[MASOCH-L] RES: Bug no Apache2

Renato Frederick frederick at dahype.org
Wed Jan 31 15:53:38 BRST 2007 

Não seria um cavalo de tróia que algum script inseguro instalou?

Já tive casos de fóruns WWW com furos de php instalarem um

/tmp/httpd

Daí uma rolada rápida no "ps ax"  o administrador poderia "esquecer" que o
httpd não roda no /tmp. Estes arquivos eram backdoors e outros problemas.

Já verificou o httpd lícito que está rodando, aonde fica?

Não sei aonde o suse coloca o binário do apache, mas verifique o que é o

/usr/local/apache/bin/httpd

E o que é o  /usr/sbin/httpd2. Algum deles pode ser o malware, talvez um
script malicioso feito prá enviar spam, colocado por alguém mal
intencionado, um binário pré compilado utilizado por script kiddies, etc
etc.






> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> bounces at eng.registro.br] Em nome de Fabrício Veiga
> Enviada em: quarta-feira, 31 de janeiro de 2007 15:45
> Para: Mail Aid and Succor, On-line Comfort and Help
> Assunto: Re: [MASOCH-L] Bug no Apache2
> 
> Lao DanTong wrote:
> 
> >On Wed, 31 Jan 2007, Fabrício Veiga wrote:
> >
> >
> >
> >>Boa tarde senhores.
> >>
> >>Estou com um problema no Apache2, na distro Suse 10.1. De tempos em
> >>tempos, é executado um processo chamado  /usr/local/apache/bin/httpd
> >>-DSSL. Esse processo é executado com o usuário wwwrun, que é o mesmo
> do
> >>Apache2. Logo que é executado esse processo, o mesmo começa a
> disparar
> >>emails spams pelo sendmail, que está localizado nessa máquina. Já
> tentei
> >>rastrear httpd, porém não encontrei. Acredito que seja algum
> ocorrência
> >>de exploit ou bug no Apache2. Não consegui atualizar o Apache2, pois
> não
> >>existe atualização para o pacote. A versão do Apache2 é 2.2.0.
> >>
> >>O que poderia ser feito para solucionar esse problema ?
> >>
> >>
> >
> >creio que não seja um problema do apache, mas de algum script CGI,
> php, ou
> >coisa que o valha sendo explorado para enviar e-mail. varra sua
> instalação
> >em busca de scripts que enviem e-mail, é comum que eles sejam
> vulneráveis
> >a ataques como um que eu descrevi no penúltimo GTER (Porto Alegre). O
> >processo /usr/local/apache/bin/httpd é o próprio servidor, o servidor
> >mestre dispara vários filhotes para agilizar as respostas (e, no caso,
> o
> >envio de spam!).
> >__
> >masoch-l list
> >https://eng.registro.br/mailman/listinfo/masoch-l
> >
> >
> >
> >
> O processo do servidor Apache2 é rodado no /usr/sbin/httpd2.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list