Pues apunta a que es una vulnerabilidad del php.. con eso pueden
ejecutar una shell reversa (por ejemplo) y ejecutar comandos desde tu
máquina... seguramente la utilicen como zombie y realizar ataques de
denegación de servicio. Por lo que veo, el proceso corre como www-data
lo cual apunta más a que la vulnerabilidad está algún php o
relacionado con el servidor web. Lo bueno es que no parece que te
hayan obtenido root en la máquina, sino hubieran usado un rootkit para
ocultar procesos...
Busca en el /tmp o en las carpetas donde el usuario www-data tenga
permisos de escritura y encontraras el ./s luego si quieres dejalo en
alguna web para que lo podamos descargar y te ayudamos a ver que es
exactamente (seguramente sea un script para mandar tráfico y atacar
por denegación de servicio).
Por otra parte revisa los logs del apache y probablemente encuentres
algun patron donde te permita identificar cual es el parámetro
vulnerable.. veras que llaman a comandos desde alguna url ... intenta
eliminar las herramientas, wget, lynx y demás de esa máquina para que
les cueste más hasta que consigas identificar el problema y
arreglarlo. Si quieres mandar algún log de apache te podemos ayudar a
identificar el problema.. o si pasas la url (por mail privado) si
quieres le damos un vistazo.
saludos
El día 11 de marzo de 2009 22:09, kazabe <kazabe (at) gmail (dot) com [email concealed]> escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
> el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
ejecutar una shell reversa (por ejemplo) y ejecutar comandos desde tu
máquina... seguramente la utilicen como zombie y realizar ataques de
denegación de servicio. Por lo que veo, el proceso corre como www-data
lo cual apunta más a que la vulnerabilidad está algún php o
relacionado con el servidor web. Lo bueno es que no parece que te
hayan obtenido root en la máquina, sino hubieran usado un rootkit para
ocultar procesos...
Busca en el /tmp o en las carpetas donde el usuario www-data tenga
permisos de escritura y encontraras el ./s luego si quieres dejalo en
alguna web para que lo podamos descargar y te ayudamos a ver que es
exactamente (seguramente sea un script para mandar tráfico y atacar
por denegación de servicio).
Por otra parte revisa los logs del apache y probablemente encuentres
algun patron donde te permita identificar cual es el parámetro
vulnerable.. veras que llaman a comandos desde alguna url ... intenta
eliminar las herramientas, wget, lynx y demás de esa máquina para que
les cueste más hasta que consigas identificar el problema y
arreglarlo. Si quieres mandar algún log de apache te podemos ayudar a
identificar el problema.. o si pasas la url (por mail privado) si
quieres le damos un vistazo.
saludos
El día 11 de marzo de 2009 22:09, kazabe <kazabe (at) gmail (dot) com [email concealed]> escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
> el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
[ reply ]