Dat zou verklaren waarom er ook andere exploits op staan, er zit een downloader bij.
-- edit:
phpBB zojuist bijgewerkt naar 2.0.13
rootkithunter uitgevoerd, vond niets
chkrootkit vond ook niets
nmap -sS vanaf een andere host levert geen openstaande poorten op, buiten de bekende poorten
Ook draaien er geen onbekende processen
[ Voor 6% gewijzigd door B-Man op 12-04-2005 20:32 ]
:strip_icc():strip_exif()/u/22646/crop6531f78f6a5cb_cropped.jpg?f=community)
:strip_exif()/u/19165/9cdefd.gif?f=community)
:strip_exif()/u/29138/caffeine.gif?f=community)
:strip_exif()/u/83801/debian_eye.gif?f=community)
/u/14946/avat1.png?f=community)
. Dit is gewoon een van de servers die ik draai, waar niets nuttigs op staat, en daarmee een wat lagere prioriteit heeft in mijn planning.
Wat ik bedoelde te zeggen is dat deze processen onder non-priviliged gebruikers draaien. M.a.w.: als de software niet lek is, zal deze enkel bekende taken uitvoeren onder een non-root account. Als software (zoals phpBB in dit geval) lek is, is het inderdaad een ander verhaal.:strip_exif()/u/32244/icon.gif?f=community){kind=icon}
/u/18178/logo-60x60.png?f=community){kind=logo}
/u/47968/avatargot.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/2652/eend.jpeg?f=community)
/u/24313/tuxcrystal6060.png?f=community)
:strip_exif()/u/3443/lizard.gif?f=community)
:strip_exif()/u/24832/chaos-ani.gif?f=community)
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
:strip_icc():strip_exif()/u/111342/crop59c23ae9896fe_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/39108/shakira-avatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/6697/gerco-icon.jpg?f=community){kind=icon}