glug: defacement
Paolo Gaggini
gsetin@tin.it
Ven 6 Feb 2004 11:03:29 CET
toghir@inwind.it wrote:
> Si e' poi saputo qualcosa delle modalita' con cui hanno attaccato il server di
> www.linux.it il 4/2/2004, compreso quindi il sito del glug? che vulnerabilita'
> hanno usato?
Una pagina php bucata, che un utente aveva sul server.
Stessa cosa è successa al mio server IERI, tramite uno script php di
slideshow installato da un mio utente, e che consentiva ai visitatori di
fare l'upload di immagini. Qualcuno (dai log sembra uno spagnolo) ci ha
infilato uno script php e altra roba, tra cui l'exploit km3, che sfrutta
un bug nel kernel segnalato nel DSA-311:
http://www.debian.org/security/2003/dsa-311
Per fortuna avevo l'ultimo kernel patchato della stable, il 2.4.18-14.1
ma non ho ancora trovato in rete se risolve quel buco.
Direi però di si, infatti sembra che non ci siano stati danni (ma sto
ancora esaminando log, md5sums, ecc ecc), tutti i siti erano ok e gli
altri servizi idem. Apache (con php) l'ho tirato giù io per precauzione.
Se interessa a qualcuno posterò poi il report dell'accaduto.
Una nota di merito: mi ha salvato logcheck.
Maggiori informazioni sulla lista
glug