[Ra] niebezpieczny mod_ssl/openssl?
Marcin Kurzyna
pld w nius.waw.pl
Nie, 21 Gru 2003, 22:25:45 CET
Witam, wczoraj miałem wejście na maszynę z Ra[+updates, kern 2.4.20-11].
Podejrzewam że coś jest nie tak z naszym openssl/mod_ssl. Wejście
nastąpiło przez http:
[Sat Dec 20 01:02:24 2003] [error] mod_ssl: SSL handshake failed (server
domena.tld:443, client 211.56.221.131) (OpenSSL library error follows)
[Sat Dec 20 01:02:24 2003] [error] OpenSSL:
error:1406B458:lib(20):func(107):reason(1112)
[...]
[Sat Dec 20 22:09:24 2003] [error] [client 211.96.251.8] File does not
exist: /home/httpd/default/sumthin
sh: cannot create r0nin: Text file busy
bind: Address already in use
sh: cannot create r0nin: Text file busy
bind: Address already in use
cat: /etc/httpd: Brak dostępu
cat: /etc/httpd: Brak dostępu
cat: /etc/httpd: Brak dostępu
Powyższy fragment logu zawiera błąd połączenia SSL oraz wywołanie pliku
sumthin. Oba powyższe po przeszukaniu securityfocus wskazują na szukanie
błędu w OpenSSL, nie mniej błąd ten nie powinien dotyczyć openssl
>0.9.6d oraz >0.9.7beta2. W wyniku powyższego w /tmp znalazł się plik
"r0nin" będący backdoorem wypuszczonym/używanym najprawdopodobniej przez
PshyoPhobia. Słucha on na tcp:1666 dając shella na żadanie (z
uprawnieniami z którymi został wywołany, u mnie był to http) nie pytając
o hasło (`telnet ip 1666` i już). chkrootkit go nie wykrył, nie mniej
proces nie był ani ukryty ani nijak sie nie maskował.
Dla zainteresowanych:
"r0nin" md5: d41d8cd98f00b204e9800998ecf8427e
http://www.lurhq.com/atd.htm
- to wydaje się być najbliższe zaistaniałej sytuacji, choć nie jest
idealną repliką
pozostałe linki:
http://www.webmasterworld.com/forum11/2100.htm
http://seclists.org/lists/incidents/2002/Oct/0161.html
--
marcin panic: no known error
marcin: imposible state - shutting down in -5s.
Więcej informacji o liście dyskusyjnej pld-devel-pl