Serveurs hackés par botnet chez OVH
jeudi 10 juillet 2014 à 07:18 Ecirtam, le 09/07/2014 à 16:42
2 des serveurs de ma société, se trouvant chez OVH, ont été victime d'un botnet.
Je vous livre mon analyse des logs.
J'ai découvert que l’attaquant exploitais une faille apache-cgi puis téléchargeais 2 scripts :
http://188.165.136.196/new.txt
(copie : http://sebsauvage.net/paste/?0efa5ffbf96d7005#gcclK9rOwSlKhjaiIuv57NsMZzSUwpzetEKNOsbBwHs= )
http://91.121.21.139/stuff/root/e.pl
(copie : http://sebsauvage.net/paste/?cd95f59050539318#e8x53EoMjDFVO/GxQUdYLO0c7q/IzhNP3LmDU2WBl80= )
new.txt est un script perl qui se connecte au serveur IRC 178.32.139.233 sur le salon #apa2.
C'est de là que sont envoyés les commandes par l'utilisateur eth.
( username:admin@LndTm.it
real name:ifconfig eth0
server:irc.uniroma2.mil.nf (uniroma2 IRCd) ( 91.121.21.139 )
)
new.txt permet d'exécuter n'importe quel commande sur le serveur infecté. Il fait aussi du scan réseau.
Infos sur le serveur IRC :
:irc.got-root.eu 005 eth0 INVEX :are supported by this server
:irc.got-root.eu 251 eth0 :There are 16 users and 5900 invisible on 3 servers
:irc.got-root.eu 252 eth0 3 :operator(s) online
:irc.got-root.eu 253 eth0 2 :unknown connection(s)
:irc.got-root.eu 254 eth0 26 :channels formed
:irc.got-root.eu 255 eth0 :I have 575 clients and 1 servers
:irc.got-root.eu 265 eth0 :Current Local Users: 575 Max: 729
:irc.got-root.eu 266 eth0 :Current Global Users: 5916 Max: 6773
:irc.got-root.eu 375 eth0 :- irc.got-root.eu Message of the Day -
:irc.got-root.eu 372 eth0 :- 4/7/2014 12:45
e.pl est un script perl qui télécharge tout les outils d'exploitation de fails à partir du site http://suse.altervista.org.
Il y a de tout. Du C, du python du shell et des binaires compilés sous différents linux.
Les IP 188.165.136.196, 91.121.21.139 et 178.32.139.233 se trouvent chez OVH.
J'ai prévenu OVH ce matin mais ces serveurs sont toujours là.
Je vous joins aussi le résultat nmap sur ces IPs : http://sebsauvage.net/paste/?d4b839e30184dec0#W+tOzDiOyRap4aKIIqYPFjOqCeXSxhOGFP9gmOt1Oa8=
Si quelqu'un arrive à faire tomber ce botnet, ça serait cool.
Si vous voulez vous connecter au serveur IRC, eth banni tout ceux qui ne répond pas correctement à ces commandes qui commences par "^^"
Les admins du botnet sont argv, unixroot et eth.
J'ai modifier le script new.txt pour se connecter à l'IRC comme les bots :
http://sebsauvage.net/paste/?d7bc0f4dad735540#yeBQMinY4gfQfJ+BFJWueqZnerQJcBB19Z8Dq8agpSM=
Le problème de mon script est qu'il ne répond pas à ces commandes donc je me suis fait ban.
Surtout faites très attentions à ces programmes. Ne les exécuter pas en dehors d'une VM !
Je suis dispo sur https://shaarli.fr/jappix-1.0.7/?r=shaarli@conference.dukgo.com pour toutes questions.
(Permalink)
Mitsu, le 09/07/2014 à 17:56
Merci pour l'alerte, Oros ! Je fais tourner.
Méfiance avec les configurations trop uniformes: Apache étant utilisé un peu partout, il est très intéressant de trouver et exploiter ses failles avant qu'elles soient corrigées. Si définir le rewriting et les redirections en vhost-config plutôt que dans des .htaccess ne vous dérange pas, optez pour les excellents Lighttpd et Nginx. Cherokee a l'argument d'une jolie interface web de configuration, à ceci près qu'il est pas beaucoup développé ni dispo packagé.
(Permalink)
Sebsauvage, le 10/07/2014 à 07:18
Si vous êtes chez OVH, regardez si votre instance ne se serait pas faite pirater.
(Permalink)
2 des serveurs de ma société, se trouvant chez OVH, ont été victime d'un botnet.
Je vous livre mon analyse des logs.
J'ai découvert que l’attaquant exploitais une faille apache-cgi puis téléchargeais 2 scripts :
http://188.165.136.196/new.txt
(copie : http://sebsauvage.net/paste/?0efa5ffbf96d7005#gcclK9rOwSlKhjaiIuv57NsMZzSUwpzetEKNOsbBwHs= )
http://91.121.21.139/stuff/root/e.pl
(copie : http://sebsauvage.net/paste/?cd95f59050539318#e8x53EoMjDFVO/GxQUdYLO0c7q/IzhNP3LmDU2WBl80= )
new.txt est un script perl qui se connecte au serveur IRC 178.32.139.233 sur le salon #apa2.
C'est de là que sont envoyés les commandes par l'utilisateur eth.
( username:admin@LndTm.it
real name:ifconfig eth0
server:irc.uniroma2.mil.nf (uniroma2 IRCd) ( 91.121.21.139 )
)
new.txt permet d'exécuter n'importe quel commande sur le serveur infecté. Il fait aussi du scan réseau.
Infos sur le serveur IRC :
:irc.got-root.eu 005 eth0 INVEX :are supported by this server
:irc.got-root.eu 251 eth0 :There are 16 users and 5900 invisible on 3 servers
:irc.got-root.eu 252 eth0 3 :operator(s) online
:irc.got-root.eu 253 eth0 2 :unknown connection(s)
:irc.got-root.eu 254 eth0 26 :channels formed
:irc.got-root.eu 255 eth0 :I have 575 clients and 1 servers
:irc.got-root.eu 265 eth0 :Current Local Users: 575 Max: 729
:irc.got-root.eu 266 eth0 :Current Global Users: 5916 Max: 6773
:irc.got-root.eu 375 eth0 :- irc.got-root.eu Message of the Day -
:irc.got-root.eu 372 eth0 :- 4/7/2014 12:45
e.pl est un script perl qui télécharge tout les outils d'exploitation de fails à partir du site http://suse.altervista.org.
Il y a de tout. Du C, du python du shell et des binaires compilés sous différents linux.
Les IP 188.165.136.196, 91.121.21.139 et 178.32.139.233 se trouvent chez OVH.
J'ai prévenu OVH ce matin mais ces serveurs sont toujours là.
Je vous joins aussi le résultat nmap sur ces IPs : http://sebsauvage.net/paste/?d4b839e30184dec0#W+tOzDiOyRap4aKIIqYPFjOqCeXSxhOGFP9gmOt1Oa8=
Si quelqu'un arrive à faire tomber ce botnet, ça serait cool.
Si vous voulez vous connecter au serveur IRC, eth banni tout ceux qui ne répond pas correctement à ces commandes qui commences par "^^"
Les admins du botnet sont argv, unixroot et eth.
J'ai modifier le script new.txt pour se connecter à l'IRC comme les bots :
http://sebsauvage.net/paste/?d7bc0f4dad735540#yeBQMinY4gfQfJ+BFJWueqZnerQJcBB19Z8Dq8agpSM=
Le problème de mon script est qu'il ne répond pas à ces commandes donc je me suis fait ban.
Surtout faites très attentions à ces programmes. Ne les exécuter pas en dehors d'une VM !
Je suis dispo sur https://shaarli.fr/jappix-1.0.7/?r=shaarli@conference.dukgo.com pour toutes questions.
(Permalink)
Mitsu, le 09/07/2014 à 17:56
Merci pour l'alerte, Oros ! Je fais tourner.
Méfiance avec les configurations trop uniformes: Apache étant utilisé un peu partout, il est très intéressant de trouver et exploiter ses failles avant qu'elles soient corrigées. Si définir le rewriting et les redirections en vhost-config plutôt que dans des .htaccess ne vous dérange pas, optez pour les excellents Lighttpd et Nginx. Cherokee a l'argument d'une jolie interface web de configuration, à ceci près qu'il est pas beaucoup développé ni dispo packagé.
(Permalink)
Sebsauvage, le 10/07/2014 à 07:18
Si vous êtes chez OVH, regardez si votre instance ne se serait pas faite pirater.
(Permalink)