[LACNIC/Seguridad] Dudas ante servidor Apache/PHP comprometido

Xavier Garcia Usero xavier en hades.udg.es
Sab Oct 20 18:04:44 BRST 2007 

Buenos dias,



Recientemente he tenido que trabajar con un servidor web que ejecutaba
scripts PHP y que ha sido comprometido. No voy ha justificar los motivos
por los que este estaba pobremente asegurado, al ser injustificable,
 ni a pedir ayuda en este sentido. Mi único objetivo es despejar ciertas dudas.


A continuación expongo los datos disponibles,

Todo indica que ha sido una 'ya clásica' inclusión remota de código.
Este punto no ha podido ser confirmado debido a que la aplicación
atacada acostumbra a pasar URLs a través de variables en las peticiones GET y,
como es de esperar, tampoca se guardan les peticiones POST. Todo esto hace
que sacar conclusiones a través de los logs de Apache sea sumamente complicado.


Al descubrir el compromiso del servidor web, se observaron diferentes
procesos que ejecutaban un guión Perl bajo el nombre de '[httpds]', ejecutado por el
mismo usuario que el servidor web. Esto hace pensar que la inyección de
código constaba de llamadas a system que ejecutaron wget y perl.

Los procesos en cuestión tenian el PWD en /tmp y abiertos los ficheros
de log configurados para Apache, conectándose también a un servidor
IRC (Sin duda alguna es trata de un bot IRC).


No tenemos datos del programa ejecutado debido a que este fué borrado
después de su ejecución. Analizando los datos de uno de los procesos
en el directorio /proc, el fichero 'cmd' únicamente contenia la
cadena '[httpds]'. Esto indica que el script Perl se borró, debido a que
no se ha encontrado ningún fichero en el directorio /tmp.



La duda en si es el hecho que el guión Perl tenga los ficheros de log de
Apache abiertos. En el caso de los ataques que he podido analizar se
realizan llamadas al shell para ejecutar código y, a mi entender, no deberia
heredar los descriptores de fichero de Apache. Es la única pieza del
puzzle que no acaba de encajar.


Cualquier comentario será agradecido. 


Cordialmente,

Xavier Garcia


-- 
Xavier Garcia Usero aka msk

Associació d'Estudiants d'Informàtica de Girona
http://hades.udg.edu/~xavier/
Unix i seguretat a la xarxa


pgp key ID: 0xD94E70A1
http://pgp.mit.edu/

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: application/pgp-signature
Size: 186 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20071020/1bb5e5a8/attachment.sig>

Más información sobre la lista de distribución Seguridad