ломанули ...мля

0

0

Стоял у меня apache-1.3.23, думаю через него и ломанули, переполонив буфер, по логам error_log было видно, атаку обнаружил через пару часов по пришедшим с сервера отчетам, в отчетах был листинг nmap с другого сервака, смотрю там порт 5788 открыт, в листинге процессов - левый процесс ./xfs он порт и держал. Зателнетился на 5788 - точно, падлы шелл подняли из под пользователя apache, благо до рута не добрались и бинарники не успели подменить или модуль повесить (хотя и файлов никаких не нашел левых). Так вот хочу спросить чо за бакдор поставили - самописный что-ли ? или какой известный, за любую инфу благодарен буду .. P.S. обновляейте апач :)

Ссылка

←	PostgreSQL freeradius

Проблемы с PPP и DialUp-ом

→

Печально :-( www.chkrootkit.org - проверься. ну и целостность при помощи rpm проверь :-( и на багтрак подпишись

anonymous
(03.04.04 12:00:56 MSD)

Ответ на: комментарий от anonymous 03.04.04 12:00:56 MSD

проверил я файлы chkrootkit да и tripwire отчет нормальный выдал по файлам, просто вопрос мучает что за бакдор поставили ... а на батрак подписался уже :)

anonymous
(03.04.04 17:34:55 MSD)

Ссылка

Ответ на: комментарий от anonymous 03.04.04 12:00:56 MSD

под линукс есть такая хитро#опая вирусяка (именно вирусяка), которая заражает многие (не все) бинари из /bin, включая rpm и фейкает его (rpm) вывод. правда ей рута нуна. я когда на такой напоролся на ломаной машине, я так и не понял как его залечить, пришлось все переставлять нафик. название этой сволочи не знаю, первый раз ее видел. так что сравни размеры файлов ls, rpm, find (все что помню, еще помню, что ps точно не заражало) из дистрибуции.

anonymous
(05.04.04 07:09:15 MSD)

Ссылка

да кстати, apache+php -- это кирдык котенку :) рылся в гугле, пятая или шестая ссылка apache+php+exploit дала рабочий эскплойт который валил апач в корку, причем никаких там особых телодвижений типа бинарных запросов, все честно можно было провернуть даже телнетом на 80 порт :(

anonymous
(05.04.04 07:16:39 MSD)

Ответ на: комментарий от anonymous 05.04.04 07:16:39 MSD

ну ты хоть расскажи что за версии апача и пхп.

anonymous
(05.04.04 10:21:31 MSD)

Ответ на: комментарий от anonymous 05.04.04 10:21:31 MSD

апач <= 1.3.чего-то-там
пыхпых <= 4.0.опять-же-чего-то-там
я точно не помню, но утверждалось что оно срабатывало на целую линейку сочетаний

anonymous
(05.04.04 12:35:57 MSD)

Ответ на: комментарий от anonymous 05.04.04 12:35:57 MSD

блин на секьюритифокус закладку делал, но чо-то она не открывается :( на всякий случай на: http://online.securityfocus.com/archive/82/259542 тока здесь афаир он не шибко рабочий как раз был, а рабочий я брал откуда-то с другого места

anonymous
(05.04.04 12:38:14 MSD)

Ответ на: комментарий от anonymous 05.04.04 12:38:14 MSD

всем спасибо за советы, тоже смотрел поисковики - короче ситуация такая, что если apache 1.3.27 и ниже, или openssl-0.9.7c и ниже, то можно либо шел апачевский получить через переполнение буфера либо DOS устроить, так что поставил apapche-1.3.29+openssl-0.9.7d ...

anonymous
(07.04.04 05:00:59 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PostgreSQL freeradius

Admin

Проблемы с PPP и DialUp-ом

→

Похожие темы