Włam przez httpd

[Lukasz "S-K" Jarochowski]

Witam.

Dzisiaj wykryłem w swoim systemie włam, który miał miejsce wczoraj w 
okolicach godziny 20. Atakujący poprzez httpd ściągnął pliki h.1, h.2, 
dc.1, dc.2, dc, h, psy.tgz. Zapisane zostały w katalogu /tmp, psy.tgz 
został rozpakowany do /tmp/.bash, następnie atakujący odpalił 
program /etc/.bash/CROND jako uid/gid http/http. CROND to psybot (irc-bot), 
który tworzy socketa słuchającego na 6667. Do tego odpalony został mail na 
porcie 1025 również z http/http.

Z logów wynikałoby, że ktoś wykorzystał skrypt awstats, który właśnie 
konfigurowałem (teraz wywaliłem to w cholerę). I jeszcze znalazłem z 
ciekawostek zapytanie w postaci:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u909\
0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090\
%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

ale Apache odpowiedziało na nie 404.


W związku z powyższym mam kilka pytań:
już sprawdziłem rpm -Va i porównałem z bazą aide i tripwire i wygląda na to, 
że wszystko jest ok. Włamywacz nie zdobył roota, stworzył tylko to co 
wymieniłem. Nie skasował logów, nic.

Mam pytanie - jak teraz się zabezpieczyć, żeby taka sytuacja się nie 
powtórzyła w przyszłości. No i czy to jest tak, jak ja się domyślam, czy 
może wydaje mi się to, co ma mi się wydawać... ?

No i jeszcze - chcę wrzucić httpd do chroota, mysql też. Mam pytanie, czy 
ten nasz rc-scriptowy sys-chroots to działa? I jak się go obsługuje, bo nie 
bardzo jest dokumentacja do tego? Wydaje mi się, że mam przygotować 
normalne chrootowane środowisko dla każdej usługi, a potem chyba odpalić 
service sys-chroots start?

Pozdrawiam
ŁJ

-- 
Wszędzie słyszę krzyk. Cierpień nieustająca melodia....
GG:0x4BE039                  lukasz < w > sanity.int.pl