[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Czy ja mam worma?

Witam!

Budzę się dzisiaj rano, spradzam topem obciążenie proca a tu wyskakuje
że mam 100%. To dziwne bo tylko na noc zapuściłem ściąganie i nic
więcej. Wyszło na to że działa sobie program lscan-worm. Sprawdziłem czy
nie należy on do jakiegoś zainstalowanego przeze mnie pakietu - nie.
Sprawdziłem datę modyfikacji: kwi  7  2002. Okazało sie że siedzi w
katalogu /usr/lib! Co dziwne jak dałem ps ax | grep lscan-worm żeby
później zobaczyć kto jest jego rodzicem to ps go nie znalazł. Widać go
było tylko w top'ie. Po zabiciu (SIGTERM) lscan-worm uruchamiał się
ponownie. Przekopiowałem go oraz wszystkie pliki wykonywalne z katalogu
/usr/lib do katalogu kwarantanna. Te pliki to:


> *lscan-worm                                            │  17782│kwi  7  
> *pt_chown                                              │   5560│wrz 18  
> *rand                                                  │  14569│kwi  7  
> *sambal-worm                                           │  34361│kwi  7  
> *sftp-server                                           │  23848│cze 28  
> *ssh-keysign                                           │ 151496│cze 28  
> *trance                                                │  18043│kwi  7
> *verme

googlowanie o verme i trance nic nie daje - to chyba jakieś słowa po francusku czy coś.

Teraz co mam w logach. Więc tak, w 

-messages - nic, przez całą noc było tylko -- MARK --
-syslog i daemon log, podobne komunikaty:


> Apr 26 08:39:05 linux wu-ftpd[21593]: connect from 203-195-198-220.now-india.net.in
> Apr 26 08:39:05 linux wu-ftpd[21593]: error: cannot execute /usr/sbin/wu-ftpd: No such file or directory

-mam zainstalowanego snorta. Oto co znalazł:



> [**] [1:485:2] ICMP Destination Unreachable (Communication Administratively Prohibited) [**]
> [Classification: Misc activity] [Priority: 3]
> 04/24-18:38:28.563295 194.204.172.14 -> 213.25.6.246
> ICMP TTL:249 TOS:0x0 ID:19189 IpLen:20 DgmLen:56
> Type:3  Code:13  DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED,
> PACKET FILTERED
> ** ORIGINAL DATAGRAM DUMP:
> 213.25.6.246:4662 -> 195.205.40.226:1110
> TCP TTL:57 TOS:0x0 ID:6114 IpLen:20 DgmLen:40 DF
> Seq: 0x9E8E7BD7  Ack: 0xB6D6AC6
> ** END OF DUMP


> [**] [1:528:3] BAD TRAFFIC loopback traffic [**]
> [Classification: Potentially Bad Traffic] [Priority: 2]
> 04/26-05:40:46.834115 127.250.123.8:50219 -> 200.226.136.143:7559
> TCP TTL:255 TOS:0x8 ID:59340 IpLen:20 DgmLen:40
> ******S* Seq: 0xB2C41D15  Ack: 0x0  Win: 0xFFFF  TcpLen: 20
> [Xref => http://rr.sans.org/firewall/egress.php]

- i jeszcze portsentry:

Apr 26 06:55:58 linux portsentry[755]: attackalert: TCP SYN/Normal scan from host: 61.13.30.171/61.13.30.171 to TCP port: 10
Apr 26 06:55:58 linux portsentry[755]: attackalert: Host 61.13.30.171 has been blocked via wrappers with string: "ALL: 61.13.30.171 : DENY"
Apr 26 06:55:58 linux portsentry[755]: attackalert: Host 61.13.30.171 has been blocked via dropped route using command: "/sbin/iptables -I INPUT -s 61.13.30.
171 -j DROP"
Apr 26 07:32:33 linux portsentry[755]: attackalert: TCP SYN/Normal scan from host: 218.123.94.15/218.123.94.15 to TCP port: 445
Apr 26 07:32:33 linux portsentry[755]: attackalert: Host 218.123.94.15 has been blocked via wrappers with string: "ALL: 218.123.94.15 : DENY"
Apr 26 07:32:33 linux portsentry[755]: attackalert: Host 218.123.94.15 has been blocked via dropped route using command: "/sbin/iptables -I INPUT -s 218.123.
94.15 -j DROP"

-apache


> [Sat Apr 26 00:10:06 2003] [error] [client 213.112.124.147] File does not exist: /var/www/default.ida
> [Sat Apr 26 00:15:22 2003] [error] [client 213.225.30.207] File does not exist: /var/www/default.ida
> [Sat Apr 26 02:27:07 2003] [error] [client 193.217.26.4] File does not exist: /var/www/scripts/..%5c%5c../winnt/system32/cmd.exe
> [Sat Apr 26 03:54:01 2003] [error] [client 218.36.31.209] File does not exist: /var/www/scripts/..%5c%5c../winnt/system32/cmd.exe
> [Sat Apr 26 04:28:39 2003] [error] [client 219.155.192.15] File does not exist: /var/www/default.ida
> [Sat Apr 26 04:37:58 2003] [error] [client 200.24.220.229] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
> [Sat Apr 26 05:01:14 2003] [error] [client 219.166.15.242] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
> [Sat Apr 26 05:36:16 2003] [error] [client 200.30.167.2] File does not exist: /var/www/sumthin
> [Sat Apr 26 06:30:20 2003] [notice] SIGUSR1 received.  Doing graceful restart
> [Sat Apr 26 06:30:27 2003] [error] (2)No such file or directory: mod_mime_magic: can't read magic file /etc/apache/share/magic
> [Sat Apr 26 06:30:27 2003] [notice] Apache configured -- resuming normal operations
> [Sat Apr 26 06:30:27 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache/suexec)
> [Sat Apr 26 06:30:27 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)
> [Sat Apr 26 07:14:25 2003] [error] [client 213.93.221.110] File does not exist: /var/www/default.ida


(czemu on się zrestartował???)

Nie wiem co o tym sądzić. Stałe łącze (SDI) mam od niedawna i jeszcze niezbyt się orientuję w tym wszystkim. 
Aha, mam oczywiście firewalla, to jest skrypt: Arno's script + parę moich regułek na ICQ, GG i Jabbera.

Czy ja mam worma? Co ja teraz mam zrobić? Jak moge unikać takich sytuacji?

pozdrawiam

cayco

Attachment: signature.asc
Description: PGP signature

Reply to: