BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: Аудит взлома Apache
СообщениеДобавлено: Вт 06 ноя, 2007 5:32 pm 
Не в сети

Зарегистрирован: Вт 11 апр, 2006 1:19 pm
Сообщения: 35
Откуда: Moscow
Недавно столкнулся с проблемой висящих Perl процессов, порожденных из Apache, и работающих от пользователя www(выходит запущенных из php-шного веб-шелла). Естественно, ӕто взлом. Вот что выдал lsof | grep id:
Код:
perl5.8.8 26719      www  cwd     VDIR       4,20      30208        2 /tmp
perl5.8.8 26719      www  rtd     VDIR       4,18        512        2 /
perl5.8.8 26719      www  txt     VREG       4,22       9452  2757939 /usr/local/bin/perl
perl5.8.8 26719      www  txt     VREG       4,18     142236   188418 /libexec/ld-elf.so.1
perl5.8.8 26719      www  txt     VREG       4,22    1125775  2992801 /usr/local/lib/perl5/5.8.8/mach/CORE/libperl.so
perl5.8.8 26719      www  txt     VREG       4,18     120004   117807 /lib/libm.so.3
perl5.8.8 26719      www  txt     VREG       4,18      28644   117805 /lib/libcrypt.so.2
perl5.8.8 26719      www  txt     VREG       4,18      43100   117811 /lib/libutil.so.4
perl5.8.8 26719      www  txt     VREG       4,18     884716   117816 /lib/libc.so.5
perl5.8.8 26719      www  txt     VREG       4,22      16614  2877499 /usr/local/lib/perl5/5.8.8/mach/auto/IO/IO.so
perl5.8.8 26719      www  txt     VREG       4,22      27595  2877696 /usr/local/lib/perl5/5.8.8/mach/auto/Socket/Socket.so
perl5.8.8 26719      www    0r    VCHR        2,2        0t0       13 /dev/null
perl5.8.8 26719      www    1u    PIPE 0xca4f09ac          0          ->0xca4f0900
perl5.8.8 26719      www    2w    VREG       4,21  500650436   117954 /var (/dev/amrd0s1e)
perl5.8.8 26719      www    3u    IPv4 0xc38761bc        0t0      TCP netgenic.pac.ru:http (LISTEN)
perl5.8.8 26719      www    4u    IPv4 0xc3876000        0t0      TCP netgenic.pac.ru:3128 (LISTEN)
perl5.8.8 26719      www    5u    PIPE 0xc9947780      16384          ->0xc994782c
perl5.8.8 26719      www    6u    PIPE 0xc994782c          0          ->0xc9947780
perl5.8.8 26719      www    7w    VREG       4,21  500650436   117954 /var (/dev/amrd0s1e)
perl5.8.8 26719      www    8w    VREG       4,22    3311226   613703 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www    9w    VREG       4,22    1480612  3702974 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   10w    VREG       4,22      68962  3509709 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   11w    VREG       4,22    3011332   874783 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   12w    VREG       4,22      17731  1060838 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   13w    VREG       4,22      29266  3252473 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   14w    VREG       4,22          0  3394395 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   15w    VREG       4,22    4213577  3724409 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   16w    VREG       4,22     298256  3723842 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   17w    VREG       4,22  416859723  3346896 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   18w    VREG       4,22     230008  3086483 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   19w    VREG       4,22     326423  3085907 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   20w    VREG       4,22      23062  3066852 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   21w    VREG       4,22  104615610  3063667 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   22w    VREG       4,22      72721  2944157 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   23w    VREG       4,22     487160  2944010 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   24w    VREG       4,22      25350  3039966 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   25w    VREG       4,22    3878198  3039464 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   26w    VREG       4,22    4198997  3015278 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   27w    VREG       4,22     124269  2968702 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   28w    VREG       4,22     306987  2897085 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   29w    VREG       4,22      26794  3161087 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   30w    VREG       4,22     199457   612358 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   31w    VREG       4,22       2552  1719356 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   32w    VREG       4,22   31063510   824556 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   33w    VREG       4,22     372998   612386 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   34w    VREG       4,22      38556   661319 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   35w    VREG       4,22      10481   895072 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   36w    VREG       4,22       6449   661323 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   37w    VREG       4,22     589607   635939 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   38w    VREG       4,22        403   824639 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   39w    VREG       4,22       4774   614102 /usr (/dev/amrd0s1f)
..........................................
perl5.8.8 26719      www   77u    VREG       4,20          0      216 /tmp (/dev/amrd0s1d)
perl5.8.8 26719      www   78w    VREG       4,21          0   164878 /var/run/accept.lock.559
perl5.8.8 26719      www   79w    VREG       4,21          0   164878 /var/run/accept.lock.559
perl5.8.8 26719      www   80w    VREG       4,20          0      102 /tmp (/dev/amrd0s1d)
perl5.8.8 26719      www   81u    IPv4 0xc55b1de0        0t0      TCP netgenic.pac.ru:http->lisa.pokrok.cz:43126 (CLOSE_WAIT)
perl5.8.8 26719      www   82u    IPv4 0xca369000        0t0      TCP netgenic.pac.ru:59955->mesa.az.us.undernet.org:6665 (ESTABLISHED)

А в выходные изчезли папки с логами и апач умер. Хотелось бы вести лог Perl, но не могу найти тулзы для ӕтого. К сожалению сайт - портал, который невозможно за один день перевести на safe_mode в php.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 10 дек, 2007 1:59 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 15 фев, 2007 5:45 am
Сообщения: 154
И на /tmp тоже тяжело было повесить флаг noexeс?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 04 фев, 2008 5:43 pm 
Не в сети

Зарегистрирован: Вт 11 апр, 2006 1:19 pm
Сообщения: 35
Откуда: Moscow
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 04 фев, 2008 8:13 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 05 фев, 2008 2:54 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3307
Откуда: Харьков
iZEN писал(а):
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


noexeс - запрещает исполнять файлы


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 05 фев, 2008 8:50 am 
Не в сети
Модератор

Зарегистрирован: Чт 26 май, 2005 12:37 pm
Сообщения: 271
Откуда: Ekaterinburg
grayich писал(а):
iZEN писал(а):
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


noexeс - запрещает исполнять файлы


Все верно : если отбираешь у каталога бит "x" - не зайдешь в него.

_________________
With shadowed face for the coming centuries


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика