駭客入侵事件簿2

雖然系統上的 openwebmail 已經修補起來了，但比較麻煩的是在 Forum: 0 day rumors 有人提到，OpenWebmail 還有一兩個 remote exploit 還有 local root exploit 尚未被發表。什麼時候會爆出來還不知道，希望到時候不會哀鴻遍野。

接下來的工作是追查入侵來源，以及系統內到底被修改了多少東西。這是很冒險的作法，比較快的方法是立刻重灌 (最安全的方法)。但我實在想知道這個入侵我們機器的駭客到底在想什麼，以及他還有沒有什麼絕招可以學的。

[[MORE]]
我又在 /var/tmp/.tmp 裡頭發現一個新的後門程式。owner 一樣是 www，從這裡可以發現，駭客大概還沒有拿到系統的 root （最高管理者帳號）。這裡有一個檔案：

-rwxr-xr-x 1 www wheel 206516 Aug 27 03:17 perlmail

是一個被編譯過的可執行檔。但我去分析裡面的內容之後，發現它是一個 IRC 用的 file server 的偽裝，這個軟體的名字叫做： iroffer。引述該網站上的話：

What is iroffer?
iroffer is a software program that acts as a fileserver for IRC. It is similar to a FTP server or WEB server, but users can download files using the DCC protocol of IRC instead of a web browser.

Unlike similar programs, iroffer is not a script, it is a standalone executable written entirely in c from scratch with high transfer speed and effeciency in mind. iroffer has been found to transfer over 50MByte/sec over a gigabit ethernet connection.

駭客還蠻聰明的，既然他只能拿到 www 的權限，那後門當然得偽裝成 www 有在持續執行的東西，才不會被發現。但也有人這麼說：除了系統啟動檔或軟體設定用的目錄之外，凡是用 . 開頭的資料夾通常有鬼。這個駭客就把他的東西放在一個 .tmp 的資料夾中。

/var/tmp/.tmp 資料夾內容如下：
-rw-r--r-- 1 www wheel 6 Sep 4 23:46 admin.pid
-rw-r--r-- 1 www wheel 1004 Aug 27 03:17 httpd
-rw-r--r-- 1 www wheel 164 Nov 8 00:46 mybot.state
-rw-r--r-- 1 www wheel 164 Nov 8 00:46 mybot.state~
-rwxr-xr-x 1 www wheel 206516 Aug 27 03:17 perlmail*
drwxr-xr-x 2 www wheel 512 Aug 27 03:16 up/

看一下 admin.pid 裡面只有一個數字： 54136
代表的是這個執行中的後門程序：
power# ps ax | grep 54136
www 54136 ./perlmail -s -n -b httpd

查了一下 54136 的程序：

power# lsof -p 54136
lsof: WARNING: compiled for FreeBSD release 4.9-STABLE; this is 4.10-STABLE.
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
perlmail 54136 www cwd VDIR 13,131076 512 253959 /var/tmp/.tmp
perlmail 54136 www rtd VDIR 13,131072 512 2 /
perlmail 54136 www txt VREG 13,131076 206516 253996 /var/tmp/.tmp/perlmail
perlmail 54136 www txt VREG 13,131077 85876 492140 /usr/libexec/ld-elf.so.1
perlmail 54136 www txt VREG 13,131077 28432 342286 /usr/lib/libcrypt.so.2
perlmail 54136 www txt VREG 13,131077 580604 342352 /usr/lib/libc.so.4
perlmail 54136 www 0u VCHR 2,2 0t0 7823 /dev/null
perlmail 54136 www 1u VCHR 2,2 0t0 7823 /dev/null
perlmail 54136 www 2u VCHR 2,2 0t0 7823 /dev/null
perlmail 54136 www 3u IPv4 0t0 TCP no PCB, CANTSENDMORE, CANTRCVMORE
perlmail 54136 www 4u unix 0xd098c920 0t0 ->(none)
perlmail 54136 www 7u unix 0xd09c7400 0t0 ->(none)


目前正在執行中的後門程式：

power# ps ax | grep perlmail
www 24643 ./perlmail -s -n -b httpd
www 54136 ./perlmail -s -n -b httpd
www 66177 ./perlmail -s -n -b httpd
www 66435 ./perlmail -s -n -b httpd


有趣的是，同一個目錄中的 httpd 竟然是一個 ASCII 的純文字檔，應該就是 iroffer 的設定檔。也就因為它是一個純文字的設定檔，所以這個後門的設定開始逐漸明朗起來...