作者 主題: 不知道是中毒還是被入侵?  (閱讀 14709 次)

0 會員 與 1 訪客 正在閱讀本文。

playman

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
不知道是中毒還是被入侵?
« 於: 2010-01-13 11:45 »
這是第2次了

廠商跟我說,我們主機有一個process佔CPU 100%
於是我登入去查, 果然有一個名為 x 的process佔CPU 100%

然後我再查這個x , 發現 /usr/bin/perl 跟它有關連
我再繼續查ps ax 發現
6144 ?        R     19:46 /usr/bin/perl ./x 82.208.131.143 0 0

想不出所以然,請我同事幫忙一起看
他找到在 /tmp/裡 有一個名為 ddos-abc的資料夾 使用者與群組都是 apache
在到裡面看,果然有一個名為x 的檔案, 還有幾個看不懂的檔案

然後我把httpd關掉看看, 試試會不會停止連線
關了之後, x仍在運作
更奇妙的是, httpd stop後, 換成pop3-login 佔住80 port了
pop3-login 應該跟110 port有關才對

後來跟我同事上網也沒找到相關資料
所以只好把那些process kill了
他也刪了 /tmp/ddos-abc的檔案

我覺得很奇怪,這台主機我有設iptables
80 port也只有我們公司幾個ip能連入
一般是進不來的, 上次也是出現這情形
我去看/var/log/secure 也沒看出有其他登入情形

到底是怎麼會有這東西呢? 請問版上有大大遇過這情形嗎?

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 不知道是中毒還是被入侵?
« 回覆 #1 於: 2010-01-13 11:53 »
然後我再查這個x , 發現 /usr/bin/perl 跟它有關連
我再繼續查ps ax 發現
6144 ?        R     19:46 /usr/bin/perl ./x 82.208.131.143 0 0

既然是用 perl 寫的
那可以直接看看 x 的內容啊

playman

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
回覆: 不知道是中毒還是被入侵?
« 回覆 #2 於: 2010-01-13 12:07 »
然後我再查這個x , 發現 /usr/bin/perl 跟它有關連
我再繼續查ps ax 發現
6144 ?        R     19:46 /usr/bin/perl ./x 82.208.131.143 0 0

既然是用 perl 寫的
那可以直接看看 x 的內容啊


我們忘把它留下 T_T
不過我有看到一句
rand(int, 65000)
可能是在掃別人的port的樣子 orz

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 不知道是中毒還是被入侵?
« 回覆 #3 於: 2010-01-13 12:18 »
他找到在 /tmp/裡 有一個名為 ddos-abc的資料夾 使用者與群組都是 apache
在到裡面看,果然有一個名為x 的檔案, 還有幾個看不懂的檔案

透過網頁上傳的?

檢查一下上傳資料或檔案網頁是否有漏洞

playman

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
回覆: 不知道是中毒還是被入侵?
« 回覆 #4 於: 2010-04-05 01:46 »
Yamaka學長好:
您說的我有點擔心
因為php.ini的設定, uploadfile是YES
所以有可能是被上傳了檔案

但是我也有一點不懂
Apache的預設web root是/var/www/html裡
我並沒有改它, 但是對放上傳的目錄是 /tmp
請問上傳後要怎麼去執行他剛上傳的檔案呢?

dark

  • 俺是博士!
  • *****
  • 文章數: 1573
    • 檢視個人資料
回覆: 不知道是中毒還是被入侵?
« 回覆 #5 於: 2010-04-05 07:20 »
上傳到 /var/www/html , 在 copy 到 /tmp

其實不上傳也能辦到
若找到 perl 程式中哪段字忘了過濾 , 能跳脫後塞入字串執行
直接呼叫 /usr/bin/lftp 上網抓就行了
甚至當下寫一個 ... (塞這麼大串邏輯也算太強了)

ps ax 中看到 /usr/bin/perl ./x
這代表不是 apache 吧 ... 透過 system() , exec() 做的
甚至事後變開機啟動了

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 不知道是中毒還是被入侵?
« 回覆 #6 於: 2010-04-05 11:50 »
http://blog.teatime.com.tw/1/post/126
我猜是這個問題吧.
檔案使用者是 apache, 就一定是經由 httpd 進來的. 只要有洞可以進, 之後要傳檔案自然是選擇 /tmp, 因為那兒誰都可以寫, 一般也都能執行.

上頭的案例, 用的人已經進化了... 知道去執行 perl 來處理, 而不是直接執行 ./x (這個可以把 /tmp 設成 noexec 來避開).

anderson1127

  • 訪客
回覆: 不知道是中毒還是被入侵?
« 回覆 #7 於: 2010-04-06 10:34 »

我覺得很奇怪,這台主機我有設iptables
80 port也只有我們公司幾個ip能連入
一般是進不來的, 上次也是出現這情形
我去看/var/log/secure 也沒看出有其他登入情形

到底是怎麼會有這東西呢? 請問版上有大大遇過這情形嗎?

如果iptables代表是安全的話,那全世界也就沒有所謂的入侵/中毒 這種事發生了!!
看來樓主對於security還沒有真正認清楚,所以才有此疑問!!

這次的狀況剛好給樓主上課,請務必好好準備筆記,把該注意的事都看個仔細!!

Firewall只是做很簡單的packet forwarding/filter而已, 不要把firewall的功能給美夢化
還天真的以為只要有firewall , 安全性就沒問題了!!

至於有沒有這種問題,當然有,都注意到了,惡意的入侵行為可不一定有機可趁!!

aliok

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
    • 竹月山莊
回覆: 不知道是中毒還是被入侵?
« 回覆 #8 於: 2011-01-19 16:39 »
我也遇到同樣的問題, 我確認是httpd 的漏洞,但目前為止沒有找到修補的方式
爬文也只有看到這篇是完全符合我問題的, 我重灌過,但沒幾天又進來了,我只開80port ,它還是來
它好像可以透過httpd 把檔案傳進 /tmp ,再解壓縮執行安裝,真不知道是怎麼有這個權限? apache 的權限明明就不高?
我也是用CentOS 5.5
之前CPU飇到100%, 也只能kill 掉它, 不知道樓主或各位先進有沒有找到解決的方法了? 或者修補的資料? 方便提供一下嗎?
我也還在努力的爬文找資料中,但好像真的很少.
半畝方塘一鑑開,天光雲影共徘徊;
問渠那得清幾許,為有源頭活水來.
竹月山莊
http://www.aliok.net