Freesco, NND, CDN, EOS
http://forum.freesco.pl/

exim - włam
http://forum.freesco.pl/viewtopic.php?f=24&t=18547
Strona 1 z 1

Autor:  Sadek [ czwartek, 19 maja 2011, 00:20 ]
Tytuł:  exim - włam

odpaliła mi się kilka procesów z użytkownika mail
: [/] [] ()
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 2675 mail      14   0  3416 3412 1508 R  4.3  0.7  66:49.80 perl
13854 mail      15   0  3428 3424 2792 S  3.0  0.7 106:38.80 perl
16445 mail      15   0  3416 3412 1508 S  3.0  0.7  37:45.10 perl
13884 mail      14   0  3416 3412 1508 R  2.6  0.7 102:54.23 perl
 2700 mail      14   0  3428 3424 2856 R  2.3  0.7  64:48.35 perl
16478 mail      13   0  3388 3384 1492 R  2.3  0.7  37:40.90 perl


pożera mi to procka, z logów exima definitywnie widać... że coś się dzieje! :P

exim wymaga dostępu do perla?
jak nie to gdzie to można zmienić?

Autor:  Maciek [ czwartek, 19 maja 2011, 09:47 ]
Tytuł: 

Exim nie wymaga dostępu do perla, i zapewne nie ma dostępu do perla, a proces "perl" wcale nie musi być perlem.
Sprawdź, katalogi /tmp i /var/tmp, a najlepiej podaj na priv namiary, jeśli to jest włamanie, to warto wiedzieć jaką drogą nastąpiło.

Autor:  Maciek [ czwartek, 19 maja 2011, 12:16 ]
Tytuł: 

Szkoda, ze wszystko skasowałeś, bo teraz już trudno będzie cokolwiek stwierdzić.
Jeśli coś się uruchamia z crontaba, to wystarczy przejrzeć pliki /var/spool/cron/root i te w /etc/cron.X.
Nie jestem pewny, czy włamanie nastąpiło przez exima. To, że włamywacz użył usera mail i/lub exima nie jest dostatecznym dowodem.

Autor:  Sadek [ czwartek, 19 maja 2011, 15:46 ]
Tytuł: 

exim -bp | exiqgrep -i | xargs exim -Mrm
tego użyłem żeby mi wywaliło kolejkę oczekujących spamów, których sie natworzyło tysiące

wyczyściłem /tmp/ i odpaliłem exima, wrócił do poprzedniego stanu i działa poprawnie, zapewne w przeciągu kilku dni nastąpi kolejny atak, jak się pojawią jakieś dziwne rzeczy dokleję do tego wątku, na tą chwilę jest ok

Autor:  Maciek [ czwartek, 19 maja 2011, 15:50 ]
Tytuł: 

To, że w spoolu oczekiwała kolejka spamu, nie jest jeszcze dowodem na włamanie przez exima, a może być dowodem na wykorzystanie exima w wyniku włamu. Tak dzieje się bardzo często, szczególnie wtedy, jak ktoś ma apache, php i wówczas skrypty włamujące się korzystają z funkcji mail. Szczególnie łatwo jest "zaliczyć włamanie" używając Joomli, takie przypadki znam z ostatnich miesięcy.

Autor:  CyberDuck [ czwartek, 19 maja 2011, 19:21 ]
Tytuł: 

U mnie pare razy byly ataki ale po zmianie IP sie uspokoilo.
Nalapalem takie skrypty :
/exploit , /.ICE_unix , /.X11-unix , /gf213a3d2 , /ln , /shm ,
nawet ktos probowal udac sesje :
/sess_v2tojua33sfbr9ml42ihr7hqe2
i dalej :
/shm , 2010.tgz , dev.tgz , max.sh , new.txt , send.tgz , terminal.py ...

Autor:  _rmtl [ sobota, 21 maja 2011, 13:01 ]
Tytuł: 

CyberDuck pisze:
U mnie pare razy byly ataki ale po zmianie IP sie uspokoilo.
Nalapalem takie skrypty :
/exploit , /.ICE_unix , /.X11-unix , /gf213a3d2 , /ln , /shm ,
nawet ktos probowal udac sesje :
/sess_v2tojua33sfbr9ml42ihr7hqe2
i dalej :
/shm , 2010.tgz , dev.tgz , max.sh , new.txt , send.tgz , terminal.py ...

heh, czyli tu miałem rację, że konfiguracje exima w nnd też są podatne na te ataki pozwalając na pewno umieścić i uruchomić dowolne pliki na tak atakowanym serwerze. prawdopodobnie atak zaczyna się od wysłania specjalnie spreparowanego maila w treści którego znajduje się sekwencja poleceń uruchamianych na serwerze ofiary. polecenia są wykonywane z prawami użytkowanika, na którym pracuje exim. najprawdopodobniej pliki są pobierane wget'em do /tmp, skąd następnie są uruchamiane. Tak jak napisał Maciek, o ile polecenia są wykonywane z prawami użytkownika, na którym pracuje exim - atakujący nie powinien wyrządzić większych szkód w systemie. Jednym z etapów ataku jest zmiana właściciela i praw dostępu umieszczonych na serwerze plików. W tym celu atakujący umieszcza w /tmp plik e.conf z treścią
: [/] [] ()
spool_directory = ${run{/bin/chown
root:root /tmp/pobranyplik}}${run{/bin/chmod 4755 /tmp/pobranyplik}}
i uruchamia kolejny proces exima z alternatywnym plikiem konfiguracyjnym poleceniem
: [/] [] ()
exim -Ce.conf -q
co w efekcie zmienia właściciela pliku na root'a. reszta w tym momencie (jak pisze Sergey Kononenko) jest trywialnie prosta - cokolwiek to znaczy nie wróży nic dobrego. zaznaczam, że opisany wyżej przebieg ataku jest moją interpretacją tego opisu błędu i wcale tak nie musi się to odbywać, ale z treści Waszych powyższych postów wynika, że poliki na Waszych serwerach zostały umieszczone i uruchomione.
Dużo zmian eliminujących takie ataki wprowadzono do Exim'a w wersji 4.74. Z ważniejszych zmian, które "wyłapałem" posiada on na sztywno ustawioną opcję ALT_CONFIG_ROOT_ONLY (nie można już jej modyfikować, co we wcześniejszych wersjach było możliwe) pozwalającą uruchomić alternatywną konfigurację exima tylko przez root'a, oraz opcję TRUSTED_CONFIG_FILE w której jako parametr wpisuje się "na sztywno" dokładną ścieżkę z nazwą pliku alternatywnej konfiguracji (np. /etc/alt.exim.config) co uniemożliwia uruchomienie exima z konfiguracją umieszczoną jak w powyszczym przykładzie w /tmp.
Już samo użycie ALT_CONFIG_ROOT_ONLY oraz TRUSTED_CONFIG_FILE zabezpiecza przed negatywnymi skutkami ataków, więc jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.

Autor:  tasiorek [ sobota, 21 maja 2011, 14:21 ]
Tytuł: 

_rmtl pisze:
Już samo użycie ALT_CONFIG_ROOT_ONLY oraz TRUSTED_CONFIG_FILE zabezpiecza przed negatywnymi skutkami ataków, więc jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.


Te polecenia zaezpieczaja jedynie przed uzyskaniem roota przez wlamywacza. Na uzytkowniku exima moze sobie dalej latac po systemie.

Ogolnie posiadanie jakiegokolwiek ogolniedostepnego hostingu na NND nie jest najlepszym pomyslem.

Autor:  Maciek [ sobota, 21 maja 2011, 18:19 ]
Tytuł: 

_rmtl pisze:
jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.

Zacznijmy od tego, że włamanie u CyberDucka nie było związane z eximem. Natychmiast po zauważeniu go dał mi dostęp i i mogłem przejrzeć pliki. Konfigurację exima miał też nieco inną niż typowa, bo ustawiałem mu to sam wcześniej. Włamanie nastąpiło przez php, a dokładniej to zapewne przez exploit na phpMyAdmina, choć tego już na 100% nie jestem w stanie dowieść.
Włamanie, które opisał Sadek, też nie wiadomo jakie było, bo wszystko pokasował.
Ogólnie - zgłoszono mi w ostatnim roku z kjawałkiem. kilka włamań na NND. Dwa - w tym niestety na mój stary serwer (niepilnowany) - były przez Roundcube. Trzy inne z całą pewnością na phpMyAdmin. W przypadku jednego to było włamanie przez Gallery 1.5 na php, a dwa inne nie do końca jestem pewien. Z tych wszystkich włamań tylko trzy były na NND, dwa na CDN, a pozostałem na różne inne systemy.

Natomiast chciałbym tasiorka dopytać, co miał na myśli z tym hostingiem? W aspekcie wdyskusji o włamaniach na exima to nie rozumiem. Hosting raczej kojarzy się z www.

Autor:  tasiorek [ poniedziałek, 23 maja 2011, 12:03 ]
Tytuł: 

Macku, zawezasz pojecie hostingu do webhostingu. Mialem na mysli wszystkie uslugi "serwerowe" i otwarte na caly internet, np. www, baza danych, ftp, poczta itp.

Autor:  Maciek [ poniedziałek, 23 maja 2011, 13:04 ]
Tytuł: 

To jest kwestią administratora, a nie systemu, czy serwer będzie działać właściwie i bezpiecznie. NND też bym nie polecał, głównie na brak dalszego rozwoju systemu, ale nie na jakieś "rzekome" wady tego systemu.

Autor:  _rmtl [ poniedziałek, 23 maja 2011, 15:32 ]
Tytuł: 

tasiorek pisze:
Te polecenia zaezpieczaja jedynie przed uzyskaniem roota przez wlamywacza. Na uzytkowniku exima moze sobie dalej latac po systemie.

Zgadza się, jednak exim w wersjach od 4.70 ma być już zabezpieczony także przeciwko umieszczaniu plików na serwerze tą metodą, więc problem dotyczy wersji wcześniejszych i to one najprawdopodobniej są ciągle podatne na takie ataki.
Aby stwierdzić, czy pliki zostały umieszczone przez exima sugerowałbym porównać datę utworzenia tych plików z logami exima (także paniclog i rejectlog). Logi exima warto prześledzić także pod kontem wystąpienia słowa "HeaderX", bo to ten nagłówek był błędnie przetwarzany przez exima i w nim zostały umieszczane w przykładzie Sergey'a polecenia wykonywane zdalnie na serwerze ofiary.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/