forum.opennet.ru

Форум Информационная безопасность (Обнаружение и предотвращение атак / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Атака на хостинговый сервер FreeBSD, TangaRUS (ok), 01-Июл-10, (0) [смотреть все]

Сейчас вот идея пришла надо сделать свой lwp-download и через него как-то отсле, TangaRUS (ok), 09:22 , 01-Июл-10, (1) //

Вот как оно запускается на скачку выловил из ps sh -c cd var tmp cd tmp lwp-d, TangaRUS (ok), 10:16 , 01-Июл-10, (3) //

Parent - апач Значит точно или сам что врядли , или какой-то из пользовательских, TangaRUS (ok), 11:08 , 01-Июл-10, (6)

Да, проверял rkhunter и chkrootkit - ничего не нашли , TangaRUS (ok), 09:26 , 01-Июл-10, (2) //

Судя по http www virustotal com ru analisis 15f933c8f9930b82e5d356e37691d58cd6, Golub Mikhail (ok), 10:45 , 01-Июл-10, (4) //

Дырки ясно не нашёл, но понаходил шеллы и прочее у определенного пользователя, з, TangaRUS (ok), 12:48 , 01-Июл-10, (8)

php-including почитай похожие темы http www xakep ru post 28749 default , kalmykov (?), 11:04 , 01-Июл-10, (5) //

ага, или perl-including, через дырявые скрипты вообщем тока вот проблема найти ч, TangaRUS (ok), 11:09 , 01-Июл-10, (7) //

Могу посоветовать закрыть фаерволлом исходящие соединения с этого сервера все, , ronin (??), 14:25 , 01-Июл-10, (9)
Вдогонку Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте они, ronin (??), 14:32 , 01-Июл-10, (10) //

Да, напрямую Очень похоже что так и есть Я выше писал, что косвенно нашёл источн, TangaRUS (ok), 14:52 , 01-Июл-10, (11)

Как правило, после взлома хакер оставляет пару резервных веб шеллов на случай об, Ekzorcist (ok), 11:48 , 26-Июл-10, (12)
gt оверквотинг удален Присоединяюсь к автору статьи Мои хостинг на FreeBSD так, lifejoy (??), 15:53 , 20-Авг-10, (14)

Сообщения [Сортировка по времени | RSS]

10. "Атака на хостинговый сервер FreeBSD" +/–

Сообщение от ronin (??), 01-Июл-10, 14:32

>Процессы выполняются от имени www, т.е. апача.
>Еще эта скотина убивает апач и пытается под него замаскироваться, но не всегда как-то это >у него выходило.
Вдогонку:
Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте (они у Вас выполняются, наверное, без suPHP и не через CGI/FastCGI).
Если скотина убивает апач, то, скорее всего, только child-процессы, которые тоже выполняются с привилегиями apache (тоесть, parent-процесс, запущенный от рута, убить не по силам, а запустить свой екземпляр апача с привилегиями апача не получится в таком случае, потому что необходимые сокеты уже заняты). Значит, Вам надо ВСЕ скрипты запускать от юзера, отличного от apache.
respect,
ronin

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Атака на хостинговый сервер FreeBSD" +/–

Сообщение от TangaRUS (ok), 01-Июл-10, 14:52

>Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте (они
>у Вас выполняются, наверное, без suPHP и не через CGI/FastCGI).
Да, напрямую.
>Если скотина убивает апач, то, скорее всего, только child-процессы, которые тоже выполняются
>с привилегиями apache (тоесть, parent-процесс, запущенный от рута, убить не по
>силам, а запустить свой екземпляр апача с привилегиями апача не получится
>в таком случае, потому что необходимые сокеты уже заняты).
Очень похоже что так и есть.
Я выше писал, что косвенно нашёл источник проблем, это подтвердилось:
через дыру в vBulletin заливали с99 шелл и с него уже рулили процессом.
Теперь позатыкать всё найденное и смотреть чего будет :)
Всем спасибо!

Ответить | Правка | Наверх | Cообщить модератору

12. "Атака на хостинговый сервер FreeBSD" +/–

Сообщение от Ekzorcist (ok), 26-Июл-10, 11:48

Как правило, после взлома хакер оставляет пару резервных веб шеллов на случай обнаружения основного. Стучите в личку http://mega-admin.com (Exorcist) - бесплатно проверю на весь этот список:
r57shell\|c99shell\|Cyber Shell\|GFS Web-Shell\|NFM 1.8\|Small Web Shell by ZaCo\|nsTView v2.1\|DxShell v1.0\|CTT Shell\|GRP WebShell\|Crystal shell\|Loaderz WEB Shell\|NIX REMOTE WEB SHELL\|Antichat Shell\|CasuS 1.5\|Sincap 1.0\|hiddens shell\|Web-shell\|Predator\|KA_uShell\|C2007Shell\ |Antichat Shell\|Rootshell\|c0derz shell\|iMHaBiRLiGi Php FTP\|PHVayv\|phpRemoteView\|STNC WebShell v0.8\|MyShell\|ZyklonShell\|AK-74 Security Team Web Shell\|c2007\|gfs shell\|iMHaPFtp\|ncc shell\|nshell\|phpjackal\|phvayv\|Rem View\

Ответить | Правка | Наверх | Cообщить модератору

14. "Атака на хостинговый сервер FreeBSD" +/–

Сообщение от lifejoy (??), 20-Авг-10, 15:53

>[оверквотинг удален]
>
>Очень похоже что так и есть.
>
>Я выше писал, что косвенно нашёл источник проблем, это подтвердилось:
>через дыру в vBulletin заливали с99 шелл и с него уже рулили
>процессом.
>
>Теперь позатыкать всё найденное и смотреть чего будет :)
>
>Всем спасибо!
Присоединяюсь к автору статьи.
Мои хостинг на FreeBSD так же подвергался атакам, описанным выше.
Проблема была в дыре в cms e107. Подробнее тут:
http://php-security.org/2010/05/19/mops-2010-035-e107-bbcode...
закрыл, полет нормальный.
кстати, кто использует phpThumb? насколько опасна его уязвимость в fltr?
спасибо.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	10. "Атака на хостинговый сервер FreeBSD"	+/–
	Сообщение от ronin (??), 01-Июл-10, 14:32
	>Процессы выполняются от имени www, т.е. апача. >Еще эта скотина убивает апач и пытается под него замаскироваться, но не всегда как-то это >у него выходило. Вдогонку: Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте (они у Вас выполняются, наверное, без suPHP и не через CGI/FastCGI). Если скотина убивает апач, то, скорее всего, только child-процессы, которые тоже выполняются с привилегиями apache (тоесть, parent-процесс, запущенный от рута, убить не по силам, а запустить свой екземпляр апача с привилегиями апача не получится в таком случае, потому что необходимые сокеты уже заняты). Значит, Вам надо ВСЕ скрипты запускать от юзера, отличного от apache. respect, ronin
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	11. "Атака на хостинговый сервер FreeBSD"	+/–
	Сообщение от TangaRUS (ok), 01-Июл-10, 14:52
	>Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте (они >у Вас выполняются, наверное, без suPHP и не через CGI/FastCGI). Да, напрямую. >Если скотина убивает апач, то, скорее всего, только child-процессы, которые тоже выполняются >с привилегиями apache (тоесть, parent-процесс, запущенный от рута, убить не по >силам, а запустить свой екземпляр апача с привилегиями апача не получится >в таком случае, потому что необходимые сокеты уже заняты). Очень похоже что так и есть. Я выше писал, что косвенно нашёл источник проблем, это подтвердилось: через дыру в vBulletin заливали с99 шелл и с него уже рулили процессом. Теперь позатыкать всё найденное и смотреть чего будет :) Всем спасибо!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Атака на хостинговый сервер FreeBSD"	+/–
	Сообщение от Ekzorcist (ok), 26-Июл-10, 11:48
	Как правило, после взлома хакер оставляет пару резервных веб шеллов на случай обнаружения основного. Стучите в личку http://mega-admin.com (Exorcist) - бесплатно проверю на весь этот список: r57shell\\|c99shell\\|Cyber Shell\\|GFS Web-Shell\\|NFM 1.8\\|Small Web Shell by ZaCo\\|nsTView v2.1\\|DxShell v1.0\\|CTT Shell\\|GRP WebShell\\|Crystal shell\\|Loaderz WEB Shell\\|NIX REMOTE WEB SHELL\\|Antichat Shell\\|CasuS 1.5\\|Sincap 1.0\\|hiddens shell\\|Web-shell\\|Predator\\|KA_uShell\\|C2007Shell\ \|Antichat Shell\\|Rootshell\\|c0derz shell\\|iMHaBiRLiGi Php FTP\\|PHVayv\\|phpRemoteView\\|STNC WebShell v0.8\\|MyShell\\|ZyklonShell\\|AK-74 Security Team Web Shell\\|c2007\\|gfs shell\\|iMHaPFtp\\|ncc shell\\|nshell\\|phpjackal\\|phvayv\\|Rem View\
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Атака на хостинговый сервер FreeBSD"	+/–
	Сообщение от lifejoy (??), 20-Авг-10, 15:53
	>[оверквотинг удален] > >Очень похоже что так и есть. > >Я выше писал, что косвенно нашёл источник проблем, это подтвердилось: >через дыру в vBulletin заливали с99 шелл и с него уже рулили >процессом. > >Теперь позатыкать всё найденное и смотреть чего будет :) > >Всем спасибо! Присоединяюсь к автору статьи. Мои хостинг на FreeBSD так же подвергался атакам, описанным выше. Проблема была в дыре в cms e107. Подробнее тут: http://php-security.org/2010/05/19/mops-2010-035-e107-bbcode... закрыл, полет нормальный. кстати, кто использует phpThumb? насколько опасна его уязвимость в fltr? спасибо.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору