pomoc s hackovanym serverem (hack probiha prave ted)
Petr Stehlik
pstehlik na sophics.cz
Středa Červenec 11 11:48:06 CEST 2012
Ahoj,
potřeboval bych poradit, jak analyzovat právě teď probíhající "hack"
počítače. Útočník dokáže spustit tři procesy maskující se v seznamu
procesů pod jménem "find" a rozesílá přes ně hromady spamu. Je to ve
skutečnosti zřejmě perl skript, který má otevřené (kromě perlu a jeho
knihoven) i tyto soubory:
perl 1630 www-data 5w FIFO 0,8 0t0 104797989 pipe
perl 1630 www-data 6r FIFO 0,8 0t0 104797990 pipe
perl 1630 www-data 258w REG 253,0 6238444 7578362 /var/log/apache2/mod_jk.log
perl 1630 www-data 259u REG 253,0 384 7569414 /var/log/apache2/jk-runtime-status.32165 (deleted)
perl 1630 www-data 260u REG 253,0 1 7569462 /var/log/apache2/jk-runtime-status.32165.lock (deleted)
w
tak nějak odhaduji podle těch log souborů, že ten perl skript útočník
dokázal spustit přes Apache Jakarta modul, ale vůbec netuším jak. Vím,
že běží od 10:05, ale v logu apache jsem v ten čas nenašel vůbec nic
zajímavého. V logu mod_jk.log není taky nic (ale byla tam jen úroveň
info, tak jsem teď dal trace).
Myslím si, že ty dvě pajpy používá útočník ke komunikaci s tím démonem,
ale nevím, jak zjistit, kam vedou, což by mi možná napovědělo, kudy
přišel. Domníval jsem se, že to číslo před pipe je inode, tak jsem
hledal soubor na disku, ale nenašel. Nenašel jsem ani jiný proces, který
by používal stejné pajpy. Možná už teď nejsou potřeba, nevím.
Tyto "find" procesy mají otevřených mnoho soketů a komunikují s cílovými
počítači na portech 25, takže to už jsou jejich oběti. Žádné řídicí
spojení nevidím.
Zkoušel jsem strace na ty procesy, ale je tam hlavně komunikace s těmi
obětmi, takže to mi moc nepřinese. Zdrojový kód skriptu z paměti perl
procesu vydolovat neumím, a ani si nejsem jistý, jestli by to k něčemu
bylo. Hledám hlavně kudy přišel a jak spouští ten perl, abych v tom mohl
zabránit.
Jakékoliv další rady vítány. Na serveru běží sun-java-6-jre, tomcat5.5 a
samozřejmě apache2, všechno Debian Squeeze up-to-date. Googlováním se mi
nepodařilo nic relevantního najít.
RkHunter ani ChkRootkit nic nenašly. Na disku nejsou žádné podezřelé ani
jiné soubory. Jo, a je to virtuální server díky linux-vservers, kdyby to
náhodou něco znamenalo.
Díky,
Petr
Další informace o konferenci Linux