LINUX.ORG.RU

История расследования взлома Linux сервера с целью создания ботнета

 , ,


0

0

Ко мне поступил сервер с Linux CentOS 5.3 64bit, выполняющий роль коммерческого хостинга сайтов (WHM/cPanel), который был взломан и взломщики не потрудились вытереть за собой все инструменты, которые они использовали. Проанализировав их, я смог составить цепочку событий, которая привела к взлому сервера и компрометации рутовой учетной записи. Никаких логов небыло, так как они все были почищены, так что взломщик не оставил за собой следов, и я начал поистине детективное расследование — с уликами и подозреваемыми.

Все началось с того, что один из сайтов на хостинге был RFI, то есть использовал уязвимый движок, позволяющий выполнить удаленное подключение файла. И этот сайт был найден на хостинге при помощи сканера RFI.

После этого, используя найденную уязвимость, в /tmp заливается Remote Backdoor Shell — perl скрипт, открывающий доступ к командной строке сервера, работающий с правами вебсервера, в данном случае — nobody. Через этот скрипт в /tmp были установлены

>>> Статья

★☆

Проверено: maxcom ()

Ну уж нет, второй раз не апрувить.

Deleted
()

Прочёл бы каменты к своей новости!

Root-msk ★★★★★
()
Ответ на: NO WAY от kapsh

эм... а разве на /tmp на публичном веб сервере не стоило добавить noexec?

BaBL ★★★★★
()
Ответ на: комментарий от Poh

> Нужно Весь смысл статьи о том, что бывает если хостеры экономят на сисадминах

Вот, объясни зачем ты пришёл изливать свой /b/ред? Мог это сделать и в Talks.

Root-msk ★★★★★
()
Ответ на: комментарий от BaBL

> а разве на /tmp на публичном веб сервере не стоило добавить noexec?

А кого это остановит? Ничего не помешает вызвать /lib/ld.so или /bin/bash с именем файла.

kapsh
()
Ответ на: комментарий от kapsh

noexec Do not allow direct execution of any binaries on the mounted filesystem. (Until recently it was possible to run binaries anyway using a command like /lib/ld*.so /mnt/binary. This trick fails since Linux 2.4.25 / 2.6.0.)

srj ★★
()
Ответ на: комментарий от Poh

>> а разве на /tmp на публичном веб сервере не стоило добавить noexec?

> А кого это остановит? Ничего не помешает вызвать /lib/ld.so или /bin/bash с именем файла.

а ты еще попробуй их вызвать! До /tmp как раз добраться то легко, а вот если у тебя /tmp и /upload без права на исполнение, тогда что делать будешь? По твоей же логике, что мешает вызвать su? login? bash? да хоть echo 'myrepo' > /etc/apt/sources.list && apt-get install makemehappyscript ?

BaBL ★★★★★
()

> прошу прощения, так как НЛО приняло топик

Я смотрю, ты принял какие-то тяжёлые вещества.

Aceler ★★★★★
()

А линукс тут причем?

Если у Одмина (Да-да именно "Одмина" в этом случае) и КодЫров вместо головы -- задница, это еще не значит что виновата система.

Evil_Wizard ★★★
()
Ответ на: комментарий от Evil_Wizard

>КодЫров

Ждите, к вам скоро приедут (на чёрных БМВ) :)

amorpher ★★★★★
()

Ты опять выходишь на связь, мудила? (с)

Вот скажи чего такого в этой сраной заметке такого, что ты ее так активно на лор тащишь?

delilen ★☆
()
Ответ на: NO WAY от kapsh

> Журнал ксакеп на моём ЛОРе?

Скорее Хабрахабр.

init ★★★★★
()
Ответ на: комментарий от Slackware_user

Нет, наказание понес сервер - за экономию на сисадмине

Poh ★☆
() автор топика

Пока не будет ботнета на линукс десктопах, олололо однозначно.

Ab-1
()

нло можете оставить на хабре

Arceny ★★
()
Ответ на: комментарий от delilen

>Вот некто анон-инкогнито считает что на новость тянет..

Ну думаю если подредактировать, вылизать и довести до вменяемости текст новости, то тянет.

Ab-1
()

магическим образом в тегах мерещиться слово "слабо", с ударением на последнюю "о".

shaplov ★★★
()
Ответ на: комментарий от shaplov

Магическим образом меняется текст на ссылке к подробностям...

Хоть новость и подредакитровали, убрав торсионщину про НЛО, нумерацию попыток и прочее. Меньшим говном она не стала.

Где Анонимус, мать его!?

delilen ★☆
()
Ответ на: комментарий от Ab-1

Понимаешь ли, не важно как оно написано, важно что там написано. А написано там говно. Ты хочешь вылизывать говно, доводя этот процесс до вменяемости?

delilen ★☆
()

Хватит издеваться над текстом, отправьте поделие в /dev/null

delilen ★☆
()

РЕШЕТО!

Точнее так РЕ_SHEET_О

anonymous
()

ололо. таких хостингов вагон и малая тележка - там чмод 777 стоит на всех сайтах.

scaldov ★★
()
Ответ на: комментарий от k0l0b0k

давайте будем постить "я вася, вчера ко мне попал мой сервер, который был взломан через неделю после того, как я снёс венду и поставил линупс..."

scaldov ★★
()
Ответ на: комментарий от scaldov

Я Сирожа. Я поставил себе виндавс виста, подключил интеренты и пошел смотреть порно. Но злобные хакиры вычислили, что я сматрю порна. И взломали мой кампьютер и насадили туда кучу вирусав. Потом я снес виндавс и поставил линапс, и продолжил сматреть порна. Но злобные хакиры уже знали что я сматрю порна и взламали и линапс. В итоге я выкинул кампьютор и смотрю порна толька по двдплеяру. хакиры не могут его взламать. Вот такая я малатса!!!

delilen ★☆
()

трахахахааха))) как всё смешно

kbps ★★★
()

Да и спасибо за статью :)


p.s. кто тут возмущается - вообще бред-люди.

kbps ★★★
()
Ответ на: комментарий от Ab-1

>вылизать и довести до вменяемости текст новости, то тянет.

Даже если глубоко вылизать. Не тянет.
У меня один сервачек с модемом вместо канала лет 5 назад примерно так подломили. Сам виноват. Спешил. Поставил из каропки и убежал.

Вся проблема в криворукости и тупожопости.

vada ★★★★★
()

> Исходящие коннекты нужны для многих вещей — RPC-Ping'ов,
> Яндекс.Маркета, бирж ссылок, именно по этому невозможно закрыть все исходящие коннекты


Ну и про один пустячок забыли. Исходящие коннекты нужны для обновления системы.

Spinal
()

кулхацкеры наступают

G
()
Ответ на: комментарий от scaldov

да в жопу. я еще в первой версии сказал что ксакепом попахивает.

k0l0b0k ★★
()

полнейшее говно, а не новость. Кто мне пальцем покажет намек на какую-либо новость?
Новости на ЛОРе читаю довольно редко, теперь вот понял, что вообще читать больше нечего.

vitroot ★★
()

>>Проверено: maxcom

ты меня просто шокировал. Всегда был о тебе куда более высокого мнения. Теперь - ниже плинтуса :(

vitroot ★★
()
Ответ на: комментарий от k0l0b0k

>таки протолкнул. Товарищу Poh - медаль за настойчивость :)

Спасибо. Справедливость существует.

Poh ★☆
() автор топика

Шума-то развели, как в детском саду.

Cool-Juice
()
Ответ на: комментарий от vitroot

Да вроде с новостями всё нормально на лоре, так иногда проскакивает, что попало; наверное для раслабухи :))))

grait
()

Здравствуйте. Это филиал редакции Закепа?

Jayrome ★★★★★
()
Ответ на: комментарий от vitroot

>ты меня просто шокировал. Всегда был о тебе куда более высокого мнения. Теперь - ниже плинтуса :(

к чему такая категоричность?

k0l0b0k ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.