SUID[0]

[MasterSleepy]

Salut à tous,

Voilà on continue sur la lancer, je me suis fais a nouveau hacker tout à l'heure.
Heureusement je me suis connecter qq minutes après l'exploit et j'ai pu tout arrêté quand il était encore temps.
Le problème est que cette fois je n'ai trouvé aucune trace de ce qu'ils ont utilisé.

Il y avait un programe qui était executé depuis le répertoire /tmp et qui s'appelait 9000.
Il y avait aussi dans ce répertoire plusieur page web faisant référence à un site web www.ecst4sy.hpgvip.ig.com.br. Du coup j'ai été voir et j'ai trouvé le gaillard qui m'a fait ça, p4ssw0rd_X.

Est-ce que quelqu'un sait comment il a réussit à placer et à executer ce programme sur mon serveur??

D'avance Merci.
A+.

[rodolphedj]

surement par un acces telnet, ou ssh
ou bien par des pages PHP...

tu utilisens PORT OPEN sur ta SME ?
http://forums.fr.ixus.net/viewtopic.php ... =port+open


n.b: rien à voir, c'est quoi ton portail ? je l'aime bien

[braouazou]

Pour que le programme soit lancé depuis /tmp, c'est sans doute depuis un script php ou cgi mal 'protégé'.

Le mieux est sans doute de monter /tmp de façon à ce que rien ne puisse s'exécuter depuis ce répertoire accessible en écriture à tous.
A condition que /tmp soit sur une partition séparée...

Cela peut être fait en ajoutant les options noexec et nosetuid au fichier /etc/fstab, par exemple :

Code: Tout sélectionner

/dev/hdb5    /tmp              ext3  noexec,nosuid           0       2

Puis, en tant que root :

Code: Tout sélectionner

mount -o remount /tmp

J'ai quelques soucis sous Debian Sarge avec l'option noexec (notamment à la rotation des logs de MySQL, je n'ai toujours pas compris pourquoi), il se peut donc que tu rencontres d'autres soucis, quoi qu'il en soit, moins importants qu'une brêche ouverte par un mauvais script

@++

[rodolphedj]

et puis MasterSleepy, sur son site, il en a des scriptssssssssssssssss

va trouver lequel a une porte ouverte....

examine, quand même les logs de httpd

[MasterSleepy]

Non pas par ssh ni même telnet, ça c'est sur.
Il est passé par apache ou une faille dans un script php ou cgi.

Non, je n'utilise pas port open sur ma SME.

En plus le programme lancer écoutait sur le port 9000.

Pour mon portail, j'utilise postnuke avec plein de fonction en plus, ça doit surement venir de la mais vu l'ampleur des scripts ça risque d'être un peu chaud à trouver.

A+

[braouazou]

En cherchant un peu "p4ssw0rd_X" sur Google, on se rend compte que ce type a l'air très intéressé par le defacing de site web.
Vu le nombre de réponses, méfie toi tout de même, car il ne s'agit vraisemblablement pas d'un script kiddy. Comment as-tu trouvé qu'il s'agissait de celui-là ?

As-tu vérifié qu'il n'avait pas modifié les commandes de base (ps, ls ...) pour cacher ses méfaits ?

@++

[MasterSleepy]

Voilà j'ai trouvé pqr ou il est passé.
J'utilsait phpbb2 en module pour postnuke.
Et il est passé par là, bon conclusion on n'est jamais à l'abrit et on est jamais assez à jour dans tout ces soft ou script utilsé.

A+

[MasterSleepy]

En cherchant un peu "p4ssw0rd_X" sur Google, on se rend compte que ce type a l'air très intéressé par le defacing de site web.
Vu le nombre de réponses, méfie toi tout de même, car il ne s'agit vraisemblablement pas d'un script kiddy. Comment as-tu trouvé qu'il s'agissait de celui-là ?

As-tu vérifié qu'il n'avait pas modifié les commandes de base (ps, ls ...) pour cacher ses méfaits ?

@++

Non il ne les a pas modifié.
J'ai trouvé le programme qui était executé assez facilement (ps) et ai détecté qu'il écoutait à l'extérieur (netstat) sans trop de problème.
Effectivement il a simplement modifié ma home page avec un message du style "p4ssw0rd_X est passé par ici".
Peut-être n'a-t-il pas eu le temps de faire plus

Ce qui ne tue dans cette histoire, c'est que ce genre d'attaque est détecté par snort sans problème, hors chez moi il s'est planté se matin.
Snort s'est planté à 5h30 et à 16h44 le site était hacké.

Enfin maintenant ça devrait aller, tout est mis à jour, jusqu'au prochain.

A+

[rodolphedj]

justement, il a peut être reussi à faire planter, snort, non ?!

[MasterSleepy]

Salut,

Je pense pas car snort c'est planté le matin et je pense que j'en suis responsable

A+

[Grand-Pa]

Je pense pas car snort c'est planté le matin et je pense que j'en suis responsable

A moins que tu ne sois absolument certain que c'est toi qui est cause, vérifie bien ton serveur : lorsque le miens a été hacké (la 2ème fois car à la première, le "gentil" pirate ma fait un non moins gentil rm -rf /var/log...), l'attaque s'est déroulée en 2 étapes.
En gros, à 8h30, un de ses scripts a exploité une faille (Awstats dans mon cas) et a installé un rootkit. Mais le Pénible n'a commencé à faire mumuse que vers 11h30, sûrement le temps qu'il ait fini son sale boulot sur une autre machine.

Bref, à ta place, je testerais l'intégrité de mon serveur avec rootkit hunter et chkrootkit.
Jette un oeil sur /var/tmp aussi.