rootkit de script Perl (exploit)

8

Hace unos días recibí un abuso de spam en mi servidor. Como precaución, bloqueé el puerto SMTP e inicié una investigación. Encontré un proceso Perl en ejecución. El script que estaba usando se eliminó, pero encontré su contenido en /proc/PID/fd/3 . Aquí está su md5:

server:~# md5sum spam_scipt
c97b6d65fe2e928f190ca4a8cf23747c  spam_scipt

Ese script Perl se usó para enviar spam desde mi servidor. Utiliza un algoritmo de generación de dominio para generar una URL para una zona de descarga donde se envía el estado del proceso de spam. Modifiqué el script para ver qué enlace se está generando en este momento:

server:~# perl spam_scipt 
wget version is 11
Set browser wget
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Runned postfix found, use /usr/sbin/sendmail
Probe host redacted.info
Go https://ibkxluxisp.redacted.info:1905//b/index.php?id=5cb885d577c7bbacdae44dd9f7f86b641ad60d58b1b9df07b97953a70376ec47&check=1
Generate host ibkxluxisp.redacted.info:1905
https://ibkxluxisp.redacted.info:1905//b/index.php?id=5fb58ad575c14b08785ae5255ffbf83c9f561d18e961b2eb96dc5a058a41&version=18&sent=0&user=584e6388c671f38756eac21cec

Y el segundo intento:

server:~# perl spam_scipt 
wget version is 11
Set browser wget
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Runned postfix found, use /usr/sbin/sendmail
Probe host redacted.info
Go https://wodhvqubux.redacted.info:1905//b/index.php?id=5cb186d575c44b1e5174c7c111636063b338bc3ef4d46e4533036eded038a7&check=1
Generate host wodhvqubux.redacted.info:1905
https://wodhvqubux.redacted.info:1905//b/index.php?id=5a497fe86dde12da162b6460bb8cd215966679ad7bf97338b9b6c2e741fe&version=18&sent=0&user=544c648ace7ff7834db9fadf36bdserver:~# ;

El subdominio solo cambia ahora. Entonces, después de un simple ping, obtenemos la dirección IP de la zona de caída:

server:~# ping vodhvqubux.redacted.info
PING vodhvqubux.redacted.info (94.23.208.20) 56(84) bytes of data.
64 bytes from ns207415.ovh.net (94.23.208.20): icmp_seq=1 ttl=59 time=4.02 ms
^C
--- vodhvqubux.redacted.info ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 4.026/4.026/4.026/0.000 ms

Esos delincuentes ya han aparecido en público con la misma dirección IP: enlace http://www.jaguarpc.com/forums/general-hosting-network-support/26972-could-need-some-help-compromised-system-cannot-find-door.html

No entiendo cómo hace el script de carga con acceso de root sin siquiera saber la contraseña. Aquí está el entorno para ese proceso perl:

SHELL=/bin/bash
SSH_CLIENT=xx.xx.xx.xx.xx 60480 220
USER=root
MAIL=/var/mail/root
PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin
PWD=/tmp
SHLVL=1
HOME=/root
LOGNAME=root
SSH_CONNECTION=xxx.xxx.xxx.xxx 60480 xx.xx.xx.xx 220
_=/usr/bin/nohup
OLDPWD=/root

Tal vez eso ayude. He actualizado todo el software, reinicié el servidor, pero eso volvió a suceder. Además, no hay registros para el inicio de sesión ssh en access.log .

Script Perl enlace

¿Alguien puede ayudar con el abuso en IP de OVH DC? El sitio web del delincuente funciona perfectamente.

    
pregunta Olier Saari 29.12.2011 - 14:24
fuente

2 respuestas

7

Su servidor está infectado . Será limpiado . Con fuego .

La función principal de un rootkit es instalarse en un lugar discreto e interceptar lo que sea necesario para resistir reinicios y actualizaciones. Por ejemplo, puede haber agregado su código en el propio kernel, y secuestrar las llamadas al sistema de lectura y escritura para que infecte automáticamente el archivo del kernel en caso de que se actualice.

Entonces, el camino a tu salvación es una reinstalación completa del sistema desde cero; reconstruir particiones, formatear discos duros, encender el CD / DVD de instalación del sistema operativo. Es la única forma de estar seguro .

(En realidad es posible, y se ha demostrado en condiciones de laboratorio, para que algunos rootkits se instalen en el firmware de la placa base, o en el firmware de algunos periféricos, incluidos los teclados, siempre que dicho firmware se pueda reiniciar software, es teóricamente vulnerable. Es bastante improbable que su servidor haya sido comprometido a esa profundidad, por lo que es probable que una reinstalación completa sea suficiente, sin necesidad de escalar a una pira funeraria actual . )

    
respondido por el Tom Leek 29.12.2011 - 14:41
fuente
3

Como dijo Tom, tienes un rootkit. Su sistema está comprometido, debe comenzar de nuevo desde cero con los archivos seguros conocidos. No puede confiar en ninguna utilidad del sistema, no puede confiar en sus registros, si todos sus registros se ven bien ahora; eso no significa que no registraron algo interesante cuando intentaron ingresar a su sistema (pero luego cubrieron sus huellas). Arrancaría un CD en vivo, haría una copia de seguridad de datos de solo lectura (no ejecutables / no scripts) o archivos relacionados con la seguridad (por ejemplo, / etc / passwd o ssh-keys) y reformatearía y reinstalaría su sistema operativo.

Sinceramente, dudo que haya sido un error en openssh (si fuera así, no estaría sucediendo en sus servidores, sino en millones de servidores en todo el mundo). Es muy probable que este sea un error de seguridad exclusivo de sus servidores.

Tal vez usted (o uno de sus usuarios) esté reutilizando contraseñas y alguien interceptó una contraseña de esa manera. Es posible que algún usuario tenga una contraseña débil que se pueda forzar con fuerza bruta (por ejemplo, en las listas comunes de diccionarios de contraseñas o que sea algo básico como una palabra del diccionario y un número), o que le hayas dado una cuenta a un usuario malintencionado. Tal vez alguien no tenga una contraseña segura que proteja sus claves privadas ssh y alguien tenga una copia. Así que cambie todas las frases de acceso y las claves públicas autorizadas aceptadas.

O tal vez instaló una aplicación / script malintencionado o uno con los principales agujeros de seguridad.

Instale medidas de seguridad proactivas como fail2ban (los intentos de inicio de sesión fallidos frecuentes se ralentizarán / bloquearán) / SELinux o AppArmor (control de acceso que otorga a los usuarios permisos mínimos) / tripwire u OSSEC (archivos de comprobación de integridad), etc. para reducir el riesgo de Más ataques o, al menos, una notificación rápida cuando te atacan.

    
respondido por el dr jimbob 29.12.2011 - 21:58
fuente

Lea otras preguntas en las etiquetas