Onderwerp: Command Line (often faked in exploits):

Ik krijg de laatste tijd meldingen binnen over Command Line (often faked in exploits)
Wie weet wat er aan de hand is?
Hieronder een email van lfd

Code:

Time:    Sun Jan 18 00:00:14 2009 +0100
PID:     20166
Account: xxxxx (naam verwijderd)
Uptime:  182 seconds


Executable:

/usr/local/php5/bin/php-cgi


Command Line (often faked in exploits):

/usr/local/php5/bin/php-cgi


Network connections by the process (if any):

tcp: 89.105.196.xxx:59092 -> 217.123.139.xxxx:3306


Files open by the process (if any):



Memory maps by the process (if any):

00110000-00111000 rwxp 00110000 00:00 0 
00111000-00118000 r-xp 00000000 08:03 621655     /usr/local/lib/libltdl.so.7.2.0
00118000-00119000 rwxp 00006000 08:03 621655     /usr/local/lib/libltdl.so.7.2.0
00119000-0011b000 rwxp 00119000 00:00 0 
0011b000-00124000 r-xp 00000000 08:05 1815476    /lib/libnss_files-2.5.so
00124000-00125000 r-xp 00008000 08:05 1815476    /lib/libnss_files-2.5.so
00125000-00126000 rwxp 00009000 08:05 1815476    /lib/libnss_files-2.5.so
00126000-0012a000 r-xp 00000000 08:05 1817004    /lib/libnss_dns-2.5.so
0012a000-0012b000 r-xp 00003000 08:05 1817004    /lib/libnss_dns-2.5.so
0012b000-0012c000 rwxp 00004000 08:05 1817004    /lib/libnss_dns-2.5.so
0012c000-0012f000 rwxp 0012c000 00:00 0 
0013f000-00184000 r-xp 00000000 08:03 622476     /usr/local/lib/libmhash.so.2.0.1
00184000-00185000 rwxp 00044000 08:03 622476     /usr/local/lib/libmhash.so.2.0.1
00185000-0019b000 r-xp 00000000 08:05 1816982    /lib/libselinux.so.1
0019b000-0019d000 rwxp 00015000 08:05 1816982    /lib/libselinux.so.1
001cf000-00210000 r-xp 00000000 08:05 1815502    /lib/libssl.so.0.9.8b
00210000-00214000 rwxp 00040000 08:05 1815502    /lib/libssl.so.0.9.8b
00214000-0033b000 r-xp 00000000 08:05 1816925    /lib/libcrypto.so.0.9.8b
0033b000-0034d000 rwxp 00127000 08:05 1816925    /lib/libcrypto.so.0.9.8b
0034d000-00350000 rwxp 0034d000 00:00 0 
0035c000-003ec000 r-xp 00000000 08:03 133471     /usr/lib/libkrb5.so.3.3
003ec000-003ef000 rwxp 0008f000 08:03 133471     /usr/lib/libkrb5.so.3.3
003f1000-00416000 r-xp 00000000 08:03 133470     /usr/lib/libk5crypto.so.3.1
00416000-00417000 rwxp 00025000 08:03 133470     /usr/lib/libk5crypto.so.3.1
00419000-00446000 r-xp 00000000 08:03 133472     /usr/lib/libgssapi_krb5.so.2.2
00446000-00447000 rwxp 0002d000 08:03 133472     /usr/lib/libgssapi_krb5.so.2.2
00447000-0055b000 r-xp 00000000 08:03 622589     /usr/local/lib/libxml2.so.2.6.30
0055b000-00560000 rwxp 00113000 08:03 622589     /usr/local/lib/libxml2.so.2.6.30
00560000-00561000 rwxp 00560000 00:00 0 
00578000-005b2000 r-xp 00000000 08:03 622483     /usr/local/lib/libpng.so.3.1.2.8
005b2000-005b3000 rwxp 00039000 08:03 622483     /usr/local/lib/libpng.so.3.1.2.8
005b3000-00690000 r-xp 00000000 08:03 622574     /usr/local/lib/libiconv.so.2.4.0
00690000-00691000 rwxp 000dc000 08:03 622574     /usr/local/lib/libiconv.so.2.4.0
006a8000-006e4000 r-xp 00000000 08:03 621588     /usr/local/lib/libcurl.so.4.1.1
006e4000-006e5000 rwxp 0003c000 08:03 621588     /usr/local/lib/libcurl.so.4.1.1
008d5000-008fc000 r-xp 00000000 08:03 622550     /usr/local/lib/libmcrypt.so.4.4.8
008fc000-008ff000 rwxp 00027000 08:03 622550     /usr/local/lib/libmcrypt.so.4.4.8
008ff000-00904000 rwxp 008ff000 00:00 0 
00a26000-00a27000 r-xp 00a26000 00:00 0          [vdso]
00a5b000-00ac5000 r-xp 00000000 08:03 622548     /usr/local/lib/libfreetype.so.6.3.16
00ac5000-00ac9000 rwxp 00069000 08:03 622548     /usr/local/lib/libfreetype.so.6.3.16
00b56000-00b70000 r-xp 00000000 08:05 1815967    /lib/ld-2.5.so
00b70000-00b71000 r-xp 00019000 08:05 1815967    /lib/ld-2.5.so
00b71000-00b72000 rwxp 0001a000 08:05 1815967    /lib/ld-2.5.so
00b74000-00cb1000 r-xp 00000000 08:05 1816977    /lib/libc-2.5.so
00cb1000-00cb3000 r-xp 0013d000 08:05 1816977    /lib/libc-2.5.so
00cb3000-00cb4000 rwxp 0013f000 08:05 1816977    /lib/libc-2.5.so
00cb4000-00cb7000 rwxp 00cb4000 00:00 0 
00cb9000-00cbb000 r-xp 00000000 08:05 1816978    /lib/libdl-2.5.so
00cbb000-00cbc000 r-xp 00001000 08:05 1816978    /lib/libdl-2.5.so
00cbc000-00cbd000 rwxp 00002000 08:05 1816978    /lib/libdl-2.5.so
00cbf000-00cd2000 r-xp 00000000 08:05 1816986    /lib/libpthread-2.5.so
00cd2000-00cd3000 r-xp 00012000 08:05 1816986    /lib/libpthread-2.5.so
00cd3000-00cd4000 rwxp 00013000 08:05 1816986    /lib/libpthread-2.5.so
00cd4000-00cd6000 rwxp 00cd4000 00:00 0 
00cd8000-00cfd000 r-xp 00000000 08:05 1816984    /lib/libm-2.5.so
00cfd000-00cfe000 r-xp 00024000 08:05 1816984    /lib/libm-2.5.so
00cfe000-00cff000 rwxp 00025000 08:05 1816984    /lib/libm-2.5.so
00d07000-00d1a000 r-xp 00000000 08:03 622433     /usr/local/lib/libz.so.1.2.3
00d1a000-00d1b000 rwxp 00012000 08:03 622433     /usr/local/lib/libz.so.1.2.3
00d1b000-00d56000 r-xp 00000000 08:05 1816981    /lib/libsepol.so.1
00d56000-00d57000 rwxp 0003a000 08:05 1816981    /lib/libsepol.so.1
00d57000-00d61000 rwxp 00d57000 00:00 0 
00d63000-00d6a000 r-xp 00000000 08:05 1816987    /lib/librt-2.5.so
00d6a000-00d6b000 r-xp 00006000 08:05 1816987    /lib/librt-2.5.so
00d6b000-00d6c000 rwxp 00007000 08:05 1816987    /lib/librt-2.5.so
00d6e000-00d77000 r-xp 00000000 08:05 1816988    /lib/libcrypt-2.5.so
00d77000-00d78000 r-xp 00008000 08:05 1816988    /lib/libcrypt-2.5.so
00d78000-00d79000 rwxp 00009000 08:05 1816988    /lib/libcrypt-2.5.so
00d79000-00da0000 rwxp 00d79000 00:00 0 
00da2000-00db1000 r-xp 00000000 08:05 1816980    /lib/libresolv-2.5.so
00db1000-00db2000 r-xp 0000e000 08:05 1816980    /lib/libresolv-2.5.so
00db2000-00db3000 rwxp 0000f000 08:05 1816980    /lib/libresolv-2.5.so
00db3000-00db5000 rwxp 00db3000 00:00 0 
00db7000-00dca000 r-xp 00000000 08:05 1816990    /lib/libnsl-2.5.so
00dca000-00dcb000 r-xp 00012000 08:05 1816990    /lib/libnsl-2.5.so
00dcb000-00dcc000 rwxp 00013000 08:05 1816990    /lib/libnsl-2.5.so
00dcc000-00dce000 rwxp 00dcc000 00:00 0 
00dd0000-00dd2000 r-xp 00000000 08:05 1816983    /lib/libcom_err.so.2.1
00dd2000-00dd3000 rwxp 00001000 08:05 1816983    /lib/libcom_err.so.2.1
00ddb000-00ddd000 r-xp 00000000 08:05 1816979    /lib/libkeyutils-1.2.so
00ddd000-00dde000 rwxp 00001000 08:05 1816979    /lib/libkeyutils-1.2.so
00de0000-00de8000 r-xp 00000000 08:03 133469     /usr/lib/libkrb5support.so.0.1
00de8000-00de9000 rwxp 00007000 08:03 133469     /usr/lib/libkrb5support.so.0.1
00e5c000-00e5d000 rwxp 00e5c000 00:00 0 
00fc2000-00fc3000 rwxp 00fc2000 00:00 0 
08048000-08647000 r-xp 00000000 08:03 981418     /usr/local/php5/bin/php-cgi
08647000-08751000 rwxp 005ff000 08:03 981418     /usr/local/php5/bin/php-cgi
08751000-0875b000 rwxp 08751000 00:00 0 
0a192000-0a2ef000 rwxp 0a192000 00:00 0 
bf96e000-bf983000 rwxp bf96e000 00:00 0          [stack]

ik neem aan dat dit gestuurd wordt door een script of logger? Best even opsporen waar dit precies loopt...

Eerlijk gezegd lijkt het erop dat je DirectAdmin draait en dat je PHP als cgi hebt gecompileerd. De waarschuwing die je krijgt houdt in dat er een bepaald script al ca. 3 minuten draait en dat vindt LFD verdacht (en terecht). Waarschijnlijk is het echter een harmless PHP script dat slecht in elkaar zit maar je kunt voor de zekerheid het beste even uitzoeken wat de account voor een files probeert uit te voeren.

Stel ook even je max_execution_time in php.ini in, die vindt je overigens in /usr/local/etc/php5/cgi/php.ini als ik me niet vergis.

Het is een BackDoor.R57Shell
De server waar het om gaat daar draaid PHP/CGI met SuPHP op
Inmiddels heb ik de server verder dicht getimmerd zodat er geen schade kan ontstaan.
Waar het mij omgaat is de melding, ik weet niet of iemand hier iets uit kan halen?

Oorspronkelijk geplaatst door PeterT

Stel ook even je max_execution_time in php.ini in, die vindt je overigens in /usr/local/etc/php5/cgi/php.ini als ik me niet vergis.

Op PHP4 staat die op 120 en op PHP5 stond die op 240, ik heb deze nu ook op 120 gezet.
Bedankt alvast voor de tip!

Oorspronkelijk geplaatst door Herbert

Het is een BackDoor.R57Shell
De server waar het om gaat daar draaid PHP/CGI met SuPHP op
Inmiddels heb ik de server verder dicht getimmerd zodat er geen schade kan ontstaan.
Waar het mij omgaat is de melding, ik weet niet of iemand hier iets uit kan halen?

Die backdoor.r57shell is niet goed te noemen, blijkbaar heeft een buitenstaander dit op je server kunnen zetten (meestal via een slechte beveiliging van een script van een klant), en dat uitvoeren.

Aangezien je suphp gebruikt, zou je moeten kunnen zien welke account niet veilig is (het script zou van die gebruiker moeten zijn).

Hoogstwaarschijnlijk is dat ook de account die het uitvoert aangezien je niet zomaar andermans userdir kunt bekijken, laat staan bestanden daarin uitvoeren. LFD heeft je dus de 'schuldige' account al aangewezen.

Ik had al gezien welke account niet veilig was, ik laat het nog wel even weten wat het was.

Het systeem is clean, het lek is gedicht.
Ik krijg nog wel steeds meldingen van lfd

Code:

Time:    Thu Jan 29 08:00:00 2009 +0100
PID:     29290
Account: XXXX
Uptime:  102 seconds


Executable:

/usr/local/php5/bin/php-cgi


Command Line (often faked in exploits):

/usr/local/php5/bin/php-cgi


Network connections by the process (if any):

tcp: 89.105.XXX.XXX:44096 -> 217.123.XXX.XXX:3306


Files open by the process (if any):

etc..

Poort 3306 is MySQL, dus een scriptje dat gegevens opvraagt bij een externe database. Het vervelendste daaraan is dat het dataverkeer hiervan niet terug komt in de statistieken per user.