Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest wtorek, 19 marca 2024, 09:02

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 12 ] 
Autor Wiadomość
 Tytuł: exim - włam
Post: czwartek, 19 maja 2011, 00:20 
Offline
Użytkownik

Rejestracja: piątek, 8 kwietnia 2005, 05:28
Posty: 190
Lokalizacja: Olsztyn
odpaliła mi się kilka procesów z użytkownika mail
: [/] [] ()
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 2675 mail      14   0  3416 3412 1508 R  4.3  0.7  66:49.80 perl
13854 mail      15   0  3428 3424 2792 S  3.0  0.7 106:38.80 perl
16445 mail      15   0  3416 3412 1508 S  3.0  0.7  37:45.10 perl
13884 mail      14   0  3416 3412 1508 R  2.6  0.7 102:54.23 perl
 2700 mail      14   0  3428 3424 2856 R  2.3  0.7  64:48.35 perl
16478 mail      13   0  3388 3384 1492 R  2.3  0.7  37:40.90 perl


pożera mi to procka, z logów exima definitywnie widać... że coś się dzieje! :P

exim wymaga dostępu do perla?
jak nie to gdzie to można zmienić?

_________________
Processor Pentium 4 XEON 1,8GHz 512MB Ram (bind,mrtg,apache,php4,exim,radius-testing) 40 hostów


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 19 maja 2011, 09:47 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Exim nie wymaga dostępu do perla, i zapewne nie ma dostępu do perla, a proces "perl" wcale nie musi być perlem.
Sprawdź, katalogi /tmp i /var/tmp, a najlepiej podaj na priv namiary, jeśli to jest włamanie, to warto wiedzieć jaką drogą nastąpiło.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 19 maja 2011, 12:16 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Szkoda, ze wszystko skasowałeś, bo teraz już trudno będzie cokolwiek stwierdzić.
Jeśli coś się uruchamia z crontaba, to wystarczy przejrzeć pliki /var/spool/cron/root i te w /etc/cron.X.
Nie jestem pewny, czy włamanie nastąpiło przez exima. To, że włamywacz użył usera mail i/lub exima nie jest dostatecznym dowodem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 19 maja 2011, 15:46 
Offline
Użytkownik

Rejestracja: piątek, 8 kwietnia 2005, 05:28
Posty: 190
Lokalizacja: Olsztyn
exim -bp | exiqgrep -i | xargs exim -Mrm
tego użyłem żeby mi wywaliło kolejkę oczekujących spamów, których sie natworzyło tysiące

wyczyściłem /tmp/ i odpaliłem exima, wrócił do poprzedniego stanu i działa poprawnie, zapewne w przeciągu kilku dni nastąpi kolejny atak, jak się pojawią jakieś dziwne rzeczy dokleję do tego wątku, na tą chwilę jest ok

_________________
Processor Pentium 4 XEON 1,8GHz 512MB Ram (bind,mrtg,apache,php4,exim,radius-testing) 40 hostów


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 19 maja 2011, 15:50 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To, że w spoolu oczekiwała kolejka spamu, nie jest jeszcze dowodem na włamanie przez exima, a może być dowodem na wykorzystanie exima w wyniku włamu. Tak dzieje się bardzo często, szczególnie wtedy, jak ktoś ma apache, php i wówczas skrypty włamujące się korzystają z funkcji mail. Szczególnie łatwo jest "zaliczyć włamanie" używając Joomli, takie przypadki znam z ostatnich miesięcy.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 19 maja 2011, 19:21 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
U mnie pare razy byly ataki ale po zmianie IP sie uspokoilo.
Nalapalem takie skrypty :
/exploit , /.ICE_unix , /.X11-unix , /gf213a3d2 , /ln , /shm ,
nawet ktos probowal udac sesje :
/sess_v2tojua33sfbr9ml42ihr7hqe2
i dalej :
/shm , 2010.tgz , dev.tgz , max.sh , new.txt , send.tgz , terminal.py ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 21 maja 2011, 13:01 
Offline
Użytkownik

Rejestracja: czwartek, 11 lipca 2002, 23:38
Posty: 180
CyberDuck pisze:
U mnie pare razy byly ataki ale po zmianie IP sie uspokoilo.
Nalapalem takie skrypty :
/exploit , /.ICE_unix , /.X11-unix , /gf213a3d2 , /ln , /shm ,
nawet ktos probowal udac sesje :
/sess_v2tojua33sfbr9ml42ihr7hqe2
i dalej :
/shm , 2010.tgz , dev.tgz , max.sh , new.txt , send.tgz , terminal.py ...

heh, czyli tu miałem rację, że konfiguracje exima w nnd też są podatne na te ataki pozwalając na pewno umieścić i uruchomić dowolne pliki na tak atakowanym serwerze. prawdopodobnie atak zaczyna się od wysłania specjalnie spreparowanego maila w treści którego znajduje się sekwencja poleceń uruchamianych na serwerze ofiary. polecenia są wykonywane z prawami użytkowanika, na którym pracuje exim. najprawdopodobniej pliki są pobierane wget'em do /tmp, skąd następnie są uruchamiane. Tak jak napisał Maciek, o ile polecenia są wykonywane z prawami użytkownika, na którym pracuje exim - atakujący nie powinien wyrządzić większych szkód w systemie. Jednym z etapów ataku jest zmiana właściciela i praw dostępu umieszczonych na serwerze plików. W tym celu atakujący umieszcza w /tmp plik e.conf z treścią
: [/] [] ()
spool_directory = ${run{/bin/chown
root:root /tmp/pobranyplik}}${run{/bin/chmod 4755 /tmp/pobranyplik}}
i uruchamia kolejny proces exima z alternatywnym plikiem konfiguracyjnym poleceniem
: [/] [] ()
exim -Ce.conf -q
co w efekcie zmienia właściciela pliku na root'a. reszta w tym momencie (jak pisze Sergey Kononenko) jest trywialnie prosta - cokolwiek to znaczy nie wróży nic dobrego. zaznaczam, że opisany wyżej przebieg ataku jest moją interpretacją tego opisu błędu i wcale tak nie musi się to odbywać, ale z treści Waszych powyższych postów wynika, że poliki na Waszych serwerach zostały umieszczone i uruchomione.
Dużo zmian eliminujących takie ataki wprowadzono do Exim'a w wersji 4.74. Z ważniejszych zmian, które "wyłapałem" posiada on na sztywno ustawioną opcję ALT_CONFIG_ROOT_ONLY (nie można już jej modyfikować, co we wcześniejszych wersjach było możliwe) pozwalającą uruchomić alternatywną konfigurację exima tylko przez root'a, oraz opcję TRUSTED_CONFIG_FILE w której jako parametr wpisuje się "na sztywno" dokładną ścieżkę z nazwą pliku alternatywnej konfiguracji (np. /etc/alt.exim.config) co uniemożliwia uruchomienie exima z konfiguracją umieszczoną jak w powyszczym przykładzie w /tmp.
Już samo użycie ALT_CONFIG_ROOT_ONLY oraz TRUSTED_CONFIG_FILE zabezpiecza przed negatywnymi skutkami ataków, więc jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 21 maja 2011, 14:21 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
_rmtl pisze:
Już samo użycie ALT_CONFIG_ROOT_ONLY oraz TRUSTED_CONFIG_FILE zabezpiecza przed negatywnymi skutkami ataków, więc jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.


Te polecenia zaezpieczaja jedynie przed uzyskaniem roota przez wlamywacza. Na uzytkowniku exima moze sobie dalej latac po systemie.

Ogolnie posiadanie jakiegokolwiek ogolniedostepnego hostingu na NND nie jest najlepszym pomyslem.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 21 maja 2011, 18:19 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
_rmtl pisze:
jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.

Zacznijmy od tego, że włamanie u CyberDucka nie było związane z eximem. Natychmiast po zauważeniu go dał mi dostęp i i mogłem przejrzeć pliki. Konfigurację exima miał też nieco inną niż typowa, bo ustawiałem mu to sam wcześniej. Włamanie nastąpiło przez php, a dokładniej to zapewne przez exploit na phpMyAdmina, choć tego już na 100% nie jestem w stanie dowieść.
Włamanie, które opisał Sadek, też nie wiadomo jakie było, bo wszystko pokasował.
Ogólnie - zgłoszono mi w ostatnim roku z kjawałkiem. kilka włamań na NND. Dwa - w tym niestety na mój stary serwer (niepilnowany) - były przez Roundcube. Trzy inne z całą pewnością na phpMyAdmin. W przypadku jednego to było włamanie przez Gallery 1.5 na php, a dwa inne nie do końca jestem pewien. Z tych wszystkich włamań tylko trzy były na NND, dwa na CDN, a pozostałem na różne inne systemy.

Natomiast chciałbym tasiorka dopytać, co miał na myśli z tym hostingiem? W aspekcie wdyskusji o włamaniach na exima to nie rozumiem. Hosting raczej kojarzy się z www.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 23 maja 2011, 12:03 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Macku, zawezasz pojecie hostingu do webhostingu. Mialem na mysli wszystkie uslugi "serwerowe" i otwarte na caly internet, np. www, baza danych, ftp, poczta itp.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 23 maja 2011, 13:04 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To jest kwestią administratora, a nie systemu, czy serwer będzie działać właściwie i bezpiecznie. NND też bym nie polecał, głównie na brak dalszego rozwoju systemu, ale nie na jakieś "rzekome" wady tego systemu.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 23 maja 2011, 15:32 
Offline
Użytkownik

Rejestracja: czwartek, 11 lipca 2002, 23:38
Posty: 180
tasiorek pisze:
Te polecenia zaezpieczaja jedynie przed uzyskaniem roota przez wlamywacza. Na uzytkowniku exima moze sobie dalej latac po systemie.

Zgadza się, jednak exim w wersjach od 4.70 ma być już zabezpieczony także przeciwko umieszczaniu plików na serwerze tą metodą, więc problem dotyczy wersji wcześniejszych i to one najprawdopodobniej są ciągle podatne na takie ataki.
Aby stwierdzić, czy pliki zostały umieszczone przez exima sugerowałbym porównać datę utworzenia tych plików z logami exima (także paniclog i rejectlog). Logi exima warto prześledzić także pod kontem wystąpienia słowa "HeaderX", bo to ten nagłówek był błędnie przetwarzany przez exima i w nim zostały umieszczane w przykładzie Sergey'a polecenia wykonywane zdalnie na serwerze ofiary.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 12 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl