Am 2004-08-23 21:32:38, schrieb Frank Lorenzen: > On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote: > > Du bist gehackt... > > Das ist ja sehr schön daß mir das nach 7 Jahren Linux auch mal passiert. > Bisher hatte ich dieses Vergnügen noch nicht. > Darauf trink ich ein 'Tannenzäpfle'. Was steht denn in Deiner apache-LOG ? Der Typ hat es ja fertig gebracht, Deinen Server zu veranlassen, die "cli.gz" herunterzuladen... Habe gerade ein 'mozilla http://xpire.info/' gemacht und 403 bekommen. Ein 'telnet xpire.info 80' mit einem "GET /" ist schon interessanter... Habe mir die Tracefile im mozilla angesehen und bin auf einem Chinesischem EDU-Server gelandet... > Trotzdem würde mich interessieren wie das zustande kam, denn eine lang > bekannte Sache kann das Ding ja wohl nicht sein sonst hätte das > Debian-Security-Team wohl in irgendeiner Weise reagiert. Setz mal nen Bugreport auf apache... > > Schau Dir mal die cli.gz in einem Editor an... > > (Es ist keine gnuzipdatei) > > > > Mach das scheiß teil auf alle Fälle nicht executable... > > Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings > schnell drübergeschaut aber noch keine ernsthaften Versuche unternommen > zu sehen was es tut. cli.gz <host> <port> ist der Aufruf... Das sieht nach einem modufiziertem telnet-Client aus Auf 'nem Testrechner: ____ ( -c './cli.gz xpire.info 80' ) _________________________________ / | Looking up xpire.info...OK | Connect Back | \______________________________________________________________________ > Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden. > Ich bin fast dabei zu glauben daß der Hack aus irgendeinem Grunde schief > ging. Der will ja nen X-Server haben... > Ich habe als temporären milchmädchen-Würgaround mal ausgehende > Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals Das ist OK > heruntergeladen wurde, mit jeweils unterschiedlicher Dateigröße, gehe > ich davon aus, daß an dem 'Tool' noch herumgeschraubt wird. Somit währe > zumindest für Stümper die aktualisierung unterbunden solange nicht der > Download-Server gewechselt wird. > > Lieber währe mir allerdings ein apache der sich nicht dazu überreden > läßt Kommandos auszuführen. Schick nen Bugreport an die apache-Leute > gruss > f Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature