Am 2004-08-23 21:32:38, schrieb Frank Lorenzen:
> On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote:
> > Du bist gehackt...
>
> Das ist ja sehr schön daß mir das nach 7 Jahren Linux auch mal passiert.
> Bisher hatte ich dieses Vergnügen noch nicht.
> Darauf trink ich ein 'Tannenzäpfle'.
Was steht denn in Deiner apache-LOG ?
Der Typ hat es ja fertig gebracht, Deinen Server zu veranlassen,
die "cli.gz" herunterzuladen...
Habe gerade ein 'mozilla http://xpire.info/' gemacht und 403 bekommen.
Ein 'telnet xpire.info 80' mit einem "GET /" ist schon interessanter...
Habe mir die Tracefile im mozilla angesehen und bin auf einem
Chinesischem EDU-Server gelandet...
> Trotzdem würde mich interessieren wie das zustande kam, denn eine lang
> bekannte Sache kann das Ding ja wohl nicht sein sonst hätte das
> Debian-Security-Team wohl in irgendeiner Weise reagiert.
Setz mal nen Bugreport auf apache...
> > Schau Dir mal die cli.gz in einem Editor an...
> > (Es ist keine gnuzipdatei)
> >
> > Mach das scheiß teil auf alle Fälle nicht executable...
>
> Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings
> schnell drübergeschaut aber noch keine ernsthaften Versuche unternommen
> zu sehen was es tut.
cli.gz <host> <port>
ist der Aufruf...
Das sieht nach einem modufiziertem telnet-Client aus
Auf 'nem Testrechner:
____ ( -c './cli.gz xpire.info 80' ) _________________________________
/
| Looking up xpire.info...OK
| Connect Back
|
\______________________________________________________________________
> Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden.
> Ich bin fast dabei zu glauben daß der Hack aus irgendeinem Grunde schief
> ging.
Der will ja nen X-Server haben...
> Ich habe als temporären milchmädchen-Würgaround mal ausgehende
> Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals
Das ist OK
> heruntergeladen wurde, mit jeweils unterschiedlicher Dateigröße, gehe
> ich davon aus, daß an dem 'Tool' noch herumgeschraubt wird. Somit währe
> zumindest für Stümper die aktualisierung unterbunden solange nicht der
> Download-Server gewechselt wird.
>
> Lieber währe mir allerdings ein apache der sich nicht dazu überreden
> läßt Kommandos auszuführen.
Schick nen Bugreport an die apache-Leute
> gruss
> f
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature