/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Analyse af hacket maskine
Fra : Morten


Dato : 21-11-04 21:01

Hej.

Jeg har en virtuel server som jeg har lejet. Det er en Debian woody der
er "opgraderet" til sarge. Jeg har kørt en Apache 1.3 på den i standard
konfiguration. De eneste services der har kørt er xinetd, sshd, apache
og exim4 og de har været "nogenlunde" up-to-date (opdateret for en måned
siden).

I dag bemærkede jeg at webserveren opførte sig underligt. Det viser sig
at den har ret travlt med at håntere en masse requests, eksempelvis:

61.145.116.210 - - [12/Oct/2004:18:19:55 +0200] "GET
http://www.cybermoo.com/affiliates/result.php?affid=357&searchterm=i
nternational+airlines HTTP/1.1" 200 19859
"http://www.trafficmillion.com/" "Mozilla/4.0 (compatible; MSIE 5.0;
Windows NT
4.0)" "-"

Den svarer med return code 200 og returnerer noget data, så jeg antager
at den servicerer et eller andet - sikkert agerer den en form for proxy.
Nogen der kender en sårbarhed der forklarer dette?

Mvh.

Morten

 
 
Simon Lyngshede (21-11-2004)
Kommentar
Fra : Simon Lyngshede


Dato : 21-11-04 21:13

On Sun, 21 Nov 2004 21:01:28 +0100, Morten wrote:
> Den svarer med return code 200 og returnerer noget data, så jeg antager
> at den servicerer et eller andet - sikkert agerer den en form for proxy.
> Nogen der kender en sårbarhed der forklarer dette?
>

Jeg mener at der har været sårbarheder i Apache 1.3 der netop tillod at
den i en standard konfiguration kunne misbruges som proxy. Jeg ville bare
gætte på at din installation var for ny til at det var relavant, det er
alligevel over et år siden jeg hørte om det.

Jeg ville nok i første omgang undersøge at du ikke har mod_proxy
enablet, man kan ikke altid lige regne ud hvad det præcist er det
foregår i Debian når den installerer pakker.

--
Simon Lyngshede
simon@giraf.spiceweasel.dk
Remove long necked animal.


Morten (21-11-2004)
Kommentar
Fra : Morten


Dato : 21-11-04 22:11

Simon Lyngshede wrote:
> On Sun, 21 Nov 2004 21:01:28 +0100, Morten wrote:
>
>>Den svarer med return code 200 og returnerer noget data, så jeg antager
>>at den servicerer et eller andet - sikkert agerer den en form for proxy.
>>Nogen der kender en sårbarhed der forklarer dette?
>>
>
>
> Jeg mener at der har været sårbarheder i Apache 1.3 der netop tillod at
> den i en standard konfiguration kunne misbruges som proxy. Jeg ville bare
> gætte på at din installation var for ny til at det var relavant, det er
> alligevel over et år siden jeg hørte om det.
>
> Jeg ville nok i første omgang undersøge at du ikke har mod_proxy
> enablet, man kan ikke altid lige regne ud hvad det præcist er det
> foregår i Debian når den installerer pakker.
>

Mkay.. Jeg havde håbet på at det var tilstrækkeligt at holde maskinen
opdateret via apt-get. Jeg kan se at jeg kører Apache 1.31 og at der
siden da er kommet et par nyere versioner med sikkerhedsrettelser.
Spøjst at de ikke kommer ved en apt-get update/upgrade.

Jeg har nu udkommenteret mod_proxy i modules.conf, og Apache svarer nu
tilbage med 404 i stedet for at lave proxy. Tak for tippet. Det er vel
kinesere der prøver at omgå censur via sårbare installationer?

Mvh.

Morten



Rasmus Bøg Hansen (21-11-2004)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 21-11-04 22:34

Morten <usenet@kikobu.com> hit the keyboard.
Afterwards the following was on the screen:

> Simon Lyngshede wrote:
>> On Sun, 21 Nov 2004 21:01:28 +0100, Morten wrote:
>>
>>> Den svarer med return code 200 og returnerer noget data, så jeg
>>> antager at den servicerer et eller andet - sikkert agerer den en
>>> form for proxy. Nogen der kender en sårbarhed der forklarer dette?
>>>
>> Jeg mener at der har været sårbarheder i Apache 1.3 der netop tillod
>> at
>> den i en standard konfiguration kunne misbruges som proxy. Jeg ville bare
>> gætte på at din installation var for ny til at det var relavant, det er
>> alligevel over et år siden jeg hørte om det. Jeg ville nok i første
>> omgang undersøge at du ikke har mod_proxy
>> enablet, man kan ikke altid lige regne ud hvad det præcist er det
>> foregår i Debian når den installerer pakker.
>>
>
> Mkay.. Jeg havde håbet på at det var tilstrækkeligt at holde maskinen
> opdateret via apt-get. Jeg kan se at jeg kører Apache 1.31 og at der
> siden da er kommet et par nyere versioner med
> sikkerhedsrettelser. Spøjst at de ikke kommer ved en apt-get
> update/upgrade.

Det kan tænkes at apache ikke er blevet opgraderet, fordi
pakkekonflikter har krævet fjernelse af andre pakker.

Dette gør apt-get upgrade aldrig. Det gør apt-get dist-upgrade derimod
- denne er lavet til opgradering mellem forskellige versioner af
Debian, mens upgrade er til almindelig daglig opgradering af
sikkerhedsopdateringer mv.

> Jeg har nu udkommenteret mod_proxy i modules.conf, og Apache svarer nu
> tilbage med 404 i stedet for at lave proxy. Tak for tippet. Det er vel
> kinesere der prøver at omgå censur via sårbare installationer?

Hvad baggrunden er, er ganske svært at sige med sikkerhed, men det er
en mulighed.

Hvis maskinen er kompromitteret, bør du seriøst overveje en komplet
geninstallation, når du har fundet problemet; evt. genetablering af en
sikkerhedskopi fra før kompromitteringe skete.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are,
by definition, not smart enough to debug it.
-- Brian W. Kernighan
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Morten (22-11-2004)
Kommentar
Fra : Morten


Dato : 22-11-04 10:39

> > Jeg har nu udkommenteret mod_proxy i modules.conf, og Apache svarer nu
> > tilbage med 404 i stedet for at lave proxy. Tak for tippet. Det er vel
> > kinesere der prøver at omgå censur via sårbare installationer?
>
> Hvad baggrunden er, er ganske svært at sige med sikkerhed, men det er
> en mulighed.
>
> Hvis maskinen er kompromitteret, bør du seriøst overveje en komplet
> geninstallation, når du har fundet problemet; evt. genetablering af en
> sikkerhedskopi fra før kompromitteringe skete.

Tak for input. Jeg har ikke fundet tegn på andet end den udnyttede
defekt i mod_proxy.

Mvh.

Morten

Søg
Reklame
Statistik
Spørgsmål : 177553
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste