Title: Logs estranhos
Post by: Wuefez on 06 de September , 2008, 11:50:57 PM
Post by: Wuefez on 06 de September , 2008, 11:50:57 PM
Eu tive um server meu hackeado esses dias e a unica coisa estranha que eu consegui achar até agora foi nos logs do Apache:
Eu nem acho que isso tenha alguma relação com o ataque, mas fiquei curioso mesmo quando vi esses logs...
Code Select
58.8.141.15 - - [06/Sep/2008:03:23:53 -0500] "y\xaaK\xe5\xea`@\x1a^Y'*(\x9d\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab \xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb \xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6" 400 364
124.157.239.22 - - [06/Sep/2008:03:25:21 -0500] "GET /8SE/11?MI=87f5dc83238647a69b84d65e089c09bf&LV=3.1.0.68&AG=T14128&IS=MSGR&TE=1&TV=tmen-us%7Cts20080907032448%7Crf1%7Csq7%7Cyp507%7Cyc71.51%7Cwi2752818%7Ceuhttp%3A%2F%2Fwww.hi5.com%2Ffriend%2Fprofile%2FdeleteScrapbookEntry.do%3FfromId%3D323871695%26userId%3D323871695%26entryId%3D187959174 HTTP/1.1" 404 1122
58.8.141.15 - - [06/Sep/2008:03:25:53 -0500] "\x8a\x9d\x80\x9b\x970\x88\xc8g\x96\tN?h\xe0`\xcb\x88\xe2\xac\xb2\x12\xe7\xd6\xdf\xff[\xb9K?I\xc9\xfbP\x14\xd7\xdaA\xab\xacS\xcd\x88y,\xd4,+#\xc4\xf2\xcc\xc8Q\vv\xdc\xbb\xbe\xfb\x1fI\xcb\xe7rj\xf5.\x8f\xc2D\tF\x1e!8\xd9m?ODF\xd3!C\x9e\x9f\xf8\xf7\xf0Q\x1b\xf1\xb1\xfc\xccC\xe5D]\x1a\x1f\xb3\xfb+\xc9\"2\xe0\xb8\x14\x7f2\x97\xc3&E\x1eP\xe2\xf6;\\\xab\xc73\vlk\xf5\xdd\xa1EM\x85_\xbf\xe5\xc4Q\xccvf\xbdb\xa3\xb2\x95\xa6\xad\xf5\x02\x8494\x9d\xf5l\xb6\xb7\xda\xf3\xbe\xf8\xc8\x1d?\xc1\x85\xf6\xbal\x95%D\xa4\x9b\xa7h>\x9a:g\x1f<\x90\bV\xe4\xf0\xd1\x04\xb5\x1a\x12\xb8\xe4'\x84n\xb7'\t-2\x81\xe5\xea\x9b\xf2\xec
Que site é esse aew, o www.ri5.com (http://www.ri5.com) ? Tipo um Orkut da vida?
Title: Re: Logs estranhos
Post by: ÐλяkFeλя on 10 de September , 2008, 11:14:17 AM
Post by: ÐλяkFeλя on 10 de September , 2008, 11:14:17 AM
Quote from: "ÐarkSpawn"A segunda linha até parece aqueles códigos para sites de relacionamentos...
Que site é esse aew, o www.ri5.com (http://www.ri5.com) ? Tipo um Orkut da vida? 8) 8) 8)
Eu odeio covardia!!!
Hahsuahsua, tbm odeio covardia...rsrsrsrs. Pior que essa merdia ta encodado mesmo....
fear...
Title: Re: Logs estranhos
Post by: Ðark$pawn on 10 de September , 2008, 11:20:59 AM
Post by: Ðark$pawn on 10 de September , 2008, 11:20:59 AM
Quote from: "Dark Fear"Quote from: "ÐarkSpawn"A segunda linha até parece aqueles códigos para sites de relacionamentos...
Que site é esse aew, o www.ri5.com (http://www.ri5.com) ? Tipo um Orkut da vida? ;)
Title: Re: Logs estranhos
Post by: Reeves on 10 de September , 2008, 11:58:07 AM
Post by: Reeves on 10 de September , 2008, 11:58:07 AM
na minha opinião isso ai:
\x9d\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab \xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb \xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6
é shellcode para explorar uma possivel falha...
mas como pode ver ao fim das linhas... foi retornado o codigo de erro 400, ou seja... apenas uma tentativa.
esses 2 ips.. são routers
58.8.141.15 e 124.157.239.22
no caso do 124.157.239.22 que é um router ZyXEL
está realmente muito exposto... alem de que existe XPL para ele...
olha o que vi sobre o 124.157.239.22
-- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - --
WAN Information
- DSL Mode: ADSL_G.dmt
- IP Address: 124.157.239.22
- IP Subnet Mask: 255.255.255.255
- Default Gateway: N/A
- VPI/VCI: 0/33
LAN Information
- IP Address: 192.168.1.1
- IP Subnet Mask: 255.255.255.0
- DHCP: Server
System Uptime: 26:21:46
Current Date/Time: 04/19/2008
System Mode: Routing / Bridging
Interesting ports on adsl-124.157.239-22.dynamic.tttmaxnet.com (124.157.239.22):
Not shown: 1690 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
264/tcp open bgmp
500/tcp open isakmp
2002/tcp filtered globe
8080/tcp open http-proxy
-- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - --
enfim..
o que vc quer fazer? identificar o kra?
é um servidor linux mesmo?
rola + logs ?
sendo um servidor linux...
só por verificar
veja: cat /etc/passwd
veriique se não há contas 'estranhas' recem criadas
rola um: cat /root/.bash_history
e um: cat /home//.bash_history
também rola um: find . -mtime +2 ( buscar arquivos criados nos ultimos 2 dias, use isso pensando a quantos dias foi feito o atack... quem sabe não acha uma shell.php no seu apache... )
e tbm...
eu usaria o CHKRootKit (//http://www.google.com.br/url?q=http://www.chkrootkit.org/download/&sa=X&oi=smap&resnum=1&ct=result&cd=1&usg=AFQjCNH2PJKTdTQSyABsfEyxJFRaJfCR6g)
para uma verificação de como está o seu servidor após o atack.. caso queira post os logs!!!
é isso;
Abraços!
\x9d\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab \xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb \xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6
é shellcode para explorar uma possivel falha...
mas como pode ver ao fim das linhas... foi retornado o codigo de erro 400, ou seja... apenas uma tentativa.
esses 2 ips.. são routers
58.8.141.15 e 124.157.239.22
no caso do 124.157.239.22 que é um router ZyXEL
está realmente muito exposto... alem de que existe XPL para ele...
olha o que vi sobre o 124.157.239.22
-- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - --
WAN Information
- DSL Mode: ADSL_G.dmt
- IP Address: 124.157.239.22
- IP Subnet Mask: 255.255.255.255
- Default Gateway: N/A
- VPI/VCI: 0/33
LAN Information
- IP Address: 192.168.1.1
- IP Subnet Mask: 255.255.255.0
- DHCP: Server
System Uptime: 26:21:46
Current Date/Time: 04/19/2008
System Mode: Routing / Bridging
Interesting ports on adsl-124.157.239-22.dynamic.tttmaxnet.com (124.157.239.22):
Not shown: 1690 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
264/tcp open bgmp
500/tcp open isakmp
2002/tcp filtered globe
8080/tcp open http-proxy
-- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - -- -- - --
enfim..
o que vc quer fazer? identificar o kra?
é um servidor linux mesmo?
rola + logs ?
sendo um servidor linux...
só por verificar
veja: cat /etc/passwd
veriique se não há contas 'estranhas' recem criadas
rola um: cat /root/.bash_history
e um: cat /home/
também rola um: find . -mtime +2 ( buscar arquivos criados nos ultimos 2 dias, use isso pensando a quantos dias foi feito o atack... quem sabe não acha uma shell.php no seu apache... )
e tbm...
eu usaria o CHKRootKit (//http://www.google.com.br/url?q=http://www.chkrootkit.org/download/&sa=X&oi=smap&resnum=1&ct=result&cd=1&usg=AFQjCNH2PJKTdTQSyABsfEyxJFRaJfCR6g)
para uma verificação de como está o seu servidor após o atack.. caso queira post os logs!!!
é isso;
Abraços!
Title: Re: Logs estranhos
Post by: blackwinner on 10 de September , 2008, 01:38:58 PM
Post by: blackwinner on 10 de September , 2008, 01:38:58 PM
É Reeves, a principio eu não acreditei que isso poderia ser um shellcode.
Mas depois eu upei meu ambiente de testes e puxei meu dbger.
O interessante é que eu vi que ele começa exatamente como um payload, chamando EAX e depois gerando um jmp negativo pra evitar bytes nulos. o0
Mas ainda, tem muitos caracteres estranhos, se o pl estivesse encodado eu entenderia mas não parece estar.
Mas o estranho é que ele parece em alguma cituações, estar usando variáveis já declaradas, típico de um shellcode.
Eu sei que não da pra simular o ambiente pro qual o payload foi desenvolvido, por isso eu fiz algo bem simples:
Só procurando uma tabela de dados ou um decoder... mas nada. :\
Enfim, cheguei a conclusão de que deve ter sido um shellcode desenvolvido por terceiros que veio cheio de "traps" pra não rodar.. mas fica ai a dúvida. :\
Black, tem muita gente que frequenta esse forum e conhece a luzinha.. inclusive a bruna... então não acho que seja alguma conspiração não. =P
Mas depois eu upei meu ambiente de testes e puxei meu dbger.
O interessante é que eu vi que ele começa exatamente como um payload, chamando EAX e depois gerando um jmp negativo pra evitar bytes nulos. o0
Mas ainda, tem muitos caracteres estranhos, se o pl estivesse encodado eu entenderia mas não parece estar.
Mas o estranho é que ele parece em alguma cituações, estar usando variáveis já declaradas, típico de um shellcode.
Eu sei que não da pra simular o ambiente pro qual o payload foi desenvolvido, por isso eu fiz algo bem simples:
Code Select
void main()
{
char cd5[] =
"y\xaaK\xe5\xea`@\x1a^Y'*(\x9d"
"\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5"
"\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10"
"\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96"
"\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3"
"\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab "
"\xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae"
"\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb "
"\xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&"
"\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6";
void (*pFunc) ();
pFunc = (void (*) () )&cd5;
pFunc();
}
Só procurando uma tabela de dados ou um decoder... mas nada. :\
Enfim, cheguei a conclusão de que deve ter sido um shellcode desenvolvido por terceiros que veio cheio de "traps" pra não rodar.. mas fica ai a dúvida. :\
Black, tem muita gente que frequenta esse forum e conhece a luzinha.. inclusive a bruna... então não acho que seja alguma conspiração não. =P
Title: Re: Logs estranhos
Post by: blackwinner on 10 de September , 2008, 09:37:00 PM
Post by: blackwinner on 10 de September , 2008, 09:37:00 PM
Se for porque você ta usando um windows, baixa o winpcap pra poder usar raw sockets no windows, ai tu usa um soft qualquer como o pp>http://www.pingplotter.com/download.html (http://www.pingplotter.com/download.html)
O meu pc é novo aqui e a net esta incrivelmente lenta hoje(0,4 kbps o0).
Então pra baixar isso hoje, vai ser uma droga. \=
Se não quiser baixar, amanhã eu faço isso pra tu. =P
O meu pc é novo aqui e a net esta incrivelmente lenta hoje(0,4 kbps o0).
Então pra baixar isso hoje, vai ser uma droga. \=
Se não quiser baixar, amanhã eu faço isso pra tu. =P
Title: Re: Logs estranhos
Post by: Wuefez on 13 de September , 2008, 02:38:14 PM
Post by: Wuefez on 13 de September , 2008, 02:38:14 PM
Acho dificil ser shell code, o formato é estranho..
Sendo que bug seria esse? Overflow 0day no Apache 2.2?
Sendo que bug seria esse? Overflow 0day no Apache 2.2?