a-zazell Posted November 13, 2011 Posted November 13, 2011 Всем доброго времени суток! У кого есть опыт борьбы с barbut в linux? Судя по инфе из сети, проникает через web сервер. В данном случае lighthttpd, но в логах ничего не видно. Симптомы: 1. CPUs в полке из-за процессов -bash 2. Трафик до 800Мбит/с Закрыл веб сервер, сделал chmod a-x barbut* (кстати нашлось несколько в /tmp и в /root). Но вот проблема повторилась ... Может кто-то сталкивался? host:/# find -name barbut* ./tmp/barbut4 ./tmp/barbut1 ./tmp/barbut2 ./tmp/barbut.osx.ppc ./tmp/barbut ./tmp/barbut.1 ./tmp/barbut1.i386 ./tmp/barbut.2 ./root/barbut4 Читабельное из /root/barbut4 http://NOTICE %s :Receiving file. wb NOTICE %s :Saved as %s NOTICE %s :Kaiten wa goraku NOTICE %s :NICK <nick> NICK %s NOTICE %s :DISABLE <pass> DisabledEnabled and awaiting ordersNOTICE %s :Already disabled. NOTICE %s :ENABLE <pass> NOTICE %s :Wrong password NOTICE %s :Already enabled. NOTICE %s :Password correct. NOTICE %s :Packeting %s. NOTICE %s :Panning %s. NOTICE %s :Unknowning %s. NOTICE %s :MOVE <server> NOTICE %s :Killing pid %d. NOTICE %s :1 byte attack %s. NOTICE %s :1 FULLHOUSE %s. IRC ZK NOTICE %s :%s MODE %s +iwx JOIN %s :%s WHO %s PONG %s -bashi386#sunos%s%d.%sERRORNOTICE %s :Unable to connect to http. NOTICE %s :GET <host> <save as> GET /%s HTTP/1.0 Connection: Keep-Alive User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686) Host: %s:80 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */* Accept-Encoding: gzip Accept-Language: en Accept-Charset: iso-8859-1,*,utf-8 NOTICE %s :Unable to create socket. NOTICE %s :Unable to resolve address. NOTICE %s :Spoofs: %d.%d.%d.%d - %d.%d.%d.%d NOTICE %s :Spoofs: %d.%d.%d.%d NOTICE %s :Nick cannot be larger than 9 characters. NOTICE %s :Current status is: %s. NOTICE %s :Password too long! > 254 NOTICE %s :Disable sucessful. NOTICE %s :Removed all spoofs NOTICE %s :What kind of subnet address is that? Do something like: 169.40 NOTICE %s :Unable to resolve %s NOTICE %s :UDP <target> <port> <secs> NOTICE %s :PAN <target> <port> <secs> NOTICE %s :TSUNAMI <target> <secs> NOTICE %s :Tsunami heading for %s. NOTICE %s :UNKNOWN <target> <secs> NOTICE %s :TSUNAMI <target> <secs> = Special packeter that wont be blocked by most firewalls NOTICE %s :PAN <target> <port> <secs> = An advanced syn flooder that will kill most network drivers NOTICE %s :UDP <target> <port> <secs> = A udp flooder NOTICE %s :UNKNOWN <target> <secs> = Another non-spoof udp flooder NOTICE %s :NICK <nick> = Changes the nick of the client NOTICE %s :SERVER <server> = Changes servers NOTICE %s :GETSPOOFS = Gets the current spoofing NOTICE %s :SPOOFS <subnet> = Changes spoofing to a subnet NOTICE %s :DISABLE = Disables all packeting from this client NOTICE %s :ENABLE = Enables all packeting from this client NOTICE %s :KILL = Kills the client NOTICE %s :GET <http address> <save as> = Downloads a file off the web and saves it onto the hd NOTICE %s :VERSION = Requests version of client NOTICE %s :KILLALL = Kills all current packeting NOTICE %s :HELP = Displays this NOTICE %s :IRC <command> = Sends this command to the server NOTICE %s :SH <command> = Executes a command NOTICE %s :BYTE <target> [<target 2>, <target 3>, ...] <port> <secs> NOTICE %s :FULLHOUSE <target> [<target 2>, <target 3>, ...] <port> <secs> export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;%sNICK %s USER %s localhost localhost :%s Вставить ник Quote
NiTr0 Posted November 13, 2011 Posted November 13, 2011 Смотреть что из дырявых скриптов стоит. В частности, phpMyAdmin снести/переименовать во что-то левое; http сервер в чруте запускать... Вставить ник Quote
a-zazell Posted November 13, 2011 Author Posted November 13, 2011 Думаю стоит для начала сделать noexec на директории. Попробую по статье Вставить ник Quote
Ivan_83 Posted November 13, 2011 Posted November 13, 2011 У меня nginx как обычно, а php fcgi сидит в chroot. Там почти ничего нет и почти никуда не пишется. Вставить ник Quote
a-zazell Posted November 13, 2011 Author Posted November 13, 2011 У меня nginx как обычно, а php fcgi сидит в chroot. Там почти ничего нет и почти никуда не пишется. Посмотрел, настроено все нормально, lighthttpd в /var/www крутится, запущен от имени www-data с shell /bin/false .. Дыра видимо где-то в другом месте.. Вставить ник Quote
NiTr0 Posted November 13, 2011 Posted November 13, 2011 (edited) запущен от имени www-data с shell /bin/false Не значит ровным счетом ничего. Если есть в скриптах дыра, которая позволяет загрузить некий файл, установить ему +x и выполнить его - далее вполне могут поюзать локальные дыры ядра для повышения привилегий если таковые имеются. Потому - начинать с просмотра логов, апдейта системы и рубки всего лишнего + попутно раздумывания на тему наличия в системе руткита и способов его выявления... Edited November 13, 2011 by NiTr0 Вставить ник Quote
eill Posted November 14, 2011 Posted November 14, 2011 (edited) я бы предложил переустановку дистра с переносом данных ручками, опять-таки чрут, сегментацию разделов, noexec, отключение модулей апача (в идеале - отключение его как такового и переход на php-fpm) и как вариант стоит посмотреть на selinux, если вышеуказанные меры не помогли. Edited November 14, 2011 by eill Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.