Re: [ml] strane righe in error.log di apache

Roberto Bottoni - AfterBit ha scritto:
> inoltre nella cartella /var/tmp ci sono dei file sospetti che non 
> credo c'entrino nulla col sistema.. tipo :
> port.tgz
> httpd
> seclogstate.state
>
> ed altri..
>
> immagino che ci siamo dei "problemi".. ma adesso cosa posso iniziare a 
> fare per capire che cosa sta succedendo???
> ho provato chrootkit.. e non mi ha dato nessun "pericolo"

non prendere sottogamba sta cosa: mi è successo qualcosa di analogo 
alcuni anni fa.
Quasi sicuramente sul server è presente qualche script (cgi) che apre le 
porte al nemico. Nel mio caso, un utente aveva installato awstats senza 
curarsi di seguirne i bollettini e gli aggiornamenti di sicurezza. 
Risultato: sfruttando una debolezza di awstats, qualcuno aveva 
depositato (ed eseguiva) un irc-bot nella dir /tmp/.
Una volta capito che il problema era in awstats, dato che non potevo 
permettermi nè di perdere tempo con indagini approfondite né di lasciare 
il sospetto che il server fosse compromesso, ho piallato e reinstallato 
tutto
Comunque, un'analisi di questo file http://www.eodspr.kit.net/botnet.txt 
credo che sia obbligatoria (non ho il tempo di farla io adesso) perché 
da lì si può sicuramente capire come è stato portato l'attacco
begin:vcard
fn:Franco Abitante
n:Abitante;Franco
org:WhiteReady srl
adr:;;via S. Quintino, 4;Torino;TO;10121;Italia
email;internet:fabitante@xxxxxxxxxxxxxx
tel;work:011.6602616
tel;cell:335.6748609
x-mozilla-html:FALSE
url:http://www.whiteready.com
version:2.1
end:vcard