Perl script rootkit (exploit)

Naviga le tue risposte
8

Ho ricevuto un abuso di spam pochi giorni fa sul mio server. Per precauzione, ho bloccato la porta SMTP e ho avviato un'indagine. Ho trovato un processo Perl in esecuzione. Lo script che stava usando è stato cancellato, ma ho trovato il suo contenuto in /proc/PID/fd/3 . Ecco il suo md5: 

server:~# md5sum spam_scipt
c97b6d65fe2e928f190ca4a8cf23747c  spam_scipt

Questo script Perl è stato usato per inviare spam dal mio server. Utilizza un algoritmo di generazione del dominio per generare un URL per una dropzone in cui viene inviato lo stato del processo di spam. Ho modificato lo script per vedere quale collegamento viene generato al momento: 

server:~# perl spam_scipt 
wget version is 11
Set browser wget
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Runned postfix found, use /usr/sbin/sendmail
Probe host redacted.info
Go https://ibkxluxisp.redacted.info:1905//b/index.php?id=5cb885d577c7bbacdae44dd9f7f86b641ad60d58b1b9df07b97953a70376ec47&check=1
Generate host ibkxluxisp.redacted.info:1905
https://ibkxluxisp.redacted.info:1905//b/index.php?id=5fb58ad575c14b08785ae5255ffbf83c9f561d18e961b2eb96dc5a058a41&version=18&sent=0&user=584e6388c671f38756eac21cec

E il secondo tentativo: 

server:~# perl spam_scipt 
wget version is 11
Set browser wget
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Runned postfix found, use /usr/sbin/sendmail
Probe host redacted.info
Go https://wodhvqubux.redacted.info:1905//b/index.php?id=5cb186d575c44b1e5174c7c111636063b338bc3ef4d46e4533036eded038a7&check=1
Generate host wodhvqubux.redacted.info:1905
https://wodhvqubux.redacted.info:1905//b/index.php?id=5a497fe86dde12da162b6460bb8cd215966679ad7bf97338b9b6c2e741fe&version=18&sent=0&user=544c648ace7ff7834db9fadf36bdserver:~# ;

Il sottodominio cambia solo ora. Quindi, dopo un semplice ping, otteniamo l'indirizzo IP della dropzone: 

server:~# ping vodhvqubux.redacted.info
PING vodhvqubux.redacted.info (94.23.208.20) 56(84) bytes of data.
64 bytes from ns207415.ovh.net (94.23.208.20): icmp_seq=1 ttl=59 time=4.02 ms
^C
--- vodhvqubux.redacted.info ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 4.026/4.026/4.026/0.000 ms

Questi criminali sono già apparsi in pubblico con lo stesso indirizzo IP: link http://www.jaguarpc.com/forums/general-hosting-network-support/26972-could-need-some-help-compromised-system-cannot-find-door.html

Non capisco come lo script di caricamento usi l'accesso root senza nemmeno conoscere la password. Ecco l'ambiente per quel processo perl: 

SHELL=/bin/bash
SSH_CLIENT=xx.xx.xx.xx.xx 60480 220
USER=root
MAIL=/var/mail/root
PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin
PWD=/tmp
SHLVL=1
HOME=/root
LOGNAME=root
SSH_CONNECTION=xxx.xxx.xxx.xxx 60480 xx.xx.xx.xx 220
_=/usr/bin/nohup
OLDPWD=/root

Forse è d'aiuto. Ho aggiornato tutto il software, il server riavviato, ma è successo di nuovo. Inoltre non ci sono log per l'accesso ssh in access.log .

Script Perl link

Qualcuno può aiutare con l'abuso sull'IP di OVH DC? Il sito web del criminale funziona perfettamente.

    
posta Olier Saari 29.12.2011 - 14:24
fonte

2 risposte

7

Il tuo server è infetto . Deve essere pulito . Con fire .

La funzione principale di un rootkit è installarsi in un luogo poco visibile e intercettare tutto ciò di cui ha bisogno per resistere ai riavvii e agli aggiornamenti. Ad esempio, potrebbe aver aggiunto il suo codice nel kernel stesso, e dirottare le chiamate di sistema in lettura e scrittura in modo che reinfects automaticamente il file del kernel se dovesse essere aggiornato.

Quindi il percorso per la tua salvezza è una completa reinstallazione del sistema da zero; ricostruire le partizioni, formattare i dischi rigidi, attivare il CD / DVD di installazione del sistema operativo. È l'unico modo per essere sicuri .

(In realtà è concepibile, ed è stato dimostrato in condizioni di laboratorio, che alcuni rootkit possano essere installati nel firmware della scheda madre o nel firmware di alcune periferiche, incluse le tastiere, purché tale firmware possa essere rifuso da Il software è teoricamente vulnerabile: è piuttosto improbabile che il tuo server sia stato compromesso a tale profondità, quindi è probabile che sia sufficiente una reinstallazione completa, non è necessario eseguire l'escalation a una pira funebre effettiva . )

    
risposta data 29.12.2011 - 14:41
fonte
3

Come ha detto Tom, hai un rootkit. Il tuo sistema è compromesso, devi ricominciare da capo con file sicuri noti. Non puoi fidarti di nessuna utilità di sistema, non puoi fidarti dei tuoi log - se tutti i tuoi log sono belli ora; questo non significa che non abbiano registrato qualcosa di interessante quando stavano tentando di entrare nel tuo sistema (ma poi hanno coperto le loro tracce). Avvio di un cd live, creazione di un backup di sola lettura dei dati (non eseguibili / non script) o file relativi alla sicurezza (ad es. / Etc / passwd o ssh-keys), riformattare e reinstallare il sistema operativo.

Sinceramente dubito che sia stato un difetto in openssh (se non fosse successo solo sui tuoi server, ma su milioni di server in tutto il mondo). Questo è probabilmente un difetto di sicurezza unico per i tuoi server.

Forse tu (o uno dei tuoi utenti) stai riutilizzando le password e qualcuno ha intercettato una password in questo modo. Forse alcuni utenti hanno una password debole che può essere forzata bruta (ad esempio, negli elenchi di dizionari di password comuni, o è qualcosa di semplice come una parola di dizionario e un numero), o hai dato un account a un utente malintenzionato. Forse qualcuno non ha una passphrase strong che protegge le loro chiavi private ssh e qualcuno ne ha una copia. Quindi cambia tutte le passphrase e accetta le chiavi pubbliche autorizzate.

O forse hai installato un'applicazione / script dannoso o uno con i principali problemi di sicurezza.

Installare misure di sicurezza proattive come fail2ban (tentativi di accesso frequenti falliti verranno rallentati / bloccati) / SELinux o AppArmor (controllo accessi che fornisce agli utenti autorizzazioni minime) / tripwire o OSSEC (file di controllo dell'integrità), ecc. per ridurre il rischio di ulteriori attacchi o almeno una rapida notifica quando sei attaccato.

    
risposta data 29.12.2011 - 21:58
fonte

Leggi altre domande sui tag

MediaWiki è valido per informazioni sensibili? Servizi come Hide My Ass e UnoDNS sono abbastanza sicuri da usare?