BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: Аудит взлома Apache
СообщениеДобавлено: Вт 06 ноя, 2007 5:32 pm 
Не в сети

Зарегистрирован: Вт 11 апр, 2006 1:19 pm
Сообщения: 35
Откуда: Moscow
Недавно столкнулся с проблемой висящих Perl процессов, порожденных из Apache, и работающих от пользователя www(выходит запущенных из php-шного веб-шелла). Естественно, ӕто взлом. Вот что выдал lsof | grep id:
Код:
perl5.8.8 26719      www  cwd     VDIR       4,20      30208        2 /tmp
perl5.8.8 26719      www  rtd     VDIR       4,18        512        2 /
perl5.8.8 26719      www  txt     VREG       4,22       9452  2757939 /usr/local/bin/perl
perl5.8.8 26719      www  txt     VREG       4,18     142236   188418 /libexec/ld-elf.so.1
perl5.8.8 26719      www  txt     VREG       4,22    1125775  2992801 /usr/local/lib/perl5/5.8.8/mach/CORE/libperl.so
perl5.8.8 26719      www  txt     VREG       4,18     120004   117807 /lib/libm.so.3
perl5.8.8 26719      www  txt     VREG       4,18      28644   117805 /lib/libcrypt.so.2
perl5.8.8 26719      www  txt     VREG       4,18      43100   117811 /lib/libutil.so.4
perl5.8.8 26719      www  txt     VREG       4,18     884716   117816 /lib/libc.so.5
perl5.8.8 26719      www  txt     VREG       4,22      16614  2877499 /usr/local/lib/perl5/5.8.8/mach/auto/IO/IO.so
perl5.8.8 26719      www  txt     VREG       4,22      27595  2877696 /usr/local/lib/perl5/5.8.8/mach/auto/Socket/Socket.so
perl5.8.8 26719      www    0r    VCHR        2,2        0t0       13 /dev/null
perl5.8.8 26719      www    1u    PIPE 0xca4f09ac          0          ->0xca4f0900
perl5.8.8 26719      www    2w    VREG       4,21  500650436   117954 /var (/dev/amrd0s1e)
perl5.8.8 26719      www    3u    IPv4 0xc38761bc        0t0      TCP netgenic.pac.ru:http (LISTEN)
perl5.8.8 26719      www    4u    IPv4 0xc3876000        0t0      TCP netgenic.pac.ru:3128 (LISTEN)
perl5.8.8 26719      www    5u    PIPE 0xc9947780      16384          ->0xc994782c
perl5.8.8 26719      www    6u    PIPE 0xc994782c          0          ->0xc9947780
perl5.8.8 26719      www    7w    VREG       4,21  500650436   117954 /var (/dev/amrd0s1e)
perl5.8.8 26719      www    8w    VREG       4,22    3311226   613703 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www    9w    VREG       4,22    1480612  3702974 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   10w    VREG       4,22      68962  3509709 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   11w    VREG       4,22    3011332   874783 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   12w    VREG       4,22      17731  1060838 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   13w    VREG       4,22      29266  3252473 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   14w    VREG       4,22          0  3394395 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   15w    VREG       4,22    4213577  3724409 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   16w    VREG       4,22     298256  3723842 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   17w    VREG       4,22  416859723  3346896 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   18w    VREG       4,22     230008  3086483 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   19w    VREG       4,22     326423  3085907 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   20w    VREG       4,22      23062  3066852 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   21w    VREG       4,22  104615610  3063667 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   22w    VREG       4,22      72721  2944157 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   23w    VREG       4,22     487160  2944010 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   24w    VREG       4,22      25350  3039966 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   25w    VREG       4,22    3878198  3039464 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   26w    VREG       4,22    4198997  3015278 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   27w    VREG       4,22     124269  2968702 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   28w    VREG       4,22     306987  2897085 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   29w    VREG       4,22      26794  3161087 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   30w    VREG       4,22     199457   612358 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   31w    VREG       4,22       2552  1719356 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   32w    VREG       4,22   31063510   824556 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   33w    VREG       4,22     372998   612386 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   34w    VREG       4,22      38556   661319 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   35w    VREG       4,22      10481   895072 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   36w    VREG       4,22       6449   661323 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   37w    VREG       4,22     589607   635939 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   38w    VREG       4,22        403   824639 /usr (/dev/amrd0s1f)
perl5.8.8 26719      www   39w    VREG       4,22       4774   614102 /usr (/dev/amrd0s1f)
..........................................
perl5.8.8 26719      www   77u    VREG       4,20          0      216 /tmp (/dev/amrd0s1d)
perl5.8.8 26719      www   78w    VREG       4,21          0   164878 /var/run/accept.lock.559
perl5.8.8 26719      www   79w    VREG       4,21          0   164878 /var/run/accept.lock.559
perl5.8.8 26719      www   80w    VREG       4,20          0      102 /tmp (/dev/amrd0s1d)
perl5.8.8 26719      www   81u    IPv4 0xc55b1de0        0t0      TCP netgenic.pac.ru:http->lisa.pokrok.cz:43126 (CLOSE_WAIT)
perl5.8.8 26719      www   82u    IPv4 0xca369000        0t0      TCP netgenic.pac.ru:59955->mesa.az.us.undernet.org:6665 (ESTABLISHED)

А в выходные изчезли папки с логами и апач умер. Хотелось бы вести лог Perl, но не могу найти тулзы для ӕтого. К сожалению сайт - портал, который невозможно за один день перевести на safe_mode в php.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 10 дек, 2007 1:59 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 15 фев, 2007 5:45 am
Сообщения: 154
И на /tmp тоже тяжело было повесить флаг noexeс?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 04 фев, 2008 5:43 pm 
Не в сети

Зарегистрирован: Вт 11 апр, 2006 1:19 pm
Сообщения: 35
Откуда: Moscow
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 04 фев, 2008 8:13 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 05 фев, 2008 2:54 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
iZEN писал(а):
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


noexeс - запрещает исполнять файлы


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 05 фев, 2008 8:50 am 
Не в сети
Модератор

Зарегистрирован: Чт 26 май, 2005 12:37 pm
Сообщения: 271
Откуда: Ekaterinburg
grayich писал(а):
iZEN писал(а):
DarkHost писал(а):
Crazy писал(а):
И на /tmp тоже тяжело было повесить флаг noexeс?

Честно говоря, я не нахожу в /tmp левых скриптов.
А скрипты тут причём? Флаг noexeс у каталога, если не ошибаюсь, в UNIX запрещает вход в этот каталог. :)


noexeс - запрещает исполнять файлы


Все верно : если отбираешь у каталога бит "x" - не зайдешь в него.

_________________
With shadowed face for the coming centuries


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика