雖然系統上的 openwebmail 已經修補起來了,但比較麻煩的是在
Forum: 0 day rumors 有人提到,OpenWebmail 還有一兩個 remote exploit 還有 local root exploit 尚未被發表。什麼時候會爆出來還不知道,希望到時候不會哀鴻遍野。
接下來的工作是追查入侵來源,以及系統內到底被修改了多少東西。這是很冒險的作法,比較快的方法是立刻重灌 (最安全的方法)。但我實在想知道這個入侵我們機器的駭客到底在想什麼,以及他還有沒有什麼絕招可以學的。
[[MORE]]
我又在 /var/tmp/.tmp 裡頭發現一個新的後門程式。owner 一樣是 www,從這裡可以發現,駭客大概還沒有拿到系統的 root (最高管理者帳號)。這裡有一個檔案:
-rwxr-xr-x 1 www wheel 206516 Aug 27 03:17 perlmail
是一個被編譯過的可執行檔。但我去分析裡面的內容之後,發現它是一個 IRC 用的 file server 的偽裝,這個軟體的名字叫做:
iroffer。引述該網站上的話:
What is iroffer?
iroffer is a software program that acts as a fileserver for IRC. It is similar to a FTP server or WEB server, but users can download files using the DCC protocol of IRC instead of a web browser.
Unlike similar programs, iroffer is not a script, it is a standalone executable written entirely in c from scratch with high transfer speed and effeciency in mind. iroffer has been found to transfer over 50MByte/sec over a gigabit ethernet connection.
駭客還蠻聰明的,既然他只能拿到 www 的權限,那後門當然得偽裝成 www 有在持續執行的東西,才不會被發現。但也有人這麼說:除了系統啟動檔或軟體設定用的目錄之外,凡是用 . 開頭的資料夾通常有鬼。這個駭客就把他的東西放在一個 .tmp 的資料夾中。
/var/tmp/.tmp 資料夾內容如下:
-rw-r--r-- 1 www wheel 6 Sep 4 23:46 admin.pid
-rw-r--r-- 1 www wheel 1004 Aug 27 03:17 httpd
-rw-r--r-- 1 www wheel 164 Nov 8 00:46 mybot.state
-rw-r--r-- 1 www wheel 164 Nov 8 00:46 mybot.state~
-rwxr-xr-x 1 www wheel 206516 Aug 27 03:17 perlmail*
drwxr-xr-x 2 www wheel 512 Aug 27 03:16 up/
看一下 admin.pid 裡面只有一個數字: 54136
代表的是這個執行中的後門程序:
power# ps ax | grep 54136
www 54136 ./perlmail -s -n -b httpd
查了一下 54136 的程序:
power# lsof -p 54136
lsof: WARNING: compiled for FreeBSD release 4.9-STABLE; this is 4.10-STABLE.
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
perlmail 54136 www cwd VDIR 13,131076 512 253959 /var/tmp/.tmp
perlmail 54136 www rtd VDIR 13,131072 512 2 /
perlmail 54136 www txt VREG 13,131076 206516 253996 /var/tmp/.tmp/perlmail
perlmail 54136 www txt VREG 13,131077 85876 492140 /usr/libexec/ld-elf.so.1
perlmail 54136 www txt VREG 13,131077 28432 342286 /usr/lib/libcrypt.so.2
perlmail 54136 www txt VREG 13,131077 580604 342352 /usr/lib/libc.so.4
perlmail 54136 www 0u VCHR 2,2 0t0 7823 /dev/null
perlmail 54136 www 1u VCHR 2,2 0t0 7823 /dev/null
perlmail 54136 www 2u VCHR 2,2 0t0 7823 /dev/null
perlmail 54136 www 3u IPv4 0t0 TCP no PCB, CANTSENDMORE, CANTRCVMORE
perlmail 54136 www 4u unix 0xd098c920 0t0 ->(none)
perlmail 54136 www 7u unix 0xd09c7400 0t0 ->(none)
目前正在執行中的後門程式:
power# ps ax | grep perlmail
www 24643 ./perlmail -s -n -b httpd
www 54136 ./perlmail -s -n -b httpd
www 66177 ./perlmail -s -n -b httpd
www 66435 ./perlmail -s -n -b httpd
有趣的是,同一個目錄中的 httpd 竟然是一個 ASCII 的純文字檔,應該就是 iroffer 的設定檔。也就因為它是一個純文字的設定檔,所以這個後門的設定開始逐漸明朗起來...