Kirjoittaja Aihe: Apache+minä=fail  (Luettu 2414 kertaa)

windtlker

  • Käyttäjä
  • Viestejä: 17
    • Profiili
Apache+minä=fail
« : 20.06.08 - klo:11.15 »
Vaikka jo jonkin aikaa luulin, että en olisi vielä ehtinyt mitään munata, ja olin jopa ylpeä siitä, niin sitten se tottakai tapahtui. Löysin NTFS-partitioltani pamela-nimisen kansion  ;D

Eli siis tilanne on tämä. Ajan Ubuntu 8.04:sta (asennettuna siis myös XP) toisella koneellani 24/7, siellä pyörii nyt ainakin apache, ftp, ssh ja mysql taustalla. Tämä NTFS-osio on todella iso, ja siellä ovat musiikkia ja elokuvia tms. Ihmettelin aina lukiessa apachen access.logia, kun joskus joku yritti päästä käsiksi domain/SATA-MEDIA (SATA-MEDIA on tämän NTFS-osion nimi), mutta en sinänsä vielä pelästynyt, koska eihän tuo osio ole mountattu DocumentRootiini, vaan ihan muualle. Kieltämättä kyllä ihmettelin, kun yhdessä vaiheessa kun listasi /media:ssa mountatut osiot, niin nuo ntfs-osioni nimet oli ympyröity vihreällä laatikolla, mutta aattelin, että se vain liittyy jotenkin SSH:n yli mountattujen asemien selaamiseen. Kunnes sitten huomasin, että samat "vihreät laatikot" näkyivät myös, kun listasi mountatut osiot koneella itsellään shellissä.

Tuon NTFS-osion juureen oli ilmestynyt tiedosto XXX.folder (muistaakseni tällä nimellä). Sen lisäksi juureen oli tehty kansio pamela, joka sisälsi seuraavat tiedostot:

yhteensä 1157
-rwxrwxrwx 1 root root 197867 2004-07-29 02:31 _aleste.exe
-rwxrwxrwx 1 root root 299 2008-06-19 23:06 Desktop.ini
-rwxrwxrwx 1 root root 5652 2008-06-19 23:08 Folder.htt
-rwxrwxrwx 1 root root 847920 2002-10-14 17:02 python22.dll
-rwxrwxrwx 1 root root 45103 2002-10-14 17:02 _socket.pyd
-rwxrwxrwx 1 root root 53292 2002-10-14 17:03 _sre.pyd
-rwxrwxrwx 1 root root 16384 2002-10-14 17:03 w9xpopen.exe

Ja tuon juuressa olevan XXX.folderin ensimmäisten rivien aikana oli viittaus tuohon alesteen. Yritin niin pakolla umountata tuota osiota, että nyt sinne ei pääse enää windowsista eikä linuxista (onko muuten vihjeitä kuinka mahtaisin recoverata tuon osion suoraan?).

Mikähän mättää? Mitä minun nyt seuraavaksi kannattaisi tehdä? Käsittääkseni Linuxin omaan tiedostojärjestelmään ei noin helposti pysty kirjoittamaan (ja olen mm. pistäny sudo:n kysymään rootin salasanaa eikä omaani), ja voisiko tuo muutenkin olla jonkinlainen botti, joka käy verkkoa läpi ja yrittää löytää koneen, jolle pystyy kirjoittamaan?

pttk

  • Käyttäjä
  • Viestejä: 1045
    • Profiili
Vs: Apache+minä=fail
« Vastaus #1 : 22.06.08 - klo:03.00 »
Tuli siivous talkoot, tuo  pamela on windowsin spyware ( samalla ainakin python virus? )  Josta on useampia versioita.

Ja sillä näkyy koneellasi olevan muutamiin juttuihin täydet oikeudet!!!!!!!!!!!!!!!!!!!

http://spywarefiles.prevx.com/spywarefilesmore.asp?FXC=FFGJ4079301

http://keskustelu.afterdawn.com/thread_view.cfm/592089

Googleen:   _aleste.exe
Debian 6 "Squeeze", Ubuntu  10.04, Ubuntu 12.04

windtlker

  • Käyttäjä
  • Viestejä: 17
    • Profiili
Vs: Apache+minä=fail
« Vastaus #2 : 22.06.08 - klo:09.57 »
Tuli siivous talkoot, tuo  pamela on windowsin spyware ( samalla ainakin python virus? )  Josta on useampia versioita.

Ja sillä näkyy koneellasi olevan muutamiin juttuihin täydet oikeudet!!!!!!!!!!!!!!!!!!!

http://spywarefiles.prevx.com/spywarefilesmore.asp?FXC=FFGJ4079301

http://keskustelu.afterdawn.com/thread_view.cfm/592089

Googleen:   _aleste.exe


Mutta siis kuinka ihmeessä tuo on voinut koneelleni tulla, tai ainakaan ajaa itseään, jos tuossa pyörii koko ajan Linux?