Apache Bug?

Jan-Benedict Glaw jbglaw at lug-owl.de
Wed May 28 15:04:26 CEST 2003 

On Wed, 2003-05-28 14:35:23 +0200, Markus Wigge <markus at cultcom.de>
wrote in message <3ED4AD0B.1090402 at cultcom.de>:
> Tag,
> 
> >Hast Du das mal per Hand gemacht? Das läd ein shell script herunter, daß
> >nachfologend Deinen /sbin/init nach /sbin/init.aha kopiert und ein
> >bitgebrachtes binary als /sbin/init installiert. Danach wird noch
> >djcc.go.ro/goodies.tgz heruntergeladen und vermutlich von dem "init"
> >ausgepackt...
> >
> >Naja, wenigstens kann man anscheinend recht leicht erkennen, ob man
> >befallen ist und das System anschließend wieder recovern. Ob man das
> >danach noch _benutzen_ möchte, ist eine andere Frage...
> hab mir mal ein Log davon auf google gesucht ... die Frage ist auf jeden 
> Fall erstmal wie kam jemand an die root-Shell?
> Evtl. handelt es sich sogar um einen Einbruch über den SSH-Daemon. Aber 
> da der Einbruch nicht bei mir war und ich auf besagter Kiste keine 
> Root-Rechte habe kann ich auch nicht allzuviel dazu sagen.
> Ich wollte nur fragen ob jemand gerade etwas ähnliches feststellen 
> konnte, nur falls es eine Massenepedemie ist die noch nicht über 
> slashdot/cert und heise (*hüstel*) lief ...

Nee... Ich hab' mir das eben mal runtergeladen und zuhause angeguckt.
Eigentilch ist das nur 'ne Sammlung alter Dinger, die auf bekannten
Seiten 'runterzuladen sind. 'nen Exploit für samba (sambal) ist dabei,
einer für IRC-Server (via http-proxy) und so'n Zeugs halt.

Die Root-Shell wird vermutlich durch init aufgemacht. Zudem sind die
meisten Programme nicht weiter gestript. Einige von den Binaries sind
nichtmal gestript, haben aber "DrBIOS  <cosmin800 at hotmail.com>" als
einen der Änderer vermerkt... Ach ja, irgendwelche Infos von Deinem
Rechner werden via Mail an tproxy at yahoo.com geschickt...

Mehr kann ich dazu jetzt aber nicht sagen, hab' jetzt keine Zeit, das
ganze Zeugs zu disassemblieren...

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
      ret = do_actions((curr | FREE_SPEECH) & ~(IRAQ_WAR_2 | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20030528/45feca49/attachment.sig>

More information about the Linux mailing list