hack serveru (spam zombie?)

Juraj Chlebec Juraj.Chlebec at fem.uniag.sk
Wed May 27 10:30:08 CEST 2009


Cizek.Milan wrote:
> Ahoj,
> děje se mi na jednom serveru taková nepříjemná věc. V určitém časovém intervalu se mi spouští nějaké perl skripty - pod uživatelem www, které podle sockstat generují trafic na smtp servery. Ve vypisu procesu je videt vzdy jen 1 podezrely soubor, jehoz nazev je vzdy jiny (nahodny), ale na disku se nikde nenachazi.
>
> smtp01# pstree | grep perl
>  |           \--- 31238 root grep perl
>  |--= 31085 www ./yxqs.pl (perl5.8.9)
>
> www      perl5.8.8  90482 38 tcp4   89.31.40.x:54027      72.14.247.27:25
> www      perl5.8.8  90482 41 tcp4   89.31.40.x:54041      195.4.92.212:25
> www      perl5.8.8  90482 42 tcp4   89.31.40.x:54056      65.54.245.72:25
> www      perl5.8.8  90482 43 tcp4   89.31.40.x:53324      24.71.223.11:25
> www      perl5.8.8  90482 44 tcp4   89.31.40.x:53890      66.196.97.250:25
> www      perl5.8.8  90482 45 tcp4   89.31.40.x:53820      66.196.97.250:25
> www      perl5.8.8  90482 46 tcp4   89.31.40.x:53428      66.196.97.250:25
> www      perl5.8.8  90482 48 tcp4   89.31.40.x:54029      24.71.223.11:25
> ...
>
> Pokud udělám "killall -9 perl5.8.8", vše je ok asi tak na hodinu. Poté se proces zase objeví, a to i s vypnutym cronem. Na serveru je instalovany apache, v /www se zadne podezrele perl skrypty nevyskytuji. Hlavni potiz je, ze nedokazu nalezt ten zdrojovy soubor, kde se fyzicky nachazi. Zkousel jsem lsof, neuspesne.
>
> Milan
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>   
Na PHP mas pravdepodobne povolene fopen_url. V logoch apache pozeraj 
take veci ako ked niekto do parametru URL vklada 
http://nieco.niekde/skript.txt . Mam podobnu skusenost - remote 
includnuty php script co do temp stiahol perl skript, spustil ho a ten 
sa pripojil na  IRC ako  bot. Pekne vzdialene ovladanie na serveri ;). V 
prvom rade vypni fopen_url a povol ho naozaj len tam kde to potrebujes. 
Tym ochranis aspon ciastocne derave PHP skripty.

Juro Chlebec

-- 
Juraj Chlebec
Centrum informacnych technologii FEM
SPU Nitra, Slovensko
Tel: +421 37 641 4813
Web: http://www.fem.uniag.sk/Juraj.Chlebec/




More information about the Users-l mailing list