BSDPORTAL.RU
http://bsdportal.ru/

Аудит взлома Apache
http://bsdportal.ru/viewtopic.php?f=23&t=15687
Страница 1 из 1

Автор:  DarkHost [ Вт 06 ноя, 2007 5:32 pm ]
Заголовок сообщения:  Аудит взлома Apache

Недавно столкнулся с проблемой висящих Perl процессов, порожденных из Apache, и работающих от пользователя www(выходит запущенных из php-шного веб-шелла). Естественно, ӕто взлом. Вот что выдал lsof | grep id:
Код:
perl5.8.8 26719      www  cwd     VDIR       4,20      30208        2 /tmp
perl5.8.8 26719      www  rtd     VDIR       4,18        512        2 /
perl5.8.8 26719      www  txt     VREG       4,22       9452  2757939 /usr/local/bin/perl
perl5.8.8 26719      www  txt     VREG       4,18     142236   188418 /libexec/ld-elf.so.1
perl5.8.8 26719      www  txt     VREG       4,22    1125775  2992801 /usr/local/lib/perl5/5.8.8/mach/CORE/libperl.so
perl5.8.8 26719      www  txt     VREG       4,18     120004   117807 /lib/libm.so.3
perl5.8.8 26719      www  txt     VREG       4,18      28644   117805 /lib/libcrypt.so.2
perl5.8.8 26719      www  txt     VREG       4,18      43100   117811 /lib/libutil.so.4
perl5.8.8 26719      www  txt     VREG       4,18     884716   117816 /lib/libc.so.5
perl5.8.8 26719      www  txt     VREG       4,22      16614  2877499 /usr/local/lib/perl5/5.8.8/mach/auto/IO/IO.so
perl5.8.8 26719      www  txt     VREG       4,22      27595  2877696 /usr/local/lib/perl5/5.8.8/mach/auto/Socket/Socket.so
perl5.8.8 26719      www    0r    VCHR        2,2        0t0       13 /dev/null
perl5.8.8 26719      www    1u    PIPE 0xca4f09ac          0          ->0xca4f0900
perl5.8.8 26719      www    2w    VREG       4,21  500650436   117954 /var (/dev/amrd0s1e)
perl5.8.8 26719      www    3u    IPv4 0xc38761bc        0t0      TCP netgenic.pac.ru:http (LISTEN)
perl5.8.8 26719      www    4u    IPv4 0xc3876000        0t0      TCP netgenic.pac.ru:3128 (LISTEN)
perl5.8.8 26719      www    5u    PIPE 0xc9947780      16384          ->0xc994782c
perl5.8.8 26719      www    6u    PIPE 0xc994782c          0          ->0xc9947780
perl5.8.8 26719      www    7w    VREG       4,21  500650436   117954 /var (/dev/amrd0s1e)
perl5.8.8 26719      www    8w    VREG       4,22    3311226   613703 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www    9w    VREG       4,22    1480612  3702974 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   10w    VREG       4,22      68962  3509709 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   11w    VREG       4,22    3011332   874783 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   12w    VREG       4,22      17731  1060838 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   13w    VREG       4,22      29266  3252473 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   14w    VREG       4,22          0  3394395 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   15w    VREG       4,22    4213577  3724409 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   16w    VREG       4,22     298256  3723842 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   17w    VREG       4,22  416859723  3346896 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   18w    VREG       4,22     230008  3086483 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   19w    VREG       4,22     326423  3085907 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   20w    VREG       4,22      23062  3066852 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   21w    VREG       4,22  104615610  3063667 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   22w    VREG       4,22      72721  2944157 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   23w    VREG       4,22     487160  2944010 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   24w    VREG       4,22      25350  3039966 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   25w    VREG       4,22    3878198  3039464 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   26w    VREG       4,22    4198997  3015278 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   27w    VREG       4,22     124269  2968702 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   28w    VREG       4,22     306987  2897085 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   29w    VREG       4,22      26794  3161087 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   30w    VREG       4,22     199457   612358 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   31w    VREG       4,22       2552  1719356 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   32w    VREG       4,22   31063510   824556 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   33w    VREG       4,22     372998   612386 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   34w    VREG       4,22      38556   661319 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   35w    VREG       4,22      10481   895072 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   36w    VREG       4,22       6449   661323 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   37w    VREG       4,22     589607   635939 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   38w    VREG       4,22        403   824639 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   39w    VREG       4,22       4774   614102 /usr (/dev/amrd0s1f)
..........................................
perl5.8.8 26719      www   77u    VREG       4,20          0      216 /tmp (/dev/amrd0s1d)
perl5.8.8 26719      www   78w    VREG       4,21          0   164878 /var/run/accept.lock.559
perl5.8.8 26719      www   79w    VREG       4,21          0   164878 /var/run/accept.lock.559
perl5.8.8 26719      www   80w    VREG       4,20          0      102 /tmp (/dev/amrd0s1d)
perl5.8.8 26719      www   81u    IPv4 0xc55b1de0        0t0      TCP netgenic.pac.ru:http->lisa.pokrok.cz:43126 (CLOSE_WAIT)
perl5.8.8 26719      www   82u    IPv4 0xca369000        0t0      TCP netgenic.pac.ru:59955->mesa.az.us.undernet.org:6665 (ESTABLISHED)

А в выходные изчезли папки с логами и апач умер. Хотелось бы вести лог Perl, но не могу найти тулзы для ӕтого. К сожалению сайт - портал, который невозможно за один день перевести на safe_mode в php.

Автор:  Crazy [ Пн 10 дек, 2007 1:59 am ]
Заголовок сообщения: 

И на /tmp тоже тяжело было повесить флаг noexeс?

Автор:  DarkHost [ Пн 04 фев, 2008 5:43 pm ]
Заголовок сообщения: 

Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.

Автор:  iZEN [ Пн 04 фев, 2008 8:13 pm ]
Заголовок сообщения: 

DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)

Автор:  grayich [ Вт 05 фев, 2008 2:54 am ]
Заголовок сообщения: 

iZEN писал(а):
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


noexeс - запрещает исполнять файлы

Автор:  redbeard [ Вт 05 фев, 2008 8:50 am ]
Заголовок сообщения: 

grayich писал(а):
iZEN писал(а):
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


noexeс - запрещает исполнять файлы


Все верно : если отбираешь у каталога бит "x" - не зайдешь в него.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/