LINUX.ORG.RU

История расследования взлома Linux сервера с целью создания ботнета

 , ,


0

0

Ко мне поступил сервер с Linux CentOS 5.3 64bit, выполняющий роль коммерческого хостинга сайтов (WHM/cPanel), который был взломан и взломщики не потрудились вытереть за собой все инструменты, которые они использовали. Проанализировав их, я смог составить цепочку событий, которая привела к взлому сервера и компрометации рутовой учетной записи. Никаких логов небыло, так как они все были почищены, так что взломщик не оставил за собой следов, и я начал поистине детективное расследование — с уликами и подозреваемыми.

Все началось с того, что один из сайтов на хостинге был RFI, то есть использовал уязвимый движок, позволяющий выполнить удаленное подключение файла. И этот сайт был найден на хостинге при помощи сканера RFI.

После этого, используя найденную уязвимость, в /tmp заливается Remote Backdoor Shell — perl скрипт, открывающий доступ к командной строке сервера, работающий с правами вебсервера, в данном случае — nobody. Через этот скрипт в /tmp были установлены

>>> Статья

★☆

Проверено: maxcom ()

Ответ на: комментарий от vitroot

>ЛОР гниёт все больше и больше... все быстрее и быстрее...

Ты знаешь, что делать.

madcore ★★★★★
()

Что-то расследования особого не увидел. Особенно интересно, как они получили рута - а про это как раз ни слова. Может, ядро было старое?

kmike ★★
()

опять дерьмо на глагне!

morbo
()
Ответ на: комментарий от Poh

>>Спасибо. Справедливость существует.

Давай честно. Ты что, платишь Макскому? Или что похуже? Не верю я, чтобы он действительно такое угрёбище протолкнул на главную страницу. А если и протолкнул, то мне, по крайней мере, точно здесь уже делать нечего :(

vitroot ★★
()
Ответ на: комментарий от Xenius

Нет. Хабр - это ресурс карма-дрочеров. Разве Вы не заметили? Жаль, мне кармы побольше, я бы вам плюсик поставил.


UPD: Эй! За что минусуете? Что я такого тупого сказал? Что б вас дети так любили!

commit ★★
()

Ой, да ладно, чего накинулись-то? Уж куда поинтереснее, чем очередная хрень от IBM_dw из раздела "для самых маленьких", переведённая гугль-транслейтом.

Тут хотя бы польза может быть: кто-то прочитает и, глядишь, подумает "оймля, а ведь у меня-то тоже.... того" - и несколькими дырявыми серверами станет меньше.

MYMUR ★★★★
()
Ответ на: комментарий от MYMUR

никто не против этого поста.
А вот лично мне до сих пор никто не показал связь между этим идиотским жж и новостями.

Или новостной раздел ЛОР'а уже перкочевал в жж?? Хабр?
То, что ЛОР давно не "торт" - ясно всем. Но вот я не думал, что на самом деле все до такой степени хреново

vitroot ★★
()
Ответ на: комментарий от vitroot

да подобных "новостей" уже 100500 штук было. и никто ничего. а сейчас просто атмосфера накалилась... просто забей.

А топик конечно для "Admin" - самое место там.

k0l0b0k ★★
()
Ответ на: комментарий от vitroot

>Или новостной раздел ЛОР'а уже перкочевал в жж?? Хабр?

Одна новость с хабра - и уже "новостной раздел ЛОР'а перекочевал на хабр"?

А что тогда говорить о "новостях" от IBM_dw? "ЛОР стал филиалом новостной ленты МежДелМаша"?

По-моему просто кое-кому моча в голову ударила от хабраненависти.... =\

MYMUR ★★★★
()
Ответ на: Grammar K.O. mode on от slackwarrior

Пришлось сходить по ссылке :(
Ну все оказалось как я и думал. В конторе был нанят
гетушно-слакварист-админ. Они же все крутые, днем и ночью
компиляют все, все делают руками по памяти короче настоящие
"гуру" вообще то школоте уже давно нужно понять где продакшен
а где рукоблудие ...

И так источники моих выводов :
1. В КентОС по умолачанию СЕ-Линух включен ( админ неасилил - выключил )
2. Где это видано что бы апач в шапке работал от нободи ?
3. Когда это в шапке апач стоял в юзер-локал ?
4. ... выполняющий роль коммерческого хостинга сайтов... , что то я не понял где тама ХЕН или хотя бы ОПЕНВЗ ?

Короче админ-рукоблуд изуродовал нормальную ось ( я не удивлюсь если тама даже упадатов поди не было наложено ... хотя какие упдлаты для самособроных пакетов в юзер-локал ) а теперь разбор полетов :((((

mx_
()
Ответ на: комментарий от Sekai

Охбля, долго ржал. Ажно рожа вся болит. Спасибо, доставил =)

PS> Руки тянутся взять и уеб*ть...

NiggasLife
()
Ответ на: комментарий от mx_

Признайся - ты никогда не ставил и не работал с WHM?

Poh ★☆
() автор топика
Ответ на: комментарий от mx_

>1. В КентОС по умолачанию СЕ-Линух включен ( админ неасилил - выключил )

Не знаю, как сейчас, а год назад была проблема с контекстами и пользовательскими файлами (т.е. закачанными уже средствами сайта, крутившегося на апаче). И в рекомендациях везде стоит - ну или сделайте (далее идет вагон команд) и не дышите, либо вырубите selinux.

Похоже, что админ пошел по второму пути, ибо сайт не уникальный, а для юзверей.

P.S. Остальное - верно. Никакого нободи, никакого юзр-локал. По кой черт ставить нестандартный апач - непонятно.

jackill ★★★★★
()
Ответ на: комментарий от isden

> Re: Ботнеты? Теперь и на линуксах!

хм полно, и кривые руки и всякое бывает.

list2009
()
Ответ на: комментарий от MYMUR

Не надо гнать, пожалуйста!
Мне на хабр глубоко параллельно. Не в нем дело. Странно, что ты своей головой до сих пор это не понял. Лучше возьми 3-4-5-10-100 новостей ЛОРа и сравни с этим постом. Мне пох, что там автор расписал, но вот то, что Макском подтвердил это для главной, да еще и как новость - это, товарищи, феерический пизд#ц!

vitroot ★★
()
Ответ на: комментарий от jackill

в кентос со всем проблема. особенно у девелоперов с мозгом.

tazhate ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.