syslog

Il s'agit de l'exploitation de la faille http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4345 . Un email spécifiquement forgé force Exim à exécuter un shell script qui dépose un petit cadeau sur votre serveur. Il permet à l'utilisateur sous lequel tourne Exim de prendre les droits de root, rien que ça :

Petit état des lieux :

~$ ls /tmp -la
total 5328
drwx------ 3 Debian-exim Debian-exim 29 May 6 01:15 .mc-root
-rw------- 1 Debian-exim Debian-exim 0 May 6 00:23 d
-rwx------ 1 Debian-exim Debian-exim 12096 May 6 00:22 nu
-rw------- 1 Debian-exim Debian-exim 3507 Jan 4 04:40 nu.c

Dans le répertoire .mc-root, se trouve ceci :

~$ sudo ls /tmp/.mc-root/ -la
total 8
drwx------ 3 Debian-exim Debian-exim 29 May 6 01:15 .
drwxrwxrwx 5 root root 134 May 13 14:24 ..
drwx------ 2 Debian-exim Debian-exim 110 May 6 01:15 bash
-rw------- 1 Debian-exim Debian-exim 5680 May 6 01:14 d.gif

Un fichier d.gif qui est en réalité une archive tar.gz qui contient ce qui a été décompressé dans le répertoire bash :

~$ sudo ls /tmp/.mc-root/bash -la
total 44
drwx------ 2 Debian-exim Debian-exim 110 May 6 01:15 .
drwx------ 3 Debian-exim Debian-exim 29 May 6 01:15 ..
-rwx------ 1 Debian-exim Debian-exim 332 Mar 20 21:21 autorun
-rw------- 1 Debian-exim Debian-exim 52 May 6 02:12 cron.d
-rwx------ 1 Debian-exim Debian-exim 76 Mar 20 21:50 pid
-rwx------ 1 Debian-exim Debian-exim 43 Mar 20 21:21 run
-rwx------ 1 Debian-exim Debian-exim 190 May 6 02:12 update
-rw------- 1 Debian-exim Debian-exim 19 May 6 02:12 w0rm.dir
-rw------- 1 Debian-exim Debian-exim 6 May 10 16:06 w0rm.pid
-rw------- 1 Debian-exim Debian-exim 16051 May 6 01:09 w0rm.pl

L'objectif est d'exécuter le script Perl w0rm.pl, dont voici le début :

#!/usr/bin/perl
# ----------------------------------------------------------- #
# ilegalbrain PerlBot #
# ----------------------------------------------------------- #
system("kill -9 `ps ax |grep -bash |grep -v grep|awk '{print $1;}'`");

system("echo `ps ax |grep /usr/sbin/test |grep -v grep|awk '{print $1;}'` >w0rm.pid");
system("./pid");

my $processo = '/usr/sbin/test';


my @titi = ("index.php?page=","main.php?page=");

my $goni = $titi[rand scalar @titi];
...

Le processus se forke dès le début pour tourner sous un nom plus discret /usr/bin/test et sous le compte de Exim (104) :

$ ps aux |grep test
root 10054 0.0 0.0 9776 840 pts/3 R+ 14:48 0:00 grep test
104 29336 0.0 0.1 33016 3656 ? S May10 0:06 /usr/sbin/test
104 29400 0.0 0.1 33016 3656 ? S May10 0:02 /usr/sbin/test

Le BTS IG vit ses derniers moments. Le BTS SIO (Services Informatiques aux Organisations) le remplace avec un nouveau programme et de nouvelles modalités. Une des principales nouveautés est la spécialisation à partir du deuxième semestre de la première année, ce qui permet un approfondissement plus important dans le réseau ou le développement.

Tous les détails : ici