[freebsd] Странная запись в crontab

dangerr



* * * * * /usr/games/.mc/update >/dev/null 2>&1

Вот такую запись обнаружил в кронтабе рута
В гугле ничего по запросу "/usr/games/.mc/update" не находится
Раз уж оно каждую секунду само запускается, решил запустить:



# /usr/games/.mc/update

ELF binary type "0" not known.

-sh: 1: Syntax error: "(" unexpected

Что это за хрень может быть? Неудачно вставший руткит? (тфу-тфу-тфу). Или это нормально? :crazy:

Сейчас удалил запись и задаюсь извечным вопросом "Что делать?".

AlexV769

file /usr/games/.mc/update

Filan

Раз уж оно каждую секунду само запускается, решил запустить:

Минуту, а не секунду.

dangerr

Это оказался обычный shell-скрипт. Содержание:



#!/bin/sh

if test -r /usr/games/.mc/pid; then

pid=$(cat /usr/games/.mc/pid)

if $(kill -CHLD $pid >/dev/null 2>&1)

then

exit 0

fi

fi

cd /usr/games/.mc

./run &>/dev/null

Файла /usr/games/.mc/pid не существует.
Файл /usr/games/.mc/run оказался тоже shell-скрпитом:



#!/bin/sh

export PATH=.

-sh

файл -sh удалось увидеть только после гуглинга (все команды думали, что я передаю параметры -s -h и ругались)



# file -- -sh

-sh: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV dynamically linked (uses shared libs for GNU/Linux 2.2.5, not stripped

То есть откуда-то на фряхе взялся бинарник для GNU/Linux.
вот, кстати содержимое директории:



[ofme /usr/games/.mc]# ls -al 

total 3296

-rwx------  1 mailnull  mailnull  380590 May  3  2009 -sh

drwxr-xr-x  3 mailnull  mailnull     512 Nov 14  2010 .

drwxr-xr-x  4 root      wheel        512 Nov 14  2010 ..

-rwxr-xr-x  1 mailnull  mailnull     286 Nov 14  2010 1.user

-rwxr-xr-x  1 mailnull  mailnull     286 Nov 14  2010 2.user

-rwxr-xr-x  1 mailnull  mailnull     299 May  3  2009 autorun

-rwx--x--x  1 mailnull  mailnull  377774 May  3  2009 bsd

-rwxr-xr-x  1 mailnull  mailnull    1341 Nov 14  2010 cfg

-rw-r--r--  1 root      mailnull      48 Nov 14  2010 cron

-rw-r--r--  1 root      mailnull      15 Nov 14  2010 dir

-rwxr-xr-x  1 mailnull  mailnull   22882 May 16  2003 help

-rwxr-xr-x  1 mailnull  mailnull  167964 Mar 16  2001 pico

drwxr-xr-x  2 mailnull  mailnull     512 Aug  7  2010 r

-rwxr-xr-x  1 mailnull  mailnull      28 May  3  2009 run

-rwxr--r--  1 root      mailnull     168 Nov 14  2010 update

-rwxr-xr-x  1 mailnull  mailnull   28489 May  3  2009 xh

-rwxr-xr-x  1 mailnull  mailnull  377774 Apr 21  2009 zmeu-bsd

-rwxr-xr-x  1 mailnull  mailnull  418402 Apr 21  2009 zmeu-bsd2

-rwxr-xr-x  1 mailnull  mailnull  549984 Apr 21  2009 zmeu-darwin

-rwxr-xr-x  1 mailnull  mailnull  380590 Apr 21  2009 zmeu-unix

-rwxr-xr-x  1 mailnull  mailnull  449025 Apr 21  2009 zmeu-unix2

[ofme /usr/games/.mc]# ls -al r

total 136

drwxr-xr-x  2 mailnull  mailnull    512 Aug  7  2010 .

drwxr-xr-x  3 mailnull  mailnull    512 Nov 14  2010 ..

-rwxr-xr-x  1 mailnull  mailnull    309 Aug 29  2010 away

-rwxr-xr-x  1 mailnull  mailnull   3982 Oct 30  2006 insult

-rwxr-xr-x  1 mailnull  mailnull    458 Jan  4  1980 kicks

-rwxr-xr-x  1 mailnull  mailnull    990 Jan  4  1980 nicks

-rwxr-xr-x  1 mailnull  mailnull   2495 Oct 30  2006 pickup

-rwxr-xr-x  1 mailnull  mailnull  55316 Oct 30  2006 say

-rwxr-xr-x  1 mailnull  mailnull   3651 Oct 30  2006 signoff

-rwxr-xr-x  1 mailnull  mailnull  55316 Oct 30  2006 tsay

-rwxr-xr-x  1 mailnull  mailnull   1470 May  1  2009 versions

dangerr

Минуту, а не секунду.

Спасибо за фикс, но от этого не легче.

Filan

-rwxr-xr-x 1 mailnull mailnull 377774 Apr 21 2009 zmeu-bsd
-rwxr-xr-x 1 mailnull mailnull 418402 Apr 21 2009 zmeu-bsd2
-rwxr-xr-x 1 mailnull mailnull 549984 Apr 21 2009 zmeu-darwin
-rwxr-xr-x 1 mailnull mailnull 380590 Apr 21 2009 zmeu-unix
-rwxr-xr-x 1 mailnull mailnull 449025 Apr 21 2009 zmeu-unix2

http://w2a.ru/blog/infosec/1200.html

serega1604

>файл -sh удалось увидеть только после гуглинга (все команды думали, что я передаю параметры -s -h и ругались)
есть общее решение таких проблем

./-sh

dangerr

В связи с тем, что владельцем большинства файлов является пользователь для Sendmail, надо добавить, что у меня установлен postfix-2.8.2,1 cyrus-sasl-2.1.23_3 и cyrus-sasl-saslauthd-2.1.23
А для работы POP3, я сделал так:



# cat /usr/local/etc/rc.d/qpopper.sh 

#!/bin/sh



case "$1" in

start)

    /usr/local/libexec/qpopper -s -S

    ;;

stop)

    ;;

*)

    ;;

esac



exit 0

Наверное, последнее не очень секьюрное решение. Может в нём и проблема?

dangerr

Там как-то не очень много информации. Ему всего-лишь ломятся через веб, а у меня такие файлы лежат в fs и как-то попали в кронтаб рута.

serega1604

ну, там только ломятся, а к тебе уже проломились, видимо :smirk:

dangerr

Спасибо, кэп.
Что теперь делать-то?

serega1604

читать логи всего и вся, например, почитать списки рассылки того, на что грешишь.

dangerr

В очень древних логах апача (за 9й год) нашёл запросы с агентом "ZmEu" и 404 ошибкой.
Думаю, вряд ли тогда ему могло удаться проломиться, так как на тот момент на веб-сервере висел только статичный сайт. Также был phpmyadmin, но к нему доступ только с определённого набора IP имелся.
В современных логах такого юзер-агента не наблюдается.

dangerr

Хотя там некоторые файлы 9-го года модификации.
Неужели я столько времени это не замечал... :crazy:

saveliev_a

Неужели я столько времени это не замечал...

Мощный удар по чувству защищенности.

sergey_m

Помимо qpopper и phpmyadmin ещё может быть просто пользователь со слабым паролем.
А рута уже получить из него можно было с помощью http://security.freebsd.org/advisories/FreeBSD-SA-09:16.rtld...

Оставить комментарий