Hola a todos.

Desde diciembre que vengo preguntando de vez en cuando aquí y en otros
foros acerca de mi máquina y mi red... que si va lenta, que si tengo
"vistiantes", que si el spam llegante, que si me la revientan para
generar spam, que si tal que si cual...

Bueno, recientemente he descubierto que en algunos directorios de webs
que tengo puestas hace mucho tiempo pero muy inactivas (y que no
reviso nunca), resulta que me tenían puestos shells de PHP, como el
c99, el r57, el n3tshell, etc.

He tenido curiosidad por entrar en ellos como usuario y he visto que
son muy potentes.

LAS DUDAS:

Cuando uno tiene esto puesto, es normal que como usuario www-data
pueda realizar muchas cosas, incluso colocar "otros" shells o más aún:
puedes clicar un botón de la página y se ejecuta un shell enlazado a
un puerto. He probado de entrar por telnet y soy www-data.

Pero tengo dos dudas todavía:

1) ¿Cómo me pusieron el primero?
2) ¿Pueden desde un PHP-shell convertirse en root? ¿O quedan
enjaulados en www-data?

Lo que más me preocupa es, por supuesto, el primero, porque si borro
los archivos pero no se bloquear lo primero me la volverán a colar.

Gracias!
Xavi.

On 2008-05-30, xmontero <xmontero***dsitelecom.com> wrote:
> reviso nunca), resulta que me tenían puestos shells de PHP, como el
> c99, el r57, el n3tshell, etc.
>
> Pero tengo dos dudas todavía:
>
> 1) ¿Cómo me pusieron el primero?

Por algún agujero de seguridad. Lo más típico es que se detecte un
programa como inseguro, se corrija, alguien lea el error de las listas
de seguridad, haga un exploit y consiga instalarlo en tu máquina antes
de que tu hayas actualizado el parche de seguridad.

> 2) ¿Pueden desde un PHP-shell convertirse en root? ¿O quedan
> enjaulados en www-data?

Quedan enjaulados como www-data, salvo que puedan explotar otro
bug de otro programa.

> Lo que más me preocupa es, por supuesto, el primero, porque si borro
> los archivos pero no se bloquear lo primero me la volverán a colar.

Yo borraria, reinstalaría y buscaría archivos ocultos por
los directorios de www-data al menos. Con el sistema operativo "nuevo"
el problema estaría en los directorios de "datos" (documentRoot
de apache), que ya restringe mucho la búsqueda.

Había por ahí un programa que detectaba rootkits, creo que era
chkrootkit. Te puede ayudar a buscar, pero si lo usas prepárate para
muchos falsos positivos.

Un saludo.

On 2008-05-30, xmontero <xmontero***dsitelecom.com> wrote:
> reviso nunca), resulta que me tenían puestos shells de PHP, como el
> c99, el r57, el n3tshell, etc.
>
> Pero tengo dos dudas todavía:
>
> 1) ¿Cómo me pusieron el primero?

Por algún agujero de seguridad. Lo más típico es que se detecte un
programa como inseguro, se corrija, alguien lea el error de las listas
de seguridad, haga un exploit y consiga instalarlo en tu máquina antes
de que tu hayas actualizado el parche de seguridad.

> 2) ¿Pueden desde un PHP-shell convertirse en root? ¿O quedan
> enjaulados en www-data?

Quedan enjaulados como www-data, salvo que puedan explotar otro
bug de otro programa.

> Lo que más me preocupa es, por supuesto, el primero, porque si borro
> los archivos pero no se bloquear lo primero me la volverán a colar.

Yo borraria, reinstalaría y buscaría archivos ocultos por
los directorios de www-data al menos. Con el sistema operativo "nuevo"
el problema estaría en los directorios de "datos" (documentRoot
de apache), que ya restringe mucho la búsqueda.

Había por ahí un programa que detectaba rootkits, creo que era
chkrootkit. Te puede ayudar a buscar, pero si lo usas prepárate para
muchos falsos positivos.

Un saludo.

On 2008-05-30, xmontero <xmontero***dsitelecom.com> wrote:
> reviso nunca), resulta que me tenían puestos shells de PHP, como el
> c99, el r57, el n3tshell, etc.
>
> Pero tengo dos dudas todavía:
>
> 1) ¿Cómo me pusieron el primero?

Por algún agujero de seguridad. Lo más típico es que se detecte un
programa como inseguro, se corrija, alguien lea el error de las listas
de seguridad, haga un exploit y consiga instalarlo en tu máquina antes
de que tu hayas actualizado el parche de seguridad.

> 2) ¿Pueden desde un PHP-shell convertirse en root? ¿O quedan
> enjaulados en www-data?

Quedan enjaulados como www-data, salvo que puedan explotar otro
bug de otro programa.

> Lo que más me preocupa es, por supuesto, el primero, porque si borro
> los archivos pero no se bloquear lo primero me la volverán a colar.

Yo borraria, reinstalaría y buscaría archivos ocultos por
los directorios de www-data al menos. Con el sistema operativo "nuevo"
el problema estaría en los directorios de "datos" (documentRoot
de apache), que ya restringe mucho la búsqueda.

Había por ahí un programa que detectaba rootkits, creo que era
chkrootkit. Te puede ayudar a buscar, pero si lo usas prepárate para
muchos falsos positivos.

Un saludo.

Bueno, hasta donde he podido descubrir, ME COLOCAN miles de mails en
el mailq con sólo acceder a una URL inválida:

1) Borro TODA la cola del post-fix.
2) mailq da vacío.
3) tail -f /var/log/apache/error.log
[Espero]
4) De golpe, en los logs del apache tengo:
[Sun Jun 1 11:43:09 2008] [error] [client 64.151.82.172] File does
not exist: /var/www/custom_www/dsitelecom.com/www/http://
www.geocities.com/sam_osagie01/fire4fire.html
[Sun Jun 1 11:44:14 2008] [error] [client 64.151.82.172] File does
not exist: /var/www/custom_www/dsitelecom.com/www/http://
www.geocities.com/sam_osagie01/fire4fire.html
5) mailq da centenares de mails.

He accedido a http://www.geocities.com/sam_osagie01/fire4fire.html y
es un formulario con campos para hacer spam (contenido, from, lista de
destinatarios, etc)

He mirado en /var/www/custom_www/dsitelecom.com/www/ y los index son
míos y no hay ningún .htaccess que haga rewrites ni cosas así.

¿Alguien sabe cuál es el mecanismo por el cual (léase "cómo narices")
me están metiendo el spam saliente?

Bueno, hasta donde he podido descubrir, ME COLOCAN miles de mails en
el mailq con sólo acceder a una URL inválida:

1) Borro TODA la cola del post-fix.
2) mailq da vacío.
3) tail -f /var/log/apache/error.log
[Espero]
4) De golpe, en los logs del apache tengo:
[Sun Jun 1 11:43:09 2008] [error] [client 64.151.82.172] File does
not exist: /var/www/custom_www/dsitelecom.com/www/http://
www.geocities.com/sam_osagie01/fire4fire.html
[Sun Jun 1 11:44:14 2008] [error] [client 64.151.82.172] File does
not exist: /var/www/custom_www/dsitelecom.com/www/http://
www.geocities.com/sam_osagie01/fire4fire.html
5) mailq da centenares de mails.

He accedido a http://www.geocities.com/sam_osagie01/fire4fire.html y
es un formulario con campos para hacer spam (contenido, from, lista de
destinatarios, etc)

He mirado en /var/www/custom_www/dsitelecom.com/www/ y los index son
míos y no hay ningún .htaccess que haga rewrites ni cosas así.

¿Alguien sabe cuál es el mecanismo por el cual (léase "cómo narices")
me están metiendo el spam saliente?

Bueno, hasta donde he podido descubrir, ME COLOCAN miles de mails en
el mailq con sólo acceder a una URL inválida:

1) Borro TODA la cola del post-fix.
2) mailq da vacío.
3) tail -f /var/log/apache/error.log
[Espero]
4) De golpe, en los logs del apache tengo:
[Sun Jun 1 11:43:09 2008] [error] [client 64.151.82.172] File does
not exist: /var/www/custom_www/dsitelecom.com/www/http://
www.geocities.com/sam_osagie01/fire4fire.html
[Sun Jun 1 11:44:14 2008] [error] [client 64.151.82.172] File does
not exist: /var/www/custom_www/dsitelecom.com/www/http://
www.geocities.com/sam_osagie01/fire4fire.html
5) mailq da centenares de mails.

He accedido a http://www.geocities.com/sam_osagie01/fire4fire.html y
es un formulario con campos para hacer spam (contenido, from, lista de
destinatarios, etc)

He mirado en /var/www/custom_www/dsitelecom.com/www/ y los index son
míos y no hay ningún .htaccess que haga rewrites ni cosas así.

¿Alguien sabe cuál es el mecanismo por el cual (léase "cómo narices")
me están metiendo el spam saliente?

xmontero <xmontero***dsitelecom.com> wrote:
: Bueno, hasta donde he podido descubrir, ME COLOCAN miles de mails en
: el mailq con sólo acceder a una URL inválida:

: 4) De golpe, en los logs del apache tengo:
: [Sun Jun 1 11:43:09 2008] [error] [client 64.151.82.172] File does
: not exist: /var/www/custom_www/dsitelecom.com/www/http://
: www.geocities.com/sam_osagie01/fire4fire.html

Eso son intentos (infructuosos) de utilizar tu servidor
web como proxy, no es preocupante.

: 5) mailq da centenares de mails.

De donde?
hacia donde?
Con que texto?

Sin mas datos, yo diria que son dos hechos totalmente independientes...

: ¿Alguien sabe cuál es el mecanismo por el cual (léase "cómo narices")
: me están metiendo el spam saliente?

harian falta mas datos...

--
PGP and other useless info at \
http://webdiis.unizar.es/~spd/ \
finger://daphne.cps.unizar.es/spd \ Timeo Danaos et dona ferentes
ftp://ivo.cps.unizar.es/pub/ \ (Virgilio)

xmontero <xmontero***dsitelecom.com> wrote:
: Bueno, hasta donde he podido descubrir, ME COLOCAN miles de mails en
: el mailq con sólo acceder a una URL inválida:

: 4) De golpe, en los logs del apache tengo:
: [Sun Jun 1 11:43:09 2008] [error] [client 64.151.82.172] File does
: not exist: /var/www/custom_www/dsitelecom.com/www/http://
: www.geocities.com/sam_osagie01/fire4fire.html

Eso son intentos (infructuosos) de utilizar tu servidor
web como proxy, no es preocupante.

: 5) mailq da centenares de mails.

De donde?
hacia donde?
Con que texto?

Sin mas datos, yo diria que son dos hechos totalmente independientes...

: ¿Alguien sabe cuál es el mecanismo por el cual (léase "cómo narices")
: me están metiendo el spam saliente?

harian falta mas datos...

--
PGP and other useless info at \
http://webdiis.unizar.es/~spd/ \
finger://daphne.cps.unizar.es/spd \ Timeo Danaos et dona ferentes
ftp://ivo.cps.unizar.es/pub/ \ (Virgilio)

xmontero <xmontero***dsitelecom.com> wrote:
: Bueno, hasta donde he podido descubrir, ME COLOCAN miles de mails en
: el mailq con sólo acceder a una URL inválida:

: 4) De golpe, en los logs del apache tengo:
: [Sun Jun 1 11:43:09 2008] [error] [client 64.151.82.172] File does
: not exist: /var/www/custom_www/dsitelecom.com/www/http://
: www.geocities.com/sam_osagie01/fire4fire.html

Eso son intentos (infructuosos) de utilizar tu servidor
web como proxy, no es preocupante.

: 5) mailq da centenares de mails.

De donde?
hacia donde?
Con que texto?

Sin mas datos, yo diria que son dos hechos totalmente independientes...

: ¿Alguien sabe cuál es el mecanismo por el cual (léase "cómo narices")
: me están metiendo el spam saliente?

harian falta mas datos...

--
PGP and other useless info at \
http://webdiis.unizar.es/~spd/ \
finger://daphne.cps.unizar.es/spd \ Timeo Danaos et dona ferentes
ftp://ivo.cps.unizar.es/pub/ \ (Virgilio)