[ gandalf @ 10.09.2005. 12:24 ] @
Naime pre pola stata pogledam kako su mi procesi na jednom serveru i vidim jednu cudnu stvar da imam proces koji se pokrece sa localhost-a i kaci se na neku tamo masinu 212.221.124.* pogledam logove i vidim u apacheovom error_log-u jednu cudnu stvar: --22:15:26-- http://sex.hotsteamyteens.com/dc.pl => `dc.pl.5' Resolving sex.hotsteamyteens.com... 166.70.135.163 Connecting to sex.hotsteamyteens.com[166.70.135.163]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 759 [text/plain] 0K 100% 247K 22:15:29 (197.97 KB/s) - `dc.pl.5' saved [759/759] to mi se nalazi na kraju error-log-a e sada sta mislite kako je ovo izvodljivo da mi radi takav upload na server??? Nasao sam taj fajl (dc.pl) u /var/tmp kao i fajl r0nin koji je verovatno backdoor koji otvara shell na 1666 portu. Tu je dc.pl klijent koji se kaci na njega! Backdoor su mogli da pokrenu pod permisiama www jer se pod tim userom vrti apache ali nisu backdoor-u moglu da pristupe jer je ispred servera firewall koji dozvoljava konekcije samo na portove 80 i 443 tako da :) E sada me interesuje u kojim slucajevima apache upisuje takav sadrzaj u error-log (mislim da obicno to ide u access_log)??? I kako je uopste moguce da su uradili takav upload?? |