Ricerca in FOLBlog

[SdSM] Search And Destroy

 Scritto da alle 12:16 del 08/01/2012  Aggiungi commenti
Gen 082012
 
closeQuesto articolo è stato pubblicato 5 anni 10 mesi 12 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

E’ un tranquillo (penso io) lunedi’ mattina quando comincio a controllare tutti i log dei vari server. E noto subito una cosa poco bella: c’e’ un server che ha cercato di inviare una paccata di mail mentre non dovrebbe inviarne per niente ed ha anche cercato di contattare via ssh una serie di server di cui io non so niente.

Dato che il server ospita l’ennesima PHPorkeria sviluppata dai soliti PHProgrammatroti comincio gia’ a sospettare il peggio. Ed infatti noto subito che nel log c’e’ anche una bella fila di imbufaliti che cercano il solito rompica$$p phpmyadmin. E indovina un po’: LO TROVANO!

Ed ovviamente il phprogrammatroto non ha pensato di rimuovere il merdacchioso script di setup no eh… anzi, e’ aperto e disponibile al mondo. Grrr…

Ok, zanza via il server dal firewall e comincia a vedere cosa gli e’ successo. A quanto pare adesso questa merdaccia sta facendo funzionare un qualche demone ssh con privilegi di root. Ranza via quel coso subito. E gia’ che ci siamo ranziamo via tutto il phmycrapshot che andiamo anche meglio.

Poi, dopo aver inviato una mailla di spiegazione al PHProgrammatroto faccio un bel giro sul resto delle schifezze che sono installate.

E trovo un altra versione del phpmycrapshot in una directory diversa. Pure quella con la directory di installazione aperta all’universo. Zanza via anche quello. Poi scopro che la directory di /tmp e’ scrivibile da Apache (ovviamente). In effetti, ben poco NON E’ scrivibile da Apache.

A questo punto decido che la cosa migliore sarebbe reinstallare tutto il server e basta, altro che mettersi a patchare le cose. Riporto per tanto a DB.

IO – …quindi, dato che non c’e’ modo di capire esattamente cosa sia successo e cosa sia ancora decente, la cosa migliore e’ zappare via tutto e ripartire da capo.
DB – E CL che dice?
IO – CL non lo ho ancora sentito. Ma dato che le versioni (plurale) di software che CL ha installato sono antidiluviane, non mi pare che CL sia la persona piu’ indicata per decidere come gestire la sicurezza di quella macchina.
DB – Ma non hai detto che hai rimosso le versioni bacate?
IO – Ho rimosso quello che ho trovato, molto rapidamente, ma come ho appena detto, non possiamo essere sicuri.
DB – Allora fai un altro giro, poi rimetti il server nel firewall e sentiamo CL.
IO – ??? "rimetti il server nel firewall"?? Quale parte di "non sappiamo cosa e’ buono e cosa no" non era chiara?
DB – Ma abbiamo un contratto che dice che il server deve essere disponibile
IO – Dice anche che CL (che si e’ assunto la responsabilita’ del sistema) deve aggiornare il software che usa ed e’ responsabile per le cazzate che fanno.

La discussione e’ andata avanti per un bel pezzo, anche perche’ il solito rompimarroni di P si e’ aggiunto. Ondepercui cio’ alla fine la decisione e’ stata di "rimuovere tutto cio’ che potrebbe essere compromesso e rimettere il server on-line".

IO – Rimuovere tutto?
P – Quello che potrebbe essere compromesso.
IO – E con CL ci parli tu suppongo…

Il che significa che la serie di madonne che avevo in programma di passare a CL non saranno passate… Grrr…

Ok, rimuovere tutto cio’ che potrebbe essere compromesso.

find / -type f -name '*.php' -exec rm -f {} \;

Ohhhh…. adesso mi sento gia’ meglio…

Davide

legenda personaggi

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: