pomoc s hackovanym serverem (hack probiha prave ted)

Petr Stehlik pstehlik na sophics.cz
Středa Červenec 11 11:48:06 CEST 2012 

Ahoj,

potřeboval bych poradit, jak analyzovat právě teď probíhající "hack"
počítače. Útočník dokáže spustit tři procesy maskující se v seznamu
procesů pod jménem "find" a rozesílá přes ně hromady spamu. Je to ve
skutečnosti zřejmě perl skript, který má otevřené (kromě perlu a jeho
knihoven) i tyto soubory:

perl    1630 www-data    5w  FIFO    0,8      0t0 104797989 pipe
perl    1630 www-data    6r  FIFO    0,8      0t0 104797990 pipe
perl    1630 www-data  258w   REG  253,0  6238444   7578362 /var/log/apache2/mod_jk.log
perl    1630 www-data  259u   REG  253,0      384   7569414 /var/log/apache2/jk-runtime-status.32165 (deleted)
perl    1630 www-data  260u   REG  253,0        1   7569462 /var/log/apache2/jk-runtime-status.32165.lock (deleted)
w

tak nějak odhaduji podle těch log souborů, že ten perl skript útočník
dokázal spustit přes Apache Jakarta modul, ale vůbec netuším jak. Vím,
že běží od 10:05, ale v logu apache jsem v ten čas nenašel vůbec nic
zajímavého. V logu mod_jk.log není taky nic (ale byla tam jen úroveň
info, tak jsem teď dal trace).

Myslím si, že ty dvě pajpy používá útočník ke komunikaci s tím démonem,
ale nevím, jak zjistit, kam vedou, což by mi možná napovědělo, kudy
přišel. Domníval jsem se, že to číslo před pipe je inode, tak jsem
hledal soubor na disku, ale nenašel. Nenašel jsem ani jiný proces, který
by používal stejné pajpy. Možná už teď nejsou potřeba, nevím.

Tyto "find" procesy mají otevřených mnoho soketů a komunikují s cílovými
počítači na portech 25, takže to už jsou jejich oběti. Žádné řídicí
spojení nevidím.

Zkoušel jsem strace na ty procesy, ale je tam hlavně komunikace s těmi
obětmi, takže to mi moc nepřinese. Zdrojový kód skriptu z paměti perl
procesu vydolovat neumím, a ani si nejsem jistý, jestli by to k něčemu
bylo. Hledám hlavně kudy přišel a jak spouští ten perl, abych v tom mohl
zabránit.

Jakékoliv další rady vítány. Na serveru běží sun-java-6-jre, tomcat5.5 a
samozřejmě apache2, všechno Debian Squeeze up-to-date. Googlováním se mi
nepodařilo nic relevantního najít.

RkHunter ani ChkRootkit nic nenašly. Na disku nejsou žádné podezřelé ani
jiné soubory. Jo, a je to virtuální server díky linux-vservers, kdyby to
náhodou něco znamenalo.

Díky,

Petr

Další informace o konferenci Linux