LINUX.ORG.RU
ФорумSecurity

процесс zbind. что это?


0

0

сегодня заметил на сервере процесс zbind слушающий tcp port 4000. поискав еще не много нашел следующее:

root@web:/var/tmp/.a# ls -l * -rw-r--r-- 1 nobody nobody 10141 Dec 26 17:42 za.tgz

za: total 36 -rwxr-xr-x 1 nobody nobody 18907 Jul 15 2002 zbind* -rwxr-xr-x 1 nobody nobody 14698 Jul 12 2002 zero*

на сервере работает апач. работает от юзера nobody. проверка md5 по всей файловой системе никаких руткитов не выявила. поиск на гугле тоже ничего не дал. вопрос - что это? кто-то такое видел? может я какую-то секьюрити новость пропустил? спасибо

сделай strings на бинарники. может, наведет на размышления.

ivlad ★★★★★
()

увы, не навело.вот единственные осмысленные строки в коде кроме названий функций:
GLIBC_2.0
PTRh
WVSj
pqrstuvwxyzabcde
0123456789abcdef
/dev/ptmx
/dev/pty
/dev/tty
Daemon is starting...
OK, pid = %d
/dev/null
HOME=%s
Can't fork pty, bye!
/bin/sh
init.c
/usr/src/bs/BUILD/glibc-2.1.3/csu/
gcc2_compiled.
еще похоже что демон использует треды, т.к. там были упоминания pthread_* семейства функций.

massaraksh
() автор топика

ну в общем все плохо. :( насколько там видно, так как мало очень строк и присутствует /bin/sh вот ссылка с google, http://www.google.com/search?q=zbind%2C+linux&hl=en короче тебя походу сломали.

mator ★★★★★
()

ты знаешь, я видел сайт этого axela. только блин я не умею читать по румынски к сожалению. странно что так мало ссылок на него гугл находит. кроме того судя по тому что ни страниц левых подложено не было ни в файловой системе ничего не поменялось - взлом удался не совсем. есть подозрение что эта хрень пыталась использовать ptrace exploit чтобы стать рутом потому что strings на второй файл - zero показывает: root@web:~/.a/za# strings -a zero | grep -i ptrace ptrace PTRACE_GETREGS ptrace.c ptrace@@GLIBC_2.0 т.е. похоже ничего страшного не произошло. ptrace закрыт, 4000 порт заблокирован. вопрос как эту хрень туда удалось записать и запустить. так же хорошо бы понять что эта хрень должна делать. есть спецы которые в код могут заглянуть? также нашел в логах файрвола заблокированные попытки обращения на 4000 порт с какого-то румынского адреса - 194.105.2.63. в логах апача ничего подозрительного обнаружить не удалось. апач был 1.3.26. на всяк случай проапгрейдил до 1.3.27. php 4.3.1. какие-нить идеи?

massaraksh
() автор топика

ну в общем тебе не помешало бы прочитать http://www.cert.org/tech_tips/win-UNIX-system_compromise.html там рассказываются шаги которые необходимо предпринять. :) У меня был случай последний раз когда я переставлял сервер (а это второй раз с момента его установки в 1999 - redhat 6.1, переставился на redhat 7.3, хотя можно было бы все и по старому оставить, просто винт сдох зараза :) ) короче на не пропатченный сервер, ко мне пришел червяк apache_SSL который, так я что сразу сделал, сервер отключил от интернета и начал расскапывать, что откуда и так далее, пока все не разузнал :)

mator ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security