Take #2, deze backdoor die ik vond heeft toch iets meer schade aangericht dan ik dacht, apache is er nu mee gekapt. het begon toen ik allemaal vreemde processen zag draaien die zich zelf herstarten, ik kreeg al direct argwaan naar een cms like e107 of xoops en andere software die op deze home server stond. Ik kwam van een irc java webchat in init.php het volgende tegen(guunzip(<heeele lange code>) wat er uit ziet als:
(deze deed het dus niet meer omdat de apache stuk is )
zo als je ziet een stukje software waar je vrij veel mee kan doen. eng veel.
Nu nog steeds bezig met onderzoek doen maar kan nu bijna zeggen dat het lek bij phpbb lijkt te liggen, maar als ik logs na kijk wordt er ook via google veel gezocht naar een andere user.
Uranus is een process dat meedere keren draaide op de server.
Als ik naar andere proces lijsten kijk ziet het er uit alsof er een eggdrop onder apache draaide.
Ook kwam ik veel vreemde tcl bestanden tegen. waaronder uranus.tcl
De apache log van vandaag is 121mb, zeer vreemd voor een server die nauwlijks gebruikt wordt.
Kan iemand mij vertellen of het voor de hacker/script kiddo mogelijk is geweest dat ze een rootkit hebben geinstaleerd? in het verleden is keer ssh gebruteforced(leer moment!) maar toen deed bijvoorbeeld ls het niet meer en dat werkt nu wel(server is toen direct geherinstaleerd), dus zou het mogelijk geweest zijn onder apache een root kit te instaleren?
Dank voor de hulp
(deze deed het dus niet meer omdat de apache stuk is )zo als je ziet een stukje software waar je vrij veel mee kan doen. eng veel.
Nu nog steeds bezig met onderzoek doen maar kan nu bijna zeggen dat het lek bij phpbb lijkt te liggen, maar als ik logs na kijk wordt er ook via google veel gezocht naar een andere user.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| root@helle:/home/tscc/public_html/tehgim/salsa/phpBB/cache/...# ls -l total 2002 -rw-r--r-- 1 apache tscc 5216 2010-12-23 18:24 easy.php -rw------- 1 apache apache 872268 2011-01-15 20:25 hunter.gz -rw-r--r-- 1 apache tscc 141213 2010-12-23 16:35 psy.tar.gz -rw------- 1 apache apache 115158 2011-01-17 02:46 scan0.txt -rw-r--r-- 1 apache tscc 901348 2011-01-05 19:12 sledink.tgz drwxr-sr-x 10 apache tscc 1304 2011-01-24 23:16 uranus/ root@helle:/home/tscc/public_html/tehgim/salsa/phpBB/cache/...# |
Uranus is een process dat meedere keren draaide op de server.
Als ik naar andere proces lijsten kijk ziet het er uit alsof er een eggdrop onder apache draaide.
Ook kwam ik veel vreemde tcl bestanden tegen. waaronder uranus.tcl
De apache log van vandaag is 121mb, zeer vreemd voor een server die nauwlijks gebruikt wordt.
Kan iemand mij vertellen of het voor de hacker/script kiddo mogelijk is geweest dat ze een rootkit hebben geinstaleerd? in het verleden is keer ssh gebruteforced(leer moment!) maar toen deed bijvoorbeeld ls het niet meer en dat werkt nu wel(server is toen direct geherinstaleerd), dus zou het mogelijk geweest zijn onder apache een root kit te instaleren?
Dank voor de hulp
:strip_icc():strip_exif()/u/85308/mirko.jpg?f=community)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
