https://217.65.3.21/openforum/vsluhforumID10/4631.html Небольшой хостинговый сервер с FreeBSD 7.0 на борту.<br>Консоль управления ISPManager.<br><br>Проблему заметили после того как сервак стал тормозить и в итоге перестал отвечать, пришлось аппаратно его ребутать.<br>Это было вызвано нехваткой своп-места и ресурсов из-за работы вирусного паука идентифицирующего себя как "Casper Bot Search".<br><br>Процессы поубивал, начал разбираться.<br><br>Схема работы трояна:<br>1. Через какую-то дыру запускается скачка тела виря с удалённых хостов через curl или lwp-download<br>2. Эти файлы сохраняются в /tmp и /var/tmp<br>3. Из темпа запускаются эти файлики: perl iso.txt, например. <br><br>Для управления собой конектяться на удалённые IRC сервера.<br>Файлы создаются с владельцем root и группой одного из юзерей хостинга. [странно очень]<br>Процессы выполняются от имени www, т.е. апача.<br>Еще эта скотина убивает апач и пытается под него замаскироваться, но не всегда как-то это у него выходило.<br><br>Вот собстно файлы которые оно заливает мне: http://ifolder.ru/18374420.<br><br>Что сделано:<br>1. Т.к. файлики пытают https://217.65.3.21/openforum/vsluhforumID10/4631.html#14 Fri, 20 Aug 2010 11:53:57 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Очень похоже что так и есть. <br>&gt;<br>&gt;Я выше писал, что косвенно нашёл источник проблем, это подтвердилось: <br>&gt;через дыру в vBulletin заливали с99 шелл и с него уже рулили <br>&gt;процессом. <br>&gt;<br>&gt;Теперь позатыкать всё найденное и смотреть чего будет :) <br>&gt;<br>&gt;Всем спасибо! <br><br>Присоединяюсь к автору статьи.<br>Мои хостинг на FreeBSD так же подвергался атакам, описанным выше.<br>Проблема была в дыре в cms e107. Подробнее тут:<br>http://php-security.org/2010/05/19/mops-2010-035-e107-bbcode-remote-php-code-execution-vulnerability/index.html<br><br>закрыл, полет нормальный.<br>кстати, кто использует phpThumb? насколько опасна его уязвимость в fltr?<br><br>спасибо.<br><br><br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#12 Mon, 26 Jul 2010 07:48:26 GMT Как правило, после взлома хакер оставляет пару резервных веб шеллов на случай обнаружения основного. Стучите в личку http://mega-admin.com (Exorcist) - бесплатно проверю на весь этот список:<br><br>r57shell\&#124;c99shell\&#124;Cyber Shell\&#124;GFS Web-Shell\&#124;NFM 1.8\&#124;Small Web Shell by ZaCo\&#124;nsTView v2.1\&#124;DxShell v1.0\&#124;CTT Shell\&#124;GRP WebShell\&#124;Crystal shell\&#124;Loaderz WEB Shell\&#124;NIX REMOTE WEB SHELL\&#124;Antichat Shell\&#124;CasuS 1.5\&#124;Sincap 1.0\&#124;hiddens shell\&#124;Web-shell\&#124;Predator\&#124;KA_uShell\&#124;C2007Shell\ &#124;Antichat Shell\&#124;Rootshell\&#124;c0derz shell\&#124;iMHaBiRLiGi Php FTP\&#124;PHVayv\&#124;phpRemoteView\&#124;STNC WebShell v0.8\&#124;MyShell\&#124;ZyklonShell\&#124;AK-74 Security Team Web Shell\&#124;c2007\&#124;gfs shell\&#124;iMHaPFtp\&#124;ncc shell\&#124;nshell\&#124;phpjackal\&#124;phvayv\&#124;Rem View\<br><br><br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#11 Thu, 01 Jul 2010 10:52:57 GMT &gt;Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте (они <br>&gt;у Вас выполняются, наверное, без suPHP и не через CGI/FastCGI). <br><br>Да, напрямую.<br><br>&gt;Если скотина убивает апач, то, скорее всего, только child-процессы, которые тоже выполняются <br>&gt;с привилегиями apache (тоесть, parent-процесс, запущенный от рута, убить не по <br>&gt;силам, а запустить свой екземпляр апача с привилегиями апача не получится <br>&gt;в таком случае, потому что необходимые сокеты уже заняты).<br><br>Очень похоже что так и есть.<br><br>Я выше писал, что косвенно нашёл источник проблем, это подтвердилось:<br>через дыру в vBulletin заливали с99 шелл и с него уже рулили процессом.<br><br>Теперь позатыкать всё найденное и смотреть чего будет :)<br><br>Всем спасибо!<br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#10 Thu, 01 Jul 2010 10:32:12 GMT &gt;Процессы выполняются от имени www, т.е. апача.<br>&gt;Еще эта скотина убивает апач и пытается под него замаскироваться, но не всегда как-то это &gt;у него выходило. <br><br>Вдогонку:<br><br>Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте (они у Вас выполняются, наверное, без suPHP и не через CGI/FastCGI).<br><br>Если скотина убивает апач, то, скорее всего, только child-процессы, которые тоже выполняются с привилегиями apache (тоесть, parent-процесс, запущенный от рута, убить не по силам, а запустить свой екземпляр апача с привилегиями апача не получится в таком случае, потому что необходимые сокеты уже заняты). Значит, Вам надо ВСЕ скрипты запускать от юзера, отличного от apache.<br><br>respect,<br>ronin<br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#9 Thu, 01 Jul 2010 10:25:21 GMT &gt;ага, или perl-including, через дырявые скрипты вообщем. <br>&gt;тока вот проблема найти через какой именно! <br>&gt;кол-во сайтов на сервере * кол-во скриптов = ппц <br><br>Могу посоветовать закрыть фаерволлом исходящие соединения с этого сервера (все, а не только на 6666-6669) - что бы зараза сама себя не докачивала. Если там только Апач, то ему исходящие нафик не нужны. Разрешить только входящие, и этого будет достаточно для его нормальной работы. Если нужно взаимодействие с сервером БД - разрешить исходящие на него, но не более того.<br>Ну и с учётом необходимости установления исходящих соединений в административных целях... Здесь уж Вам виднее что Вам необходимо, а что - нет.<br><br>Далее - /tmp смонтируйте с опцией noexec, /var/tmp - залинкуйте на /tmp - это чтоб не було возможности ничего оттуда запускать. То же самое можно сделать и с /home, если нет необходимости запускать CGI сценарии.<br><br>Если не удаётся найти заразу с помощью grep, то, возможно, скрипт удаляет свой файл сразу после запуска. Тогда ловить действительно б https://217.65.3.21/openforum/vsluhforumID10/4631.html#8 Thu, 01 Jul 2010 08:48:44 GMT &gt;&gt;Да, проверял rkhunter и chkrootkit - ничего не нашли. <br>&gt;<br>&gt;Судя по http://www.virustotal.com/ru/analisis/15f933c8f9930b82e5d356e37691d58cd605d44d36d9d29456fd2f03d9626e3a-1277940258 ClamAV знает эти вирусы. <br>&gt;Установи его и просканируй. <br><br>Дырки ясно не нашёл, но понаходил шеллы и прочее у определенного пользователя, значит у них дыра - уже легче.<br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#7 Thu, 01 Jul 2010 07:09:45 GMT ага, или perl-including, через дырявые скрипты вообщем.<br>тока вот проблема найти через какой именно!<br>кол-во сайтов на сервере * кол-во скриптов = ппц<br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#6 Thu, 01 Jul 2010 07:08:02 GMT Parent - апач.<br>Значит точно или сам(что врядли), или какой-то из пользовательских скриптов.<br><br>Как теперь проследить внутрь апача, какой сайт/скрипт это делал?<br> https://217.65.3.21/openforum/vsluhforumID10/4631.html#5 Thu, 01 Jul 2010 07:04:10 GMT php-including ??? =)<br>почитай похожие темы http://www.xakep.ru/post/28749/default.asp<br>