UDP flood

[Martin Tiršel]

Tak uz som ten neposlusny web nasiel, dostal som len id usera a nie pid  
programu:

udp        0 106752 x.x.x.x:34962     y.y.y.y:2368     ESTABLISHED  
1009       69629535    -

pouzivam suexec a kazdy web je pod zvlast userom. Len zatial som este  
nezistil, akym sposobom ziskal kontrolu. Jedine podozrive subory som  
nasiel v nejakom cache adresari, jeden mal len otvoreny php tag "<?php" a  
druhy to same plus nieco navyse "<?php1291197500,1,0.7.16".

U tohto webu som si dlhodobo vsimal, ze ostava visiet php proces a musim  
ho manualne killovat, ale prisudzoval som to len problemu php cez fcgid a  
apache-worker, kde to robi u viacero webov. U tohto webu je pouzite CMS  
e107 a asi rok neaktualizovane. Co pozeram, tak dier je tam pozehnane.

-- 
S pozdravom,
Martin Tiršel


On Fri, 18 Mar 2011 12:15:52 +0100, Martin Tiršel <lk na blackpage.eu> wrote:

> Vdaka za tipy, pridal som podla nich nejake dalsie logovanie. Medzi  
> obrazkami som na prvy pohlad nic neobjavil, ale pojdem to preskumat este  
> podrobnejsie.
>   --
> S pozdravom,
> Martin Tiršel
>  On Fri, 18 Mar 2011 10:38:07 +0100, Dalibor Kouřil <dk na ebola.cz> wrote:
>
>> Něco podobného se mi stalo na podzim. Obvykle (z 99%) to dělá
>> neaktualizovaný Zencart, Oscommerce nebo Joomla na webech
>> klientů. V jejich adresářích images se objeví různé
>> pochybné php skripty.
>>
>> Pokud používáte suexec na php-cgi tak konkrétního
>> útočníka jsem zjistil:
>> netstat -apn|grep "^udp.*php-cgi"
>>
>> Ve výpise se zobrazí číslo procesu podle kterého lze
>> zjistit vlastníka procesu a potom už jednoduše vypátrat
>> co je na dané doméně za problém.
>>
>> Při probíhajícím útoku otázka minuty dvou.
>>
>> Pokud bych měl zjišťovat zpětně, tak jedině skript, který
>> vypíše adresáře images které obsahují skripty php.
>> Za poslední 2 roky je to opravdu 99% problémů.
>>
>> Zdravím DK
>>
>>
>>
>> Dne 18.3.2011 10:17, Martin Tiršel napsal(a):
>>> Zdravim,