LINUX.ORG.RU

История расследования взлома Linux сервера с целью создания ботнета

 , ,


0

0

Ко мне поступил сервер с Linux CentOS 5.3 64bit, выполняющий роль коммерческого хостинга сайтов (WHM/cPanel), который был взломан и взломщики не потрудились вытереть за собой все инструменты, которые они использовали. Проанализировав их, я смог составить цепочку событий, которая привела к взлому сервера и компрометации рутовой учетной записи. Никаких логов небыло, так как они все были почищены, так что взломщик не оставил за собой следов, и я начал поистине детективное расследование — с уликами и подозреваемыми.

Все началось с того, что один из сайтов на хостинге был RFI, то есть использовал уязвимый движок, позволяющий выполнить удаленное подключение файла. И этот сайт был найден на хостинге при помощи сканера RFI.

После этого, используя найденную уязвимость, в /tmp заливается Remote Backdoor Shell — perl скрипт, открывающий доступ к командной строке сервера, работающий с правами вебсервера, в данном случае — nobody. Через этот скрипт в /tmp были установлены

>>> Статья

★☆

Проверено: maxcom ()

Re: Ботнеты? Теперь и на линуксах!

ололо! типичная криворукость кодеров и админа.

isden ★★★★★ ()

Re: Ботнеты? Теперь и на линуксах!

Ну уж нет, второй раз не апрувить.

Deleted ()

Re: Ботнеты? Теперь и на линуксах!

Прочёл бы каменты к своей новости!

Root-msk ★★★★★ ()
Ответ на: NO WAY от kapsh

Re: NO WAY

эм... а разве на /tmp на публичном веб сервере не стоило добавить noexec?

BaBL ★★★★★ ()
Ответ на: Re: NO WAY от BaBL

Re: NO WAY

Нужно Весь смысл статьи о том, что бывает если хостеры экономят на сисадминах

Poh ★☆ ()
Ответ на: Re: NO WAY от Poh

Re: NO WAY

> Нужно Весь смысл статьи о том, что бывает если хостеры экономят на сисадминах

Вот, объясни зачем ты пришёл изливать свой /b/ред? Мог это сделать и в Talks.

Root-msk ★★★★★ ()
Ответ на: Re: NO WAY от BaBL

Re: Ботнеты? Теперь и на линуксах!

> а разве на /tmp на публичном веб сервере не стоило добавить noexec?

А кого это остановит? Ничего не помешает вызвать /lib/ld.so или /bin/bash с именем файла.

kapsh ()
Ответ на: Re: Ботнеты? Теперь и на линуксах! от Poh

Re: Ботнеты? Теперь и на линуксах!

>> а разве на /tmp на публичном веб сервере не стоило добавить noexec?

> А кого это остановит? Ничего не помешает вызвать /lib/ld.so или /bin/bash с именем файла.

а ты еще попробуй их вызвать! До /tmp как раз добраться то легко, а вот если у тебя /tmp и /upload без права на исполнение, тогда что делать будешь? По твоей же логике, что мешает вызвать su? login? bash? да хоть echo 'myrepo' > /etc/apt/sources.list && apt-get install makemehappyscript ?

BaBL ★★★★★ ()

Re: Ботнеты? Теперь и на линуксах!

> прошу прощения, так как НЛО приняло топик

Я смотрю, ты принял какие-то тяжёлые вещества.

Aceler ★★★★★ ()

Re: Ботнеты? Теперь и на линуксах!

А линукс тут причем?

Если у Одмина (Да-да именно "Одмина" в этом случае) и КодЫров вместо головы -- задница, это еще не значит что виновата система.

Evil_Wizard ★★★ ()

Re: Ботнеты? Теперь и на линуксах!

Ты опять выходишь на связь, мудила? (с)

Вот скажи чего такого в этой сраной заметке такого, что ты ее так активно на лор тащишь?

delilen ★☆ ()
Ответ на: NO WAY от kapsh

Re: NO WAY

> Журнал ксакеп на моём ЛОРе?

Скорее Хабрахабр.

init ★★★★★ ()

Re: Ботнеты? Теперь и на линуксах!

По названию топика на хабре подумал что хакера поймали и наказали :D

Slackware_user ★★★★★ ()

Re: Ботнеты? Теперь и на линуксах!

Пока не будет ботнета на линукс десктопах, олололо однозначно.

Ab-1 ()

Re: Ботнеты? Теперь и на линуксах!

нло можете оставить на хабре

Arceny ★★ ()

Re: Ботнеты? Теперь и на линуксах!

магическим образом в тегах мерещиться слово "слабо", с ударением на последнюю "о".

shaplov ★★★ ()
Ответ на: Re: Ботнеты? Теперь и на линуксах! от shaplov

Re: Ботнеты? Теперь и на линуксах!

Магическим образом меняется текст на ссылке к подробностям...

Хоть новость и подредакитровали, убрав торсионщину про НЛО, нумерацию попыток и прочее. Меньшим говном она не стала.

Где Анонимус, мать его!?

delilen ★☆ ()
Ответ на: Re: Ботнеты? Теперь и на линуксах! от Ab-1

Re: Ботнеты? Теперь и на линуксах!

Понимаешь ли, не важно как оно написано, важно что там написано. А написано там говно. Ты хочешь вылизывать говно, доводя этот процесс до вменяемости?

delilen ★☆ ()

Re: Ботнеты? Теперь и на линуксах!

Ксакеп на моем лоре!!!

tensai_cirno ★★★★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Хватит издеваться над текстом, отправьте поделие в /dev/null

delilen ★☆ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

РЕШЕТО!

Точнее так РЕ_SHEET_О

anonymous ()

Re: История расследования взлома Linux сервера с целью создания ботнета

РЕШЕТО

ttg ()

Re: История расследования взлома Linux сервера с целью создания ботнета

ололо. таких хостингов вагон и малая тележка - там чмод 777 стоит на всех сайтах.

scaldov ★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

таки протолкнул. Товарищу Poh - медаль за настойчивость :)

k0l0b0k ★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

давайте будем постить "я вася, вчера ко мне попал мой сервер, который был взломан через неделю после того, как я снёс венду и поставил линупс..."

scaldov ★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Я Сирожа. Я поставил себе виндавс виста, подключил интеренты и пошел смотреть порно. Но злобные хакиры вычислили, что я сматрю порна. И взломали мой кампьютер и насадили туда кучу вирусав. Потом я снес виндавс и поставил линапс, и продолжил сматреть порна. Но злобные хакиры уже знали что я сматрю порна и взламали и линапс. В итоге я выкинул кампьютор и смотрю порна толька по двдплеяру. хакиры не могут его взламать. Вот такая я малатса!!!

delilen ★☆ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

трахахахааха))) как всё смешно

kbps ★★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Да и спасибо за статью :)


p.s. кто тут возмущается - вообще бред-люди.

kbps ★★★ ()
Ответ на: Re: Ботнеты? Теперь и на линуксах! от Ab-1

Re: Ботнеты? Теперь и на линуксах!

>вылизать и довести до вменяемости текст новости, то тянет.

Даже если глубоко вылизать. Не тянет.
У меня один сервачек с модемом вместо канала лет 5 назад примерно так подломили. Сам виноват. Спешил. Поставил из каропки и убежал.

Вся проблема в криворукости и тупожопости.

vada ★★★★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

> Исходящие коннекты нужны для многих вещей — RPC-Ping'ов,
> Яндекс.Маркета, бирж ссылок, именно по этому невозможно закрыть все исходящие коннекты


Ну и про один пустячок забыли. Исходящие коннекты нужны для обновления системы.

Spinal ()

Re: История расследования взлома Linux сервера с целью создания ботнета

кулхацкеры наступают

G ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Не читал, но осуждаю.

kernelpanic ★★★★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

полнейшее говно, а не новость. Кто мне пальцем покажет намек на какую-либо новость?
Новости на ЛОРе читаю довольно редко, теперь вот понял, что вообще читать больше нечего.

vitroot ★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

еще и спруфлинк на хабр.
ЛОР гниёт все больше и больше... все быстрее и быстрее...

vitroot ★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

>>Проверено: maxcom

ты меня просто шокировал. Всегда был о тебе куда более высокого мнения. Теперь - ниже плинтуса :(

vitroot ★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

>таки протолкнул. Товарищу Poh - медаль за настойчивость :)

Спасибо. Справедливость существует.

Poh ★☆ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Шума-то развели, как в детском саду.

Cool-Juice ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Да вроде с новостями всё нормально на лоре, так иногда проскакивает, что попало; наверное для раслабухи :))))

grait ()

Re: История расследования взлома Linux сервера с целью создания ботнета

Здравствуйте. Это филиал редакции Закепа?

Jayrome ★★★★★ ()

Re: История расследования взлома Linux сервера с целью создания ботнета

>ты меня просто шокировал. Всегда был о тебе куда более высокого мнения. Теперь - ниже плинтуса :(

к чему такая категоричность?

k0l0b0k ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.