pomoc s hackovanym serverem (hack probiha prave ted)

[Pavel Kankovsky]

On Wed, 11 Jul 2012, Petr Stehlik wrote:

> Vím, že běží od 10:05, ale v logu apache jsem v ten čas nenašel vůbec 
> nic zajímavého.

To může být tím, že z pohledu Apache se ten požadavek stále vyřizuje.
Do logu se zapíše, až budou všechny spamy rozeslány.

> Myslím si, že ty dvě pajpy používá útočník ke komunikaci s tím démonem,
> ale nevím, jak zjistit, kam vedou, což by mi možná napovědělo, kudy
> přišel. Domníval jsem se, že to číslo před pipe je inode, tak jsem
> hledal soubor na disku, ale nenašel. Nenašel jsem ani jiný proces, který
> by používal stejné pajpy. Možná už teď nejsou potřeba, nevím.

To jsou asi normální roury, takže na disku nic nenajdete. Nicméně u 
nějakého jiného procesu by měla být roura se stejným inodem coby druhým 
koncem. Ale dost možná to vůbec není důležité a jsou to jen deskriptory 
zděděné od nějakého předka.

> Zkoušel jsem strace na ty procesy, ale je tam hlavně komunikace s těmi
> obětmi, takže to mi moc nepřinese. Zdrojový kód skriptu z paměti perl
> procesu vydolovat neumím, a ani si nejsem jistý, jestli by to k něčemu
> bylo. Hledám hlavně kudy přišel a jak spouští ten perl, abych v tom mohl
> zabránit.

Udělejte z těch pseudo-findů i ze všech procesů Apache a spol. obraz 
paměti příkazem gcore. Tak (pravděpodobně) zajistíte jak zdroják toho 
skriptu, tak obsah požadavku, kterým se podařilo ty skripty spustit.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /