[Sicurezza] Haked, file log

SergioL68 · 13-07-2006, 23:48

Sono entrati ieri notte in un server, ho trovato un bel file con scritto haked, giusto per farcelo capire e poi una dir con un programmino cha avranno installato.

Nel file di log c'è un "cron" strano, avede qualche idea di quello che sia successo ?

http://www.hwupgrade.it/forum/attach...id=42150&stc=1

ilsensine · 14-07-2006, 10:43

Ti avranno messo una backdoor; per curiosità dai una botta di chkrootkit per vedere cosa rileva. Giusto per curiosità però, in quanto è meglio reinstallare da 0 il sistema visto che la tua macchina potrebbe essere usata come zombie.

rollopack · 14-07-2006, 11:16

Mi avete incuriosito, ho lanciato chkrootkit e va tutto bene tranne:

Checking `sniffer'... eth0: PACKET SNIFFER(/sbin/dhclient[1972], /usr/sbin/zeroconf[1976])
eth0: PACKET SNIFFER(/sbin/dhclient[1972], /usr/sbin/zeroconf[1976])

Immagino sia normale, confermate?

ilsensine · 14-07-2006, 11:17

Sì

rollopack · 14-07-2006, 17:18

Grazie

SergioL68 · 17-07-2006, 00:40

Io devo avere per forza un problema grave, qualche d'uno continua a creare utenti sul server, è ovvio che ci sia un rootkit o che la sicurezza sia compromessa, quello che non capisco è questo :

Ho installato un sistema completamente nuovo venerdì pomeriggio, Suse 10.1, poi lo ho aggiornato.
Venerdì notte qualche d'uno ha creato due utenti per gioco "Sofia" e Inetd", come è possibile ciò ?

Attenzione, stiamo parlando di un server "in produzione" è un server web con ecommerce, siti... la segnalazione alla polizia postale è già stata fatta, ma sapete come vanno le cose in Italia...

Se volete potete aiutarmi a "giocare" con lui

SergioL68 · 17-07-2006, 01:01

Questa è la risposta del chkrootkit :

raid:~/Desktop/chkrootkit/chkrootkit-0.46a # ./chkrootkit
ROOTDIR is `/'
./chkrootkit: line 2604: 17985 Done echo "${TROJAN}"
17986 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `amd'... \c
./chkrootkit: line 2638: amd: command not found
./chkrootkit: line 2604: 17992 Done echo "${TROJAN}"
17993 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `basename'... \c
basename: missing operand
Try `basename --help' for more information.
./chkrootkit: line 2604: 18001 Done echo "${TROJAN}"
18002 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `biff'... \c
./chkrootkit: line 2638: biff: command not found
./chkrootkit: line 2604: 18010 Done echo "${TROJAN}"
18011 Segmentation fault | ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1
Checking `chfn'... \c
Changing finger information for root.
Enter the new value, or press ENTER for the default

ilsensine · 17-07-2006, 09:42

Mah, pialla quel coso prima che ti ritrovi i carabinieri alla porta

SergioL68 · 17-07-2006, 18:24

Ci ho provato stanotte, ma il nuovo server ha il sendmail che non riesco a fare funzionare e fino a che non sistemo quello non posso fare partire tutti i siti (tra i quali un ecommerce)

Nel frattempo sono riuscito a contttare il tipo ed in via amichevole mi ha spiegato che è successo, mi ha detto che si è fatto spazio da una falla del PhpAdsNew2 : http://phpadsnew.com/two/nucleus/index.php?itemid=45

Buffo a dirsi, ma sembra che voglia collaborare e dare una mano ora.

14-07-2006, 10:43	#2
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Ti avranno messo una backdoor; per curiosità dai una botta di chkrootkit per vedere cosa rileva. Giusto per curiosità però, in quanto è meglio reinstallare da 0 il sistema visto che la tua macchina potrebbe essere usata come zombie. __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

14-07-2006, 11:16	#3
rollopack Senior Member Iscritto dal: Dec 1999 Città: Valle d'Aosta Messaggi: 495	Mi avete incuriosito, ho lanciato chkrootkit e va tutto bene tranne: Checking `sniffer'... eth0: PACKET SNIFFER(/sbin/dhclient[1972], /usr/sbin/zeroconf[1976]) eth0: PACKET SNIFFER(/sbin/dhclient[1972], /usr/sbin/zeroconf[1976]) Immagino sia normale, confermate? __________________ Innamorati in cucina - Ricette sane, genuine e leggere; ma non sempre...

14-07-2006, 11:17	#4
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Sì __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

14-07-2006, 17:18	#5
rollopack Senior Member Iscritto dal: Dec 1999 Città: Valle d'Aosta Messaggi: 495	Grazie __________________ Innamorati in cucina - Ricette sane, genuine e leggere; ma non sempre...

17-07-2006, 00:40	#6
SergioL68 Senior Member Iscritto dal: Dec 2000 Città: Faenza Messaggi: 1043	Io devo avere per forza un problema grave, qualche d'uno continua a creare utenti sul server, è ovvio che ci sia un rootkit o che la sicurezza sia compromessa, quello che non capisco è questo : Ho installato un sistema completamente nuovo venerdì pomeriggio, Suse 10.1, poi lo ho aggiornato. Venerdì notte qualche d'uno ha creato due utenti per gioco "Sofia" e Inetd", come è possibile ciò ? Attenzione, stiamo parlando di un server "in produzione" è un server web con ecommerce, siti... la segnalazione alla polizia postale è già stata fatta, ma sapete come vanno le cose in Italia... Se volete potete aiutarmi a "giocare" con lui __________________ My email: [email protected] My web site : www.bodyweb.it

17-07-2006, 01:01	#7
SergioL68 Senior Member Iscritto dal: Dec 2000 Città: Faenza Messaggi: 1043	Questa è la risposta del chkrootkit : raid:~/Desktop/chkrootkit/chkrootkit-0.46a # ./chkrootkit ROOTDIR is `/' ./chkrootkit: line 2604: 17985 Done echo "${TROJAN}" 17986 Segmentation fault \| ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1 Checking `amd'... \c ./chkrootkit: line 2638: amd: command not found ./chkrootkit: line 2604: 17992 Done echo "${TROJAN}" 17993 Segmentation fault \| ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1 Checking `basename'... \c basename: missing operand Try `basename --help' for more information. ./chkrootkit: line 2604: 18001 Done echo "${TROJAN}" 18002 Segmentation fault \| ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1 Checking `biff'... \c ./chkrootkit: line 2638: biff: command not found ./chkrootkit: line 2604: 18010 Done echo "${TROJAN}" 18011 Segmentation fault \| ${egrep} "${L_REGEXP}$cmd${R_REGEXP}" >/dev /null 2>&1 Checking `chfn'... \c Changing finger information for root. Enter the new value, or press ENTER for the default __________________ My email: [email protected] My web site : www.bodyweb.it

17-07-2006, 09:42	#8
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Mah, pialla quel coso prima che ti ritrovi i carabinieri alla porta __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

17-07-2006, 18:24	#9
SergioL68 Senior Member Iscritto dal: Dec 2000 Città: Faenza Messaggi: 1043	Ci ho provato stanotte, ma il nuovo server ha il sendmail che non riesco a fare funzionare e fino a che non sistemo quello non posso fare partire tutti i siti (tra i quali un ecommerce) Nel frattempo sono riuscito a contttare il tipo ed in via amichevole mi ha spiegato che è successo, mi ha detto che si è fatto spazio da una falla del PhpAdsNew2 : http://phpadsnew.com/two/nucleus/index.php?itemid=45 Buffo a dirsi, ma sembra che voglia collaborare e dare una mano ora. __________________ My email: [email protected] My web site : www.bodyweb.it

Strumenti
Mostra una versione stampabile Invia questa pagina per email