Logs estranhos

[Wuefez]

Eu tive um server meu hackeado esses dias e a unica coisa estranha que eu consegui achar até agora foi nos logs do Apache:

Code Select Expand

58.8.141.15 - - [06/Sep/2008:03:23:53 -0500] "y\xaaK\xe5\xea`@\x1a^Y'*(\x9d\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab \xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb \xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6" 400 364

124.157.239.22 - - [06/Sep/2008:03:25:21 -0500] "GET /8SE/11?MI=87f5dc83238647a69b84d65e089c09bf&LV=3.1.0.68&AG=T14128&IS=MSGR&TE=1&TV=tmen-us%7Cts20080907032448%7Crf1%7Csq7%7Cyp507%7Cyc71.51%7Cwi2752818%7Ceuhttp%3A%2F%2Fwww.hi5.com%2Ffriend%2Fprofile%2FdeleteScrapbookEntry.do%3FfromId%3D323871695%26userId%3D323871695%26entryId%3D187959174 HTTP/1.1" 404 1122

58.8.141.15 - - [06/Sep/2008:03:25:53 -0500] "\x8a\x9d\x80\x9b\x970\x88\xc8g\x96\tN?h\xe0`\xcb\x88\xe2\xac\xb2\x12\xe7\xd6\xdf\xff[\xb9K?I\xc9\xfbP\x14\xd7\xdaA\xab\xacS\xcd\x88y,\xd4,+#\xc4\xf2\xcc\xc8Q\vv\xdc\xbb\xbe\xfb\x1fI\xcb\xe7rj\xf5.\x8f\xc2D\tF\x1e!8\xd9m?ODF\xd3!C\x9e\x9f\xf8\xf7\xf0Q\x1b\xf1\xb1\xfc\xccC\xe5D]\x1a\x1f\xb3\xfb+\xc9\"2\xe0\xb8\x14\x7f2\x97\xc3&E\x1eP\xe2\xf6;\\\xab\xc73\vlk\xf5\xdd\xa1EM\x85_\xbf\xe5\xc4Q\xccvf\xbdb\xa3\xb2\x95\xa6\xad\xf5\x02\x8494\x9d\xf5l\xb6\xb7\xda\xf3\xbe\xf8\xc8\x1d?\xc1\x85\xf6\xbal\x95%D\xa4\x9b\xa7h>\x9a:g\x1f<\x90\bV\xe4\xf0\xd1\x04\xb5\x1a\x12\xb8\xe4'\x84n\xb7'\t-2\x81\xe5\xea\x9b\xf2\xec![T\x8f\xec\x80\x8e\x9c\x83\xe4o\xc1\x02\xbf\xbe^\x83Ze\xf1\xa7\xc6\xf3CA-\xa1U\xbb\x86\xdfZ&)\xfd\x9b\x8e\xc7eS\x84\xaa\x7f+\x94\xc3\xe91\xc7\xf8X\x93\xa4-a'\x87\xa4r\x0f\xf8\xb3\x8ahgn#\xff$\xdd\x915\xea\x9f\xd1C\x1a|\x95j\xfaZl\xd1\xcdl@k(-\xe5\xff=~/R\x1e\xdb\xc1" 400 469

Eu nem acho que isso tenha alguma relação com o ataque, mas fiquei curioso mesmo quando vi esses logs...

[Ðark$pawn]

A segunda linha até parece aqueles códigos para sites de relacionamentos...

Que site é esse aew, o www.ri5.com ? Tipo um Orkut da vida?

[ÐλяkFeλя]

A segunda linha até parece aqueles códigos para sites de relacionamentos...

Que site é esse aew, o www.ri5.com ? Tipo um Orkut da vida? 8) 8) 8)

Eu odeio covardia!!!

Hahsuahsua, tbm odeio covardia...rsrsrsrs. Pior que essa merdia ta encodado mesmo....

fear...

[Ðark$pawn]

A segunda linha até parece aqueles códigos para sites de relacionamentos...

Que site é esse aew, o www.ri5.com ? Tipo um Orkut da vida? ;)

[Reeves]

na minha opinião isso ai:
\x9d\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab \xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb \xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6

é shellcode para explorar uma possivel falha...
mas como pode ver ao fim das linhas... foi retornado o codigo de erro 400, ou seja... apenas uma tentativa.

esses 2 ips.. são routers
58.8.141.15 e 124.157.239.22

no caso do 124.157.239.22 que é um router ZyXEL
está realmente muito exposto... alem de que existe XPL para ele...
olha o que vi sobre o 124.157.239.22
 -- - --  -- - --  -- - --  -- - --  -- - --  -- - --  -- - --  -- - --

   WAN Information   
        - DSL Mode:    ADSL_G.dmt
        - IP Address:    124.157.239.22
        - IP Subnet Mask:   255.255.255.255
        - Default Gateway:   N/A
        - VPI/VCI:   0/33
    LAN Information   
        - IP Address:   192.168.1.1
        - IP Subnet Mask:   255.255.255.0
        - DHCP:   Server

System Uptime:    26:21:46
    Current Date/Time:   04/19/2008
    System Mode:   Routing / Bridging

Interesting ports on adsl-124.157.239-22.dynamic.tttmaxnet.com (124.157.239.22):
Not shown: 1690 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   open     telnet
80/tcp   open     http
264/tcp  open     bgmp
500/tcp  open     isakmp
2002/tcp filtered globe
8080/tcp open     http-proxy

 -- - --  -- - --  -- - --  -- - --  -- - --  -- - --  -- - --  -- - --  -- - --
enfim..
o que vc quer fazer? identificar o kra?
é um servidor linux mesmo?
rola + logs ?

sendo um servidor linux...
só por verificar
veja: cat /etc/passwd
veriique se não há contas 'estranhas' recem criadas
rola um: cat /root/.bash_history
e um: cat /home//.bash_history

também rola um: find . -mtime +2 ( buscar arquivos criados nos ultimos 2 dias, use isso pensando a quantos dias foi feito o atack... quem sabe não acha uma shell.php no seu apache... )

e tbm...
eu usaria o CHKRootKit
para uma verificação de como está o seu servidor após o atack.. caso queira post os logs!!!

é isso;

 Abraços!

[blackwinner]

É Reeves, a principio eu não acreditei que isso poderia ser um shellcode.
Mas depois eu upei meu ambiente de testes e puxei meu dbger.

O interessante é que eu vi que ele começa exatamente como um payload, chamando EAX e depois gerando um jmp negativo pra evitar bytes nulos. o0
Mas ainda, tem muitos caracteres estranhos, se o pl estivesse encodado eu entenderia mas não parece estar.
Mas o estranho é que ele parece em alguma cituações, estar usando variáveis já declaradas, típico de um shellcode.

Eu sei que não da pra simular o ambiente pro qual o payload foi desenvolvido, por isso eu fiz algo bem simples:

Code Select Expand


void main()
{
  char cd5[] =
              "y\xaaK\xe5\xea`@\x1a^Y'*(\x9d"
              "\xdb3\xe1c\xb3\xf4^\x96\xb4E+\xf1\xd5"
              "\x94k\x03p\xac\xec\xfa\x04@\xa4\x89\x16\xea\x10"
              "\x1fI2\xb9\"\x8e\xaff_])\xff\x88C\xe2\xc1\xa4v\x96"
              "\x86;SZ\xa3\x05V.\x0fW\x1e\xdcA\x89\xb7\xdbq\xc7\xa3"
              "\xec\x96M\x9fVN\xfbO\xf9L\x80\xfc\xa4\xbd\x02c\x14\xb1UQ\xab "
              "\xfc\x8c\x9e[#CB\x0c.\xc2\x0c-\x87/\xe9\x971`\xd68&!\x8bO\x18\x1d^'\xba\xae"
              "\x8c\xbbp\x04c|\xc6E\xb1b\x96A\x81.q\xbc\x96\x1c\xd1\xd9m\x80$=Q\x15\xaf:\xb2b\xceJw\x06o\x1f\xa6sY\xeb "
              "\xc7\xb7\x06=}`\xfa\x17Y(\xea\xf2\xa41}k\xe2cP\\\xfc++F\x80\xd2\xf0\xf9\xc4\xc2\xcd\xf3\xa5\x1c\rP\x9d&"
              "\x9e\x87R\xa2\x03\x8eY\xd2d\xc2!\x01e\xe6";


  void (*pFunc) ();
  pFunc = (void (*) () )&cd5;

  pFunc();

}

Só procurando uma tabela de dados ou um decoder... mas nada. :\

Enfim, cheguei a conclusão de que deve ter sido um shellcode desenvolvido por terceiros que veio cheio de "traps" pra não rodar.. mas fica ai a dúvida. :\



Black, tem muita gente que frequenta esse forum e conhece a luzinha.. inclusive a bruna... então não acho que seja alguma conspiração não. =P

[blackwinner]

Se for porque você ta usando um windows, baixa o winpcap pra poder usar raw sockets no windows, ai tu usa um soft qualquer como o pp>http://www.pingplotter.com/download.html

O meu pc é novo aqui e a net esta incrivelmente lenta hoje(0,4 kbps o0).
Então pra baixar isso hoje, vai ser uma droga. \=

Se não quiser baixar, amanhã eu faço isso pra tu. =P

[Wuefez]

Acho dificil ser shell code, o formato é estranho..
Sendo que bug seria esse? Overflow 0day no Apache 2.2?