Re: [ml] phpshell e accesso ssh

Marco wrote:
> 
> Come è possibile?
> Centra qualcosa phpshell?

stessa cosa a me.
hanno trovato un buco sul server di casa, credo o in b2evolution o in
gallery, che non aggiornavo da tempo, e hanno fatto installare uno
scriptino da remoto sfruttando la vulnerabilità.
ce ne sono di moltissimi di questi robini, a me avevano fatto un finto
upload (presumo, perchè ero via e me ne sono accorto dopo un mese) e
quindi fatto eseguire lo script php che avevano uploadato, il file era
una roba tipo dssdnfdovfd.gif ma in realtà appunto era un php che ha
scaricato file dentro /tmp e li ha eseguiti.
da lì in poi hanno avuto vita abbastanza facile visto che hanno scalato
i permessi e hanno modificato tutta /bin e si sono installati un coso
che tramite apache stava in una chat aspettando comandi.

> Se ho capito bene, phpshell viene chiamata tramite apache. Ho cercato un
> qualche virtual host strano che la riguardasse o relativo alla directory
> di temp, ma non ne ho trovati.

io vedevo chiaramente le connessioni con netstat sulla porta 6667 di una
macchina remota, segno tra l'altro che la macchina non era stata bucata
bene.

l'unica cosa che ti posso dire è che ci sono due possibilità, almeno,
nelle mie ricerche ne ho catalogate solo due:
- ti hanno messo una roba che sta su quando sta su apache, e ha i
diritti che ha l'utente con cui gira apache, perchè non sono riusciti a
scalare i permessi, questo si può pulire
- hanno scalato i permessi e compromesso il sistema, io in questo caso
ho reinstallato senza pietà
per controllare puoi provare a riavviare, magari in single mode, e
verificare se chkrootkit ti dice qualcosa.
mi spiace ma non so esserti di maggiore aiuto.

bye