Re: [ml] phpshell e accesso ssh

> Davanti c'è un pix, nuovo, che impedisce connessioni ssh verso questa
> macchina da fuori; sono ragionevolmente sicuro che il pix sia a posto
> (io dall'esterno non trovo la 22 aperta).

: )

> C'è un utente, temp, che si è fatto una sua directory ftp in cui ha

che e' una directory ftp? la di si chiama "ftp"?

> temp     pts/0        62.117.114.180   Mon Jan 23 00:40 - 00:40  (00:00)

ip russo http://www.whois.sc/62.117.114.180

> temp     pts/0        148.208.149.21   Sun Jan 22 22:37 - 22:37  (00:00)

ip messicano, http://www.whois.sc/148.208.149.21

"Mexico - Secretaria De Educacion E Investigacion Tecnologic" : ) hehe

> Jan 26 20:02:46 <MIOSERVER> sshd[28199]: Accepted password for temp from
> 211.63.252.38 port 38925 ssh2

l'ip e' coreano

http://www.whois.sc/211.63.252.38
contatta gli admin, vedi che ti dicono (tieni conto che magari sono
altri poveri crisi come quelli di quella macchina, e i loro ip compaiono
nei tuoi log quanto il tuo puo' apparire nei loro)

ora se vuoi perseguire questi tizi dovresti chiamare in causa qualcuno
che faccia forensic spesso, una delle regole basilari e' preservare la
scena del crimine, se gli lasci il server in buone condizioni (aka non
bonificarlo, non servirebbe a nulla, questa macchina e' compromessa e
chissa' che c'e' dentro) lui sapra' come fare e come interagire con
chi di dovere

altrimenti se e' per divertimento e curiosita' prova ad andare avanti
dagli spunti che seguono

da quello che hai postato un quadro completo non lo si evince (e magari
non hai il logging necessario per correlare tutti gli elementi) ma provo
in ogni caso a sbilanciarmi

- c'e' un'applicazione web in php bacata (e c'e' ancora temo :>)
- uno scanner ha beccato l'applicazione e l'ha exploitata
- facendo fare una fopen+eval / include / exec ha scaricato una phpshell

a questo punto da fuori possono farti eseguire comandi con uid e gid
di apache via http get/post/cookie (magari la phpshell continuano a
chiamarla indirettamente, se e' via get hai i log e ti puoi basare
sull'url, altrimenti devi essere fortunato e trovare una correlazione
sull'ip)

dopo aver eseguito qualche uname -a e $$binario -v viene caricato
un exploit per fare privilege escalation in locale, per qualche
secondo un child di apache ha in seno una exec con uid 0, viene
creato l'utente temp (magari con uid 0) e settata la sua password

da quel momento non c'e' piu' bisogno di usare la phpshell : )

quella macchina evidentemente e' stata membro di una zombienet, e dagli
ip e dalla metodologia imho il tutto e' avvenuto senza necessita' di
iterazione umana

ora dovresti collezionare i vari ip degli attacker con annesse le righe
di log dei vari wtmp, apache error e access log (da qui probabilmente
vedrai su quale applicazione e' stato lanciato l'attacco), secure, etc.

quando avrai tutto assieme vedrai che tutto ti sara' piu' chiaro

hehe, in questi casi ci si pente di non aver messo su mod_forensic e
grsec exec logging dall'inizio : )

good luck,
ascii, http://www.ush.it