Бздя и как с ней бороться!?

Polas · 11.11.2005

Люди помогите!! у меня есть коннект бекдур на одном серве. там стоит Бзда - Release -4.8
вот то исполнение команды ps ax:

Код:

    0  ??  DLs    0:00.00  (swapper)
    1  ??  ILs    0:00.01 /sbin/init --
    2  ??  DL     0:03.68  (pagedaemon)
    3  ??  DL     0:00.00  (vmdaemon)
    4  ??  DL     0:01.66  (bufdaemon)
    5  ??  DL     0:01.70  (vnlru)
    6  ??  DL     2:01.32  (syncer)
   29  ??  Is     0:00.00 adjkerntz -i
   81  ??  Ss     0:32.42 /usr/sbin/syslogd -s
   84  ??  Ss     2:11.65 /usr/sbin/named
   90  ??  Ss     0:01.09 /usr/sbin/cron
  164  ??  Ss     0:06.84 /usr/local/apache2/bin/httpd
  170  ??  I      0:00.01 /usr/local/apache2/bin/httpd
  171  ??  I      0:00.01 /usr/local/apache2/bin/httpd
  172  ??  I      0:00.01 /usr/local/apache2/bin/httpd
  173  ??  I      0:00.01 /usr/local/apache2/bin/httpd
  174  ??  I      0:00.01 /usr/local/apache2/bin/httpd
  175  ??  Ss    11:40.46 /usr/local/apache/bin/httpd
  181  ??  S      0:01.39 /usr/local/libexec/courier-imap/authlib/authdaemond.m
  183  ??  S      0:02.39 /usr/local/libexec/courier-imap/authlib/authdaemond.m
  184  ??  S      0:02.40 /usr/local/libexec/courier-imap/authlib/authdaemond.m
  185  ??  S      0:02.41 /usr/local/libexec/courier-imap/authlib/authdaemond.m
  186  ??  S      0:02.41 /usr/local/libexec/courier-imap/authlib/authdaemond.m
  187  ??  S      0:02.39 /usr/local/libexec/courier-imap/authlib/authdaemond.m
  191  ??  S      0:01.66  (couriertcpd)
  195  ??  I      0:00.13 /usr/local/libexec/courier-imap/courierlogger imapd
  203  ??  S      0:05.05  (couriertcpd)
  205  ??  S      0:03.12 /usr/local/libexec/courier-imap/courierlogger pop3d
  331  ??  Ss     1:17.35 /usr/local/libexec/postfix/master
  336  ??  S      1:41.75 qmgr -l -t fifo -u
  352  ??  Ss     0:02.98 proftpd: (accepting connections) (proftpd)
  366  ??  Is     0:00.26 /usr/local/sbin/saslauthd -a pam
  369  ??  I      0:00.26 /usr/local/sbin/saslauthd -a pam
  370  ??  I      0:00.26 /usr/local/sbin/saslauthd -a pam
  371  ??  I      0:00.26 /usr/local/sbin/saslauthd -a pam
  372  ??  I      0:00.26 /usr/local/sbin/saslauthd -a pam
  404  ??  Ss     0:05.95 /usr/local/sbin/sshd2
 4050  ??  S      0:00.01 pickup -l -t fifo -u
 7411  ??  I      0:00.04 bounce -z -t unix -u
 7412  ??  I      0:00.03 smtp -t unix -u
 7551  ??  I      0:00.06 cleanup -z -t unix -u
 7924  ??  I      0:00.05 smtpd -n smtp -t inet -u
 7925  ??  I      0:00.04 smtpd -n smtp -t inet -u
 7926  ??  S      0:00.06 cleanup -z -t unix -u
 7927  ??  I      0:00.06 cleanup -z -t unix -u
 7933  ??  S      0:00.08 virtual -t unix
 7934  ??  S      0:00.02 bounce -z -t unix -u
 7936  ??  S      0:00.02 smtp -t unix -u
 9711  ??  S      0:00.02 smtpd -n smtp -t inet -u
12459  ??  S      0:00.02 smtpd -n smtp -t inet -u
13167  ??  S      0:00.00 /usr/local/apache/bin/httpd
13586  ??  D      0:00.00 /usr/local/apache/bin/httpd
13918  ??  D      0:00.00 /usr/local/apache/bin/httpd
13921  ??  S      0:00.00 /usr/local/apache/bin/httpd
13925  ??  SV     0:00.00 /usr/local/apache/bin/httpd
14166  ??  S      0:00.00 /usr/local/apache/bin/httpd
14169  ??  D      0:00.00 /usr/local/apache/bin/httpd
14173  ??  S      0:00.00 /usr/local/apache/bin/httpd
14181  ??  S      0:00.00 /usr/local/apache/bin/httpd
14182  ??  S      0:00.00 /usr/local/apache/bin/httpd
14183  ??  D      0:00.00 /usr/local/apache/bin/httpd
14192  ??  S      0:00.00 /usr/local/apache/bin/httpd
14193  ??  S      0:00.00 /usr/local/apache/bin/httpd
14198  ??  S      0:00.00 /usr/local/apache/bin/httpd
14199  ??  S      0:00.00 /usr/local/apache/bin/httpd
14200  ??  S      0:00.00 /usr/local/apache/bin/httpd
14201  ??  S      0:00.00 /usr/local/apache/bin/httpd
14210  ??  S      0:00.00 /usr/local/apache/bin/httpd
14216  ??  S      0:00.00 /usr/local/apache/bin/httpd
14217  ??  S      0:00.00 /usr/local/apache/bin/httpd
14220  ??  S      0:00.00 /usr/local/apache/bin/httpd
14221  ??  S      0:00.00 /usr/local/apache/bin/httpd
14222  ??  S      0:00.00 /usr/local/apache/bin/httpd
14223  ??  S      0:00.00 /usr/local/apache/bin/httpd
14266  ??  S      0:00.00 /usr/local/apache/bin/httpd
14270  ??  S      0:00.00 /usr/local/apache/bin/httpd
14271  ??  S      0:00.00 /usr/local/apache/bin/httpd
14275  ??  S      0:00.00 /usr/local/apache/bin/httpd
14276  ??  S      0:00.00 /usr/local/apache/bin/httpd
14277  ??  S      0:00.00 /usr/local/apache/bin/httpd
14278  ??  S      0:00.00 /usr/local/apache/bin/httpd
14287  ??  S      0:00.00 /usr/local/apache/bin/httpd
14290  ??  S      0:00.00 /usr/local/apache/bin/httpd
14291  ??  S      0:00.00 /usr/local/apache/bin/httpd
14296  ??  S      0:00.00 /usr/local/apache/bin/httpd
14304  ??  S      0:00.00 /usr/local/apache/bin/httpd
14307  ??  S      0:00.00 /usr/local/apache/bin/httpd
14308  ??  S      0:00.00 /usr/local/apache/bin/httpd
14312  ??  S      0:00.00 /usr/local/apache/bin/httpd
14313  ??  S      0:00.00 /usr/local/apache/bin/httpd
14314  ??  S      0:00.00 /usr/local/apache/bin/httpd
14315  ??  S      0:00.00 /usr/local/apache/bin/httpd
14333  ??  S      0:00.00 /usr/local/apache/bin/httpd
14348  ??  S      0:00.00 /usr/local/apache/bin/httpd
14349  ??  S      0:00.00 /usr/local/apache/bin/httpd
14379  ??  S      0:00.00 /usr/local/apache/bin/httpd
14380  ??  S      0:00.00 /usr/local/apache/bin/httpd
14381  ??  S      0:00.00 /usr/local/apache/bin/httpd
14382  ??  S      0:00.00 /usr/local/apache/bin/httpd
14399  ??  S      0:00.00 /usr/local/apache/bin/httpd
14400  ??  S      0:00.00 /usr/local/apache/bin/httpd
14401  ??  S      0:00.00 /usr/local/apache/bin/httpd
14402  ??  S      0:00.00 /usr/local/apache/bin/httpd
14403  ??  S      0:00.00 /usr/local/apache/bin/httpd
14404  ??  S      0:00.00 /usr/local/apache/bin/httpd
14405  ??  S      0:00.00 /usr/local/apache/bin/httpd
14418  ??  S      0:00.00 /usr/local/apache/bin/httpd
14421  ??  SV     0:00.00 /usr/local/apache/bin/httpd
14423  ??  S      0:00.00 /usr/local/apache/bin/httpd
14424  ??  S      0:00.00 /usr/local/apache/bin/httpd
14426  ??  S      0:00.00 /usr/local/apache/bin/httpd
14427  ??  S      0:00.00 /usr/local/apache/bin/httpd
14428  ??  S      0:00.00 /usr/local/apache/bin/httpd
14429  ??  S      0:00.00 /usr/local/apache/bin/httpd
14437  ??  SV     0:00.00 /usr/local/apache/bin/httpd
14438  ??  S      0:00.00 /bin/sh
14439  ??  S      0:00.00 /usr/local/apache/bin/httpd
14444  ??  S      0:00.00 /usr/local/apache/bin/httpd
14445  ??  S      0:00.00 /usr/local/apache/bin/httpd
14446  ??  S      0:00.00 /usr/local/apache/bin/httpd
14450  ??  S      0:00.00 /usr/local/apache/bin/httpd
14453  ??  SV     0:00.00 /usr/local/apache/bin/httpd
14454  ??  S      0:00.00 /usr/local/apache/bin/httpd
14456  ??  S      0:00.00 /usr/local/apache/bin/httpd
14457  ??  S      0:00.00 /usr/local/apache/bin/httpd
14460  ??  R      0:00.00 ps ax
20786  ??  I      0:00.00 /usr/local/apache2/bin/httpd
20857  ??  I      0:00.00 /usr/local/apache2/bin/httpd
34350  ??  D      0:00.00 /usr/local/apache/bin/httpd
34638  ??  IV     0:00.02 /usr/local/apache/bin/httpd
34656  ??  Z      0:00.00  (sh)
34658  ??  S      0:00.01 updatedb
34974  ??  D      0:00.00 /usr/local/apache/bin/httpd
35004  ??  S      0:02.56 trivial-rewrite -n rewrite -t unix -u
35123  ??  IV     0:00.02 /usr/local/apache/bin/httpd
35142  ??  Z      0:00.00  (sh)
35145  ??  I      0:00.00 updatedb
42063  ??  Z      0:00.00  (sh)
47062  ??  Z      0:00.00  (sh)
61055  ??  D      0:00.00 /usr/local/apache/bin/httpd
61274  ??  IV     0:00.02 /usr/local/apache/bin/httpd
61291  ??  Z      0:00.00  (sh)
61295  ??  I      0:00.00 updatedb
64276  ??  Z      0:00.00  (sh)
65035  ??  Z      0:00.00  (sh)
66391  ??  Z      0:00.00  (sh)
67652  ??  Z      0:00.00  (sh)
76641  ??  Z      0:00.00  (sh)
76839  ??  Z      0:00.00  (sh)
77823  ??  Z      0:00.00  (sh)
78241  ??  D      0:00.00 /usr/local/apache/bin/httpd
78570  ??  IV     0:00.02 /usr/local/apache/bin/httpd
78588  ??  Z      0:00.00  (sh)
78622  ??  I      0:00.00 updatedb
82307  ??  S      0:00.15 trivial-rewrite -n rewrite -t unix -u
82316  ??  I      0:00.13 smtpd -n smtp -t inet -u
83674  ??  I      0:00.10 smtpd -n smtp -t inet -u
83821  ??  D      0:00.00 /usr/local/apache/bin/httpd
84252  ??  IV     0:00.02 /usr/local/apache/bin/httpd
84285  ??  Z      0:00.00  (sh)
84286  ??  I      0:00.02 /usr/bin/perl /tmp/bdpl 11457
84476  ??  Z      0:00.00  (sh)
85040  ??  Z      0:00.00  (sh)
85201  ??  Z      0:00.00  (sh)
88467  ??  I      0:00.01 /usr/local/apache2/bin/httpd
89882  ??  Z      0:00.00  (sh)
95439  ??  Z      0:00.00  (sh)
  409  v0  Is+    0:00.00 /usr/libexec/getty Pc ttyv0
  410  v1  Is+    0:00.00 /usr/libexec/getty Pc ttyv1
  411  v2  Is+    0:00.00 /usr/libexec/getty Pc ttyv2
  412  v3  Is+    0:00.00 /usr/libexec/getty Pc ttyv3
  413  v4  Is+    0:00.00 /usr/libexec/getty Pc ttyv4
  414  v5  Is+    0:00.00 /usr/libexec/getty Pc ttyv5
  415  v6  Is+    0:00.00 /usr/libexec/getty Pc ttyv6
  416  v7  Is+    0:00.00 /usr/libexec/getty Pc ttyv7
  116 con- I      0:00.01 /bin/sh ./bin/safe_mysqld --user=mysql --log-slow-que
  118 con- S      0:45.14 ./bin/mysqld --defaults-file=/home/data2/my.cnf --bas
  163 con- R    3206:06.48  (mysqld)

Сплойты собирать там невозможно, так как половина необходимых библиотек и прочей ерунды отсутствует, (хотя половина есть! и gcc кое как пашет)!

как получить там рута??

Polas · 12.11.2005

Кто нить знает??

Civil-nix · 17.11.2005

Знает!
Слыш а ты когда нибудь рута имел кроме как через эксплоиты? Наверное нет если задаеш такие вопросы!
Поковыряй разные конфигурационные файлы, посмотри там - сям , может где и наковыряешь парольчик, а потом пробуй su и подстовляй найденый пароль!

В общем я знае 9 способов получения рута ! Интересно стучи в асю!

Aqustick · 18.11.2005

приватный сплойт. Дорого и очень нужный.

Polas · 18.11.2005

Знает!
Слыш а ты когда нибудь рута имел кроме как через эксплоиты? Наверное нет если задаеш такие вопросы!
Поковыряй разные конфигурационные файлы, посмотри там - сям , может где и наковыряешь парольчик, а потом пробуй su и подстовляй найденый пароль!

В общем я знае 9 способов получения рута ! Интересно стучи в асю!

Хм, думаешь я не пробовал, не искал пароли!! это не главный серв, и полурабочий(и права там выставлены неправильно, причем невмою пользу, на куче папок даже не стоит чтения), там тока один сайт хоститься, в котором дыра размером 10х10 км!! А вот насчет 9 способов стало очень интересно!

Aqustick · 18.11.2005

Попробуй паблик сплойты под сервисы. Они как правело запущенны из-под рута.

Great · 18.11.2005

Попробуй паблик сплойты под сервисы. Они как правело запущенны из-под рута.

Ну нет. Сервис httpd, например, от рута не запускают.

007NOT@ · 18.11.2005

FreeBSD (4.x , < 5.4) master.passwd Disclosure Exploit

Polas · 18.11.2005

FreeBSD (4.x , < 5.4) master.passwd Disclosure Exploit

Я же говорю, что сишник там не скомпилить!

ph34rd · 19.11.2005

Polas
Компиль на сторонней машине, туда бинарник заливай...

KOCTb_1 · 17.04.2006

Люди, мож подскажите?? ЗАпускаю я этот сплоит, ну создаецца КМЕМ сливаю се его... Там какая-то бливотина... них не понятно.. есть тока жалкие обрывки хешей, как из него норм. masterpasswd сделать?? :help:
Заранее больше спасибо!

Бздя и как с ней бороться!?

Polas

(L3) cache

Polas

(L3) cache

Civil-nix

RAM

Aqustick

HDD-drive

Polas

(L3) cache

Aqustick

HDD-drive

Great

CPU register

007NOT@

RAM

Polas

(L3) cache

ph34rd

HDD-drive

KOCTb_1

CD-диск