CyberDuck pisze:
U mnie pare razy byly ataki ale po zmianie IP sie uspokoilo.
Nalapalem takie skrypty :
/exploit , /.ICE_unix , /.X11-unix , /gf213a3d2 , /ln , /shm ,
nawet ktos probowal udac sesje :
/sess_v2tojua33sfbr9ml42ihr7hqe2
i dalej :
/shm , 2010.tgz , dev.tgz , max.sh , new.txt , send.tgz , terminal.py ...
heh, czyli
tu miałem rację, że konfiguracje exima w nnd też są podatne na
te ataki pozwalając na pewno umieścić i uruchomić dowolne pliki na tak atakowanym serwerze. prawdopodobnie atak zaczyna się od wysłania specjalnie spreparowanego maila w treści którego znajduje się sekwencja poleceń uruchamianych na serwerze ofiary. polecenia są wykonywane z prawami użytkowanika, na którym pracuje exim. najprawdopodobniej pliki są pobierane wget'em do /tmp, skąd następnie są uruchamiane. Tak jak napisał Maciek, o ile polecenia są wykonywane z prawami użytkownika, na którym pracuje exim - atakujący nie powinien wyrządzić większych szkód w systemie. Jednym z etapów ataku jest zmiana właściciela i praw dostępu umieszczonych na serwerze plików. W tym celu atakujący umieszcza w /tmp plik e.conf z treścią
spool_directory = ${run{/bin/chown
root:root /tmp/pobranyplik}}${run{/bin/chmod 4755 /tmp/pobranyplik}}
i uruchamia kolejny proces exima z alternatywnym plikiem konfiguracyjnym poleceniem
co w efekcie zmienia właściciela pliku na root'a. reszta w tym momencie (jak pisze Sergey Kononenko) jest trywialnie prosta - cokolwiek to znaczy nie wróży nic dobrego. zaznaczam, że opisany wyżej przebieg ataku jest moją interpretacją
tego opisu błędu i wcale tak nie musi się to odbywać, ale z treści Waszych powyższych postów wynika, że poliki na Waszych serwerach zostały umieszczone i uruchomione.
Dużo zmian eliminujących takie ataki wprowadzono do Exim'a w wersji 4.74. Z ważniejszych zmian, które "wyłapałem" posiada on na sztywno ustawioną opcję ALT_CONFIG_ROOT_ONLY (nie można już jej modyfikować, co we wcześniejszych wersjach było możliwe) pozwalającą uruchomić alternatywną konfigurację exima tylko przez root'a, oraz opcję TRUSTED_CONFIG_FILE w której jako parametr wpisuje się "na sztywno" dokładną ścieżkę z nazwą pliku alternatywnej konfiguracji (np. /etc/alt.exim.config) co uniemożliwia uruchomienie exima z konfiguracją umieszczoną jak w powyszczym przykładzie w /tmp.
Już samo użycie ALT_CONFIG_ROOT_ONLY oraz TRUSTED_CONFIG_FILE zabezpiecza przed negatywnymi skutkami ataków, więc jeśli Wasze kopie exima pracują na dotychczasowych konfiguracjach - nadaj jesteście zagrożeni.