[FC2] Directory zonder naam in /tmp ?! - Linux en overige clients

woensdag 18 mei 2005 15:43

Acties:

Topicstarter

Ik heb in de directory /tmp op mijn productie-server een directory zonder naam staan. Eigenaar is apache.

Wat is dit ?? En als het niks is .. hoe kom ik er in godsnaam vanaf .. Beetje lastig 'rm' als je geen naam hebt

ik vertrouw het niet.

code:

[root@srv01 tmp]# ls -al
total 292
drwxr-xr-x   3 apache apache  4096 May  7 14:00
drwxrwxrwt   4 root   root   24576 May 18 15:35 .
drwxr-xr-x  22 root   root    4096 May 11 02:14 ..
drwxrwxrwt   2 root   root    4096 May 11 02:14 .ICE-unix
-rw-------   1 apache apache   148 May 18 13:18 sess_00248417ac67f273a51c90ad9a997aa4

woensdag 18 mei 2005 15:45

Acties:

rb338

Hoezo geen naam? de naam is toch sess_00248417ac67f273a51c90ad9a997aa4?
Die ene zonder naam

bovenaan niet gezien...

En aangezien het van Apache is zou ik het niet weghalen

Nieuwsgierig: Waarom wil je 'm per sé weghalen?

[ Voor 18% gewijzigd door rb338 op 18-05-2005 15:46 ]

woensdag 18 mei 2005 15:48

Acties:

BoXie

Topicstarter

Nou ik ben nogal paranoide als het gaat om dit soort dingen op mijn server. Iets wat naamloos is (en dus eigenlijk niet kan) vertrouw ik niet.

woensdag 18 mei 2005 15:58

Acties:

BoXie

Topicstarter

Ik kreeg even een idee .... en dan blijkt dat de inhoud als volgt is:

code:

[root@srv01 tmp]# find . -type d -print
.
./
./ /vi
./ /vi/log
./ /vi/log/psybnc.log.old
./ /vi/scripts
./ /vi/scripts/example
./ /vi/motd
./ /vi/lang

En wat moet 'vi' nou met apache als owner ?!

woensdag 18 mei 2005 16:00

Acties:

Verwijderd

Je zou 's kunnen proberen om mc te starten in /tmp en kijken of je 'm daarmee weg kan gooien?

woensdag 18 mei 2005 16:11

Acties:

BoXie

Topicstarter

Verwijderd schreef op woensdag 18 mei 2005 @ 16:00:
Je zou 's kunnen proberen om mc te starten in /tmp en kijken of je 'm daarmee weg kan gooien?

Goed plan !!
Heb het gedaan .. zaakje is weer clean. Toch raar ...

woensdag 18 mei 2005 16:12

Acties:

Verwijderd

rm -i *
dan vraagt ie per dir/file of je het wil verwijderen, zojuist zelf getest, werkt perfect..

woensdag 18 mei 2005 16:27

Acties:

BoXie

Topicstarter

Ja inderdaad .. pfff .. soms ligt de oplossing voor je neus .. maar kijk je eroverheen

Thanx mensen.

woensdag 18 mei 2005 16:28

Acties:

Sir Isaac

Met mkdir " " kun je gewoon een directory aanmaken met een spatie als naam. Slechte zaak. Als ik jouw was zou ik toch uitzoeken of het inderdaad niet met een hackpoging te maken heeft.
Overigens werkt rm -R " " prima, daar heb je geen mc voor nodig.

woensdag 18 mei 2005 18:12

Acties:

BoXie

Topicstarter

Hmm .. ik had wel rm -R ` ` geprobeerd .. maar dat werkte niet .. " " dus wel ..

Wat is eigenlijk het verschil tussen commando's tussen ` ` en " " ?

woensdag 18 mei 2005 18:27

Acties:

StefSybo

Tussen `` is een commando dat hij uit moet voeren en tussen "" is een string (die eventueel wel variabelen mag bevatten). Dan is er ook nog '' en dat is een letterlijke string, dus zonder variabelen of andere tekens met een speciale betekenis.

woensdag 18 mei 2005 18:31

Acties:

Verwijderd

BoXie schreef op woensdag 18 mei 2005 @ 18:12:
Hmm .. ik had wel rm -R ` ` geprobeerd .. maar dat werkte niet .. " " dus wel ..

Wat is eigenlijk het verschil tussen commando's tussen ` ` en " " ?

met `` wordt de uitvoer van het commando tussen de ` tekens letterlijk gebruikt, bijvoorbeeld:
/home@localhost$ cd `cat /home/naam/dir_path.txt`

met ' en " tekens quote je iets. onder andere om speciale tekens als spaties en line breaks te gebruiken
vaak wordt het gebruikt om een lapje tekst te onderscheiden van andere parameters of zommando's, zoals:
~@localhost$ mkdir "test dir"

woensdag 18 mei 2005 19:19

Acties:

_JGC_

Overigens zijn die bestanden via een of andere hack op je systeem terechtgekomen, hetzij met een lek PHP of CGI script, hetzij door een lekke apache (configuratie). De naam zegt dat het vi is, maar aan psybnc benamingen te zien is het gewoon een IRC bot die remote bediend kan worden.

woensdag 18 mei 2005 20:54

Acties:

Paul

_JGC_ schreef op woensdag 18 mei 2005 @ 19:19:
Overigens zijn die bestanden via een of andere hack op je systeem terechtgekomen, hetzij met een lek PHP of CGI script, hetzij door een lekke apache (configuratie). De naam zegt dat het vi is, maar aan psybnc benamingen te zien is het gewoon een IRC bot die remote bediend kan worden.

Inderdaad.

Check dus ook meteen even of er nog processen draaien die je niet kent. Wat dat betreft had je hem beter even kunnen laten staan en (bijv.) kijken wat er aan executable gemodde files instaat

Ook kun je (als /tmp een apart filesystem/mountpoint is) de optie noexec meegeven aan mount, dan kan er niets worden uitgevoerd vanaf /tmp

Wel heb ik al ondervonden dat je dan onder Debian niet meer kunt apt-getten omdat die (uiteraard) /tmp gebruikt voor de pre- en post-install scriptjes oid (hoe dan ook, ik kreeg er een foutmelding op bij apt-get),

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 18 mei 2005 22:43

Acties:

Seth4Chaos

that's me...

Paul Nieuwkamp schreef op woensdag 18 mei 2005 @ 20:54:
[...]

Inderdaad.

Check dus ook meteen even of er nog processen draaien die je niet kent. Wat dat betreft had je hem beter even kunnen laten staan en (bijv.) kijken wat er aan executable gemodde files instaat

Ook kun je (als /tmp een apart filesystem/mountpoint is) de optie noexec meegeven aan mount, dan kan er niets worden uitgevoerd vanaf /tmp Wel heb ik al ondervonden dat je dan onder Debian niet meer kunt apt-getten omdat die (uiteraard) /tmp gebruikt voor de pre- en post-install scriptjes oid (hoe dan ook, ik kreeg er een foutmelding op bij apt-get),

ook dat is op te lossen: http://www.linuxsecurity....-debian-howto/ch4.en.html en dan puntje 4.7.1

Mistakes are proof that you are trying...

woensdag 18 mei 2005 22:48

Acties:

BoXie

Topicstarter

Damn.

Dat is niet zo fijn. Ik heb de directory reeds verwijderd .. en Rootkithunter (www.rootkit.nl) heeft niks gevonden. Ben ik nu safe? Of kan hij buiten /tmp ook nog vanalles gedaan hebben ? Het is een Plesk-based systeem en die gebruikt onder andere als PHP 'open_basedir' de klant zijn webroot en /tmp.

Ik heb een tijd geleden wel de phpBB installatie van een klant erafgegooid omdat er een partij rare urls /tmp files .. op afkwam .. iets met 'niggah' ofzoiets .. weet niet meer precies hoe dat zat. Misschien dat het zaakje toen begonnen is.

[ Voor 56% gewijzigd door BoXie op 18-05-2005 22:55 ]

woensdag 18 mei 2005 23:39

Acties:

Paul

Oude phpBB versies zijn inderdaad te exploiten, daar _kan_ het mee gekomen zijn, maar hoeft niet.

Mocht je het echt niet vertrouwen: herinstall

Probleem is namelijk: een (zeer) onbetrouwbare derde heeft het voor elkaar gekregen een door hem geupload bestand uitgevoerd te krijgen. Eenmaal op dat punt kan hij proberen verder te komen, eenmaal in een shell is het veel simpeler om verder te hacken

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

Pagina: 1

Reageer