/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Trojan attack mod min server
Fra : ST


Dato : 17-05-06 19:25

Mandag aften opdager jeg tilfældigt via ntop en IP adresse der er fast
koblet op på min server, og det er ikke HTTP trafik, men mystisk stabil
trafik i små pakker mod port 2343.

Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan der i
slutningen af december 2005 er sluppet ind på min server via et PHP hul og
har bidt sig fast i crontab.

Læs mere på http://swampthing.dk/attack1/

PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over hvad
det hul kan have været brugt til, kan nemlig ikke finde ret meget info om
sådan noget på google???

Mvh
Torben



 
 
Alex Holst (17-05-2006)
Kommentar
Fra : Alex Holst


Dato : 17-05-06 21:45

ST wrote:
> PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over hvad
> det hul kan have været brugt til, kan nemlig ikke finde ret meget info om
> sådan noget på google???

Det kan være brugt til alt man kan bruge en brugerkonto til, inkl.
afsendelse af spam, opbevaring af børneporno, denial of service angreb
mod andre, etc.

Mit personlige gæt er spam eller DoS.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Morten K. Poulsen (21-05-2006)
Kommentar
Fra : Morten K. Poulsen


Dato : 21-05-06 02:57

On Wed, 17 May 2006 20:25:26 +0200, ST wrote:
[snip]
> Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan
[snip]
> Læs mere på http://swampthing.dk/attack1/

Grunden til at den hedder /tmp/upxXXXXXX er at trojanen er komprimeret med
UPX (http://www.upx.org/). Det har - som sådan - ikke noget med trojanen
selv at gøre.

> PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over
> hvad det hul kan have været brugt til, kan nemlig ikke finde ret meget
> info om sådan noget på google???

Du kan pakke trojanen ud:

$ echo -ne "\177\105\114\106\001...\005\000\000\37777777777" >/tmp/trojan
$ upx -d /tmp/trojan

og kigge lidt på de strenge den indeholder:

$ strings /tmp/trojan
....
shell
NOTICE %s :what?
/bin/sh
missing /bin/sh
dos
NOTICE %s :version %s
stop
NOTICE %s :stopped
....

Det ser ud som om trojanen (blandt andet) kan starte en shell på din
server og udføre et denial of service-angreb.

mvh
Morten K. Poulsen

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste