LINUX.ORG.RU
ФорумAdmin

ломанули ...мля


0

0

Стоял у меня apache-1.3.23, думаю через него и ломанули, переполонив буфер, по логам error_log было видно, атаку обнаружил через пару часов по пришедшим с сервера отчетам, в отчетах был листинг nmap с другого сервака, смотрю там порт 5788 открыт, в листинге процессов - левый процесс ./xfs он порт и держал. Зателнетился на 5788 - точно, падлы шелл подняли из под пользователя apache, благо до рута не добрались и бинарники не успели подменить или модуль повесить (хотя и файлов никаких не нашел левых). Так вот хочу спросить чо за бакдор поставили - самописный что-ли ? или какой известный, за любую инфу благодарен буду .. P.S. обновляейте апач :)

anonymous
Ответ на: комментарий от anonymous

проверил я файлы chkrootkit да и tripwire отчет нормальный выдал по файлам, просто вопрос мучает что за бакдор поставили ... а на батрак подписался уже :)

anonymous
()
Ответ на: комментарий от anonymous

под линукс есть такая хитро#опая вирусяка (именно вирусяка), которая заражает многие (не все) бинари из /bin, включая rpm и фейкает его (rpm) вывод. правда ей рута нуна. я когда на такой напоролся на ломаной машине, я так и не понял как его залечить, пришлось все переставлять нафик. название этой сволочи не знаю, первый раз ее видел. так что сравни размеры файлов ls, rpm, find (все что помню, еще помню, что ps точно не заражало) из дистрибуции.

anonymous
()

да кстати, apache+php -- это кирдык котенку :) рылся в гугле, пятая или шестая ссылка apache+php+exploit дала рабочий эскплойт который валил апач в корку, причем никаких там особых телодвижений типа бинарных запросов, все честно можно было провернуть даже телнетом на 80 порт :(

anonymous
()
Ответ на: комментарий от anonymous

апач <= 1.3.чего-то-там
пыхпых <= 4.0.опять-же-чего-то-там
я точно не помню, но утверждалось что оно срабатывало на целую линейку сочетаний

anonymous
()
Ответ на: комментарий от anonymous

блин на секьюритифокус закладку делал, но чо-то она не открывается :( на всякий случай на: http://online.securityfocus.com/archive/82/259542 тока здесь афаир он не шибко рабочий как раз был, а рабочий я брал откуда-то с другого места

anonymous
()
Ответ на: комментарий от anonymous

всем спасибо за советы, тоже смотрел поисковики - короче ситуация такая, что если apache 1.3.27 и ниже, или openssl-0.9.7c и ниже, то можно либо шел апачевский получить через переполнение буфера либо DOS устроить, так что поставил apapche-1.3.29+openssl-0.9.7d ...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.