Pentarh
В общем ребята подошли к делу серъезно. Ломают все что плохо стоит.
В особом списке - серваки с DirectAdmin.
DirectAdmin по дефолту ставит в /var/www/html следующий софт:
RoundCube
phpmyadmin
Squirrelmail
webmail
И делает алиасы на все домены и дефолтные хосты!!!! Софт абсолютно открытый.
Если вам дорого ваш сервер, при установке директадмина убивайте это гавно.
Если у вас стоит директадмин, зайдите посмотрите в /var/log/httpd/error_log
Признаки взлома:
Код:
или такое
Код:
17:37:09 (66.4 KB/s) - `botn7.txt.1' saved [32362/32362]
........ . 100% 66.3K=0.5ssh: GET: command not found
17:37:09 (66.3 KB/s) - `botn7.txt.2' saved [32362/32362]
sh: GET: command not found
--17:37:11--
http://www.submasters.xpg.com.br/botn7.txt
Resolving
submasters.xpg.com.br... 200.149.77.40
Connecting to
submasters.xpg.com.br|200.149.77.40|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 32362 (32K) [text/plain]
Saving to: `botn7.txt'
0K .......... .......... .......... . 100% 70.5K=0.4s
17:37:12 (70.5 KB/s) - `botn7.txt' saved [32362/32362]
sh: GET: command not found
Ломают через /var и /tmp - ставьте на эти партиции nosuid,noexec!
Именно там можно обнаружить ирк-ботов (исполнительная часть ботнета), ремот шеллы и т.п.
Если не удалось повысить привилегии, ставят в crontab юзера апача свой autorun. Смотрите в кронтаб.
Если стоит ядро 2.6.18-53 - пиздец.
http://www.centos.org/modules/newbb/viewtopic.php?topic_id=12639
повышение привилегий и здравствуй RootKit.
ПС. Взломы были так же обнаружены и без директадмина, но с опенсорсным ПО. Взломы носят массовый однотипный характер, обнаружить их можно в общем error_log Апача.
Последний раз редактировалось: Pentarh (12/02/09 в 17:01), всего редактировалось 1 раз
supphosting.com
RoundCube сносить надо сразу, через него и ломают. Взломов через пхпадмин, сквирел и вебмейл не обнаруживали пока. Проверить следует /var/tmp/, и крон юзера от которого работает апач. Ломают с 30 декабря, проходят по всем айпишкам датацентров.
Pentarh
Замечу опять же, сломали и те места, где не стоял директадмин с этими раундкубами. Но там стояли другие опенсорсы.
Схема проникновения аналогичная. Аналогично, на машину жертвы ставится IRC-bot с кучей другого говнища.
Из чего можно предположить что составляется массивный ботнет.
С другой стороны, я погуглил по названиям файлов эксплойтов - вышел на какой то бразильский сайт с чемпионатом по хаку
И кстати на взломаных машинах вредоносная деятельность отсутствовала. Даже там где умудрялись впарить руткит.
Может этот мега-ботнет можно как то окучить? У меня куча их исходников со списками юзнета и каналами. Вообще похоже на какую то дорогую, спланированную большую кампанию.