Caza al ruso …

Después de pasarme la tarde de ayer parcheando las instalaciones…esta mañana me despertaba con 1000 mensajes de alerta en el ossec. Alguien seguía intentando mandar correos a saco.

Me estaba volviendo loco, el servidor de correo no escucha desde la ip publica… así que el que lo estuviera haciendo tenia que estar usando un formulario web o similar.

Solo tengo un formulario (que yo sepa) así que lo deshabite a ver… pero nada seguían mandado correos a saco.

Revisando los logs del correo tampoco había nada raro … todo salía desde localhost y desde el usuario www-data, así que estaba claro que esta por un formulario.

Había borrado la cola de correo varias veces, así que deje que se volviera a llenar y empece a mirar las cabeceras y el contenido de los correos …

Todos estaban generados por un x-mailer que se llamaba footer19.php. Mal rollo … búsqueda de ese fichero … y allí estaba.

Dos cosas claras …

La primera … Me han petado el servidor.
La segunda … Toca tarde de reinstalación.

Ya sabia a que web estaban atacando así que … revisando los logs encontré quien lo hacia y lo que hacia …

146.185.239.51 – – [02/Nov/2014:17:52:29 +0100] “POST /sites//libraries/cufon/footer19.php HTTP/1.1” 404 210 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0”

Ahi estaba … el puto ruso intentando volver a subir el archivo … solo que la instalación ya esta parchada y ya no funciona.

El fichero en cuestión se identificaba como una bonita webshell

webshell

Y todo esto desde la misma ip …

puto ruso

El bastardo llevaba unos cuantos días intentando subir mierda a la instancia …

146.185.239.52 – – [24/Oct/2014:02:33:54 +0200] “POST /modules/php/h2090r.php HT
TP/1.1” 200 446 “-” “Mozilla/5.0 (iPad; CPU OS 7_1_2 like Mac OS X) AppleWebKit/
537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53”

No creo que tenga que ver con la mega-petada de drupal … mas bien por un fallo en los permisos del directorio donde están las librerías.

Y ademas toda la culpa mía … por no revisar los permisos y por no hacer caso de las alertas …

Nov 2 16:30:03 xxxxxx sm-mta[1676]: ruleset=check_relay, arg1=xx.xx.xx.xx, arg2=xx.xx.xx.xx, relay=xx.xx.xx.xx, reject=421 4.3.2 Connection rate limit exceeded.
Nov 2 16:30:02 xxxxxx sm-mta[1670]: ruleset=check_relay, arg1=xx.xx.xx.xx, arg2=xx.xx.xx.xx, relay=xx.xx.xx.xx, reject=421 4.3.2 Connection rate limit exceeded.

No esta de mas volverse a leer la guía de secularización de Drupal.

Comments are closed.