URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 329
[ Назад ]

Исходное сообщение
"Или взлом или как?"

Отправлено Pilot , 26-Ноя-02 10:09 
(Продолжение темы)
---------------------
http://www.opennet.me/openforum/vsluhforumID10/256.html#5

>IMHO это от IIS дырка.
>Для апача не страшно.
-----------------------
Очень даже страшно.

Вот пример, находим в /tmp 2 файлика
gzed.1038240882 и исполняемый mcextSLbykd
у первого права 644 у втрого 700, хозяин обоих root, время создания-вчера, одинаковое.
Если открываем первый в консоли-информации немного, но есть.
Выде ли бы Вы, какое было у меня удивление, когда я попытался открыть
его их конквера!
Появилась папка sslwrap и внутри еще 5 файликов на С, с мейкфайлом
-apps.h
-e_os.h
-s_apps.h
-s_cb.c
-s_server.c
-s_socket.c

Ну а второй вот что внутри имеет
---------------------
#!/bin/sh
I=`date +%s`; export I; gzip -cd mclocalcopyYvzFod >/tmp/gzed.$I && vi /tmp/gzed.$I && gzip -c /tmp/gzed.$I > mclocalcopyYvzFod; rm -f /tmp/gzed.$I
/bin/rm -f /tmp/mcextSLbykd
----------------

Господа от Unix, что вы скажете? Вьезд на белом коне через http? Или червь или что? Если ошибаюсь-плиз поправьте. Если да то, как бороться?
Какие функции может выполнять эта байда на моей машине?
Причем там же в html (под gzed...) файле находим упоминание о  sslwrap.
Спасибо
PS Вчера убирал-сегодня ванька встанька уже опять тут.


Содержание

Сообщения в этом обсуждении
"RE: Или взлом или как?"
Отправлено Pilot , 26-Ноя-02 10:47 
Добавлю, платформа LINUX и последний Апач.

"RE: Или взлом или как?"
Отправлено uldus , 26-Ноя-02 15:42 
>Добавлю, платформа LINUX и последний Апач.

openssl какой ? Если openssl и mod_ssl не пофикшеной версии, то червь пролез через них. Если используешь не последний bind 8.x или 4.x, то вероятно для них уже червь написали.


"RE: Или взлом или как?"
Отправлено Pilot , 26-Ноя-02 15:46 

openssl-0.9.6b-28asp

так все таки это червь?
А его функции?
Обновление пакета openssl поможет?


"RE: Или взлом или как?"
Отправлено uldus , 27-Ноя-02 12:38 
>openssl-0.9.6b-28asp
>
>так все таки это червь?

Да это червь, проявляется для OpenSSL меньше чем 0.9.6e. Срочно апгрейдь до последней версии OpenSSL.

>Обновление пакета openssl поможет?

Да.