apache lückenhaft

[ccfritz]

hi all,

folgendes bin langsam am verzweifeln.
irgend jemand scheínt mich am hänger zu haben.

finde jeden tag in meinem /tmp directory eine datei ausführbar namens bash vor.
der inhaber ist apache.

zu meinem system:

RH9 - 2.4.20-20.9
Apache/2.0.48 (Unix) DAV/2 PHP/4.3.3

in den logfiles war auch nicht wirklcih was zu finden.

hat jemand da eine idee?

danke!

[linuxhanz]

hm, welche Shell hat der apache in /etc/passwd? etwa gar /tmp/bash ?

Alle Updates eingespielt? (PHP usw. AUCH alle sonstige Software?)

Hast Du mal chkrootkit drüberlaufenlassen?

Als Workaround kannst Du ja einen Cronjob einrichten der die Datei
jeden Tag um 0:00 Uhr löscht

Wenn nix geht Rechner vom Netz trennen.


Mehr fällt mir grad nicht ein.


greetZ

lh

[ccfritz]

hello,

also updates sind alel dirnnen. habe php 4.3.3 dirnnen, ich weiss 4.3.4 ist gerade raus gkeommen, allerdings sind keinerlei securtiyupdates dabei gewsen,was ich geshen habe und mir noch zu neu.

in der passwd steht:
apache:x:500:500::/home/apache:/bin/bash

chkrootkit wird täglich bei mir gestartet und durch ein pipe an mich per mail gesendet => keine vorfälle.

die updates vom rh9 habe ich alle drinnen, also was mir zumindest apt-get ausgegeben hat udn mir auch der newsletter gesagt hat ;-)

[linuxhanz]

[SIZE=1]

[hanz@linux ~]# grep apache /etc/passwd
apache:x:48:48:Apache:/var/www:/bin/false
[/SIZE=1]

Wen Du die Shell mal änderst? s.o.?


Aber die bash ist ja in tmp, d.h. Du hast evtl. ein 0day Problem?

(eine Sicherheitslücke die noch nicht bekannt ist)

Gibts andere User mit Root-Zugang? Ungewöhnliche Setuid,setgid Dateien?

z. B.
[SIZE=1]

[hanz@linux ~]# ls -l /usr/sbin/suexec
-r-s--x--- 1 root apache 11040 Sep 2 15:17 /usr/sbin/suexec
[/SIZE=1]

siehe auch dazu phrack62

evil:~# ./a.out -v64.202.97.154 -p80 -o12 -t6

Attacking 64.202.97.154:80 - Apache 1.3.27

progress[#######]

Linux irc.scservers.com 2.4.1-008stab043.15.swsoft-smp #1 SMP Thu Mar 20 16:47:30 MSK 2003 i686 unknown
uid=48(apache) gid=48(apache) groups=48(apache),500(webadmin)
id pr0ix
uid=512(pr0ix) gid=512(pr0ix) groups=512(pr0ix)
#hohoho time for more skillz

whereis suexec
suexec: /usr/sbin/suexec /usr/share/man/man8/suexec.8.gz
ls -al /usr/sbin/suexec
-r-s--x--- 1 root apache 11732 May 15 06:09 /usr/sbin/suexec
cat << EOF >> suexp.c
/* REMOVED - sorry kids
* Phrack supports Non-disclosure
*/
EOF
make suexp
cc suexp.c -o suexp
./suexp -t6
id
uid=0(root) gid=0(apache) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(di sk),10(wheel)
#h3h3h3

[ccfritz]

okay das bash in flase ändern, he ich doch beinhart übersehen ;-)

allerdings das suexec finde ich auf meinem system überhaupt nicht (RH9)

denke suesxec ist bei suse oder?

das phrack hat das mit http://www.phrack.nl/ zu tun? ist doch ein art rookit oder?

[Kip]

Original geschrieben von ccfritz
denke suesxec ist bei suse oder?

lol ... nene ... das "su" steht nicht für "suse"

mit suexec kann man zB cgi-scripte dazu veranlassen mit der userid und den userrechten des users zu laufen, dem das entsprechende script auch gehört. (normalerweise laufen cgi-scripte mit den rechten des webserver(-users).

siehe: http://httpd.apache.org/docs/suexec.html

[ccfritz]

;-)

naja, dann ist es doch gut oder auch nicht wenn ich swas gar nicht oben hab ;-)

[root@snoopy root]# find / -name suexec
[root@snoopy root]#

laut -
http://httpd.apache.org/docs-2.0/suexec.html

ist auch nciht unbeding ein muss es zu haben ;-)

[g0dzilla]

tach ccfritz, linuxhanz, alle!

man beachte:

http://phrack.nl != http://phrack.org

http://phrack.org ist das "echte" phrack magazine, bei http://phrack.nl handelt es sich um ppl die gezielt missinformationen verbreiten, um die it-security zu untergraben (project mayhem).

nichtsdestotrotz gibt es gerüchte um einen 0day im apache. ich habe bisher nur von version 1.3.29 gehört, das soll aber nix heissen, denn auch für die modules kann es durchaus 0dayz geben...

chkrootkit halt ich persönlich für kaum hilfreich, denn es funktioniert ja im prinzip über pattern-matching. die kreativen leute bauen sich aber ihre rk sowieso selber

/g0dzilla

[ccfritz]

okay, danke erstmal allen.

somit stellt sich die frage welcher apache ist dann wirklich komplett stable ?

es stimmt sicher das die 2er nicht komplett stable ist, daran ist sicher etwas.
bin auch bereit auf die 1.3 zurück zu steigen.
ist der 1.3.26 wirklich komplett stable und sicher !?!?!

[Kip]

Original geschrieben von ccfritz
ist der 1.3.26 wirklich komplett stable und sicher !?!?!

100%ig bugfree gibts IMHO nie ... aber die 1.3.28 lief bei mir immer tadellos .... 1.3.29 hab ich selbst nocht nicht installiert ...

[ccfritz]

also doch back to the roots ;-)

schade, die 2er reihe war echt schön zum skalieren mit der peformance usw.

[linuxhanz]

Original geschrieben von g0dzilla
tach ccfritz, linuxhanz, alle!

man beachte:

http://phrack.nl != http://phrack.org

http://phrack.org ist das "echte" phrack magazine, bei http://phrack.nl handelt es sich um ppl die gezielt missinformationen verbreiten, um die it-security zu untergraben (project mayhem).

nichtsdestotrotz gibt es gerüchte um einen 0day im apache. ich habe bisher nur von version 1.3.29 gehört, das soll aber nix heissen, denn auch für die modules kann es durchaus 0dayz geben...

chkrootkit halt ich persönlich für kaum hilfreich, denn es funktioniert ja im prinzip über pattern-matching. die kreativen leute bauen sich aber ihre rk sowieso selber

/g0dzilla

d.h. prack.nl ist KOMPLETTER MUELL? ja?

Übrigens gabs ja auch mal chrootkit