Iets wat je veel terug ziet bij webservers met veel klanten en PHP, kijk voor de zekerheid ook even na of de apache user geen cronjob heeft, want vaak word de bot op die manier weer gestart mocht 'ie gekilled worden. Een aantal manieren om 't tegen te gaan: mod_security in apache laden fopen in php uitzetten (paardenmiddel, krijg je wel veel gezeur van klanten mee) suphp draaien, dan kun je zien onder welke user de bot/bouncer is gestart. Lelijk maar effectief, cronjob elke 5 minuten draaien (even aanpassen waar nodig): ps aux | grep apache | grep -v PHP | grep -v grep | awk '{print $2}' | xargs kill -9 > /dev/null 2> /dev/null Mochten er dan processen onder apache gestart worden dan worden ze iig direct weer afgeschoten. En vaak zijn de betreffende exploits niet zo heel moeilijk te vinden in je apache logs met wat zoekopdrachten als: grep .txt * | grep -v robots | grep -v 404 grep =http * | grep txt | grep -v 404 Dan komen er waarschijnlijk wel wat resultaten naar voren met pogingen tot hacks d.m.v. remote url exploits. Verder geeft 't zoeken naar bestanden op je filesystem met woorden als: 'bnc' 'psy' 'psybnc' 'udp.pl' ook wel aanwijzingen doordat je kunt zien waar de bots of IRC bouncers zijn neergezet. Ook de /tmp partitie op noexec,nosuid zetten in je fstab is raadzaam zodat er vanuit daar al niks kan worden uitgevoerd. At 14:22 19-5-2007, you wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/ _______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
Met vriendelijke groet, Jeroen Wunnink, EasyHosting B.V. Systeembeheerder systeembeheer at easyhosting.nl telefoon:+31 (035) 6285455 Postbus 48 fax: +31 (035) 6838242 3755 ZG Eemnes http://www.easyhosting.nl http://www.easycolocate.nl