Cpanel y Random JS Toolkit

Jose1310 · #1 (**permalink**) 26/06/2008, 15:13

Teniendo un server Centos , Cpanel y acceso Root

Me a llegado un reporte de cpanel , acerca que, hay una vulnerabilidad en Horde ,
y al dia sgt, mi server me envió un reporte como esta aqui abajo :

Possible detection of "Random JS Toolkit" due to modified files:

/sbin/ifconfig: FAILED
/sbin/fsck: FAILED
/sbin/route: FAILED
/bin/basename: FAILED
/bin/cat: FAILED
/bin/mount: FAILED
/bin/touch: FAILED

See http://www.cpanel.net/security/notes...s_toolkit.html for more information
----------------------------

Pregunta, como corregir esto?
el sistema se habra infectado? como eliminarlo?? hay algun parche para exim ?

Gracias

WebTech · #2 (**permalink**) 27/06/2008, 14:00

Jose1310,

Lo de la vulnerabilidad en Horde, es algo bastante viejo ya, se ve que no tenías tu cPanel actualizado, te sugiero actualices cuanto antes.

Ruega a tus santos preferidos que no sea el Random JS Toolkit, pues cuesta bastante (incluso a personas con mucho conocimiento) limpiar un sistema infectado con este "bicho", para asegurarte de si estás infectado o no, corre el siguiente comando durante al menos 1 hora:

Código:

tcpdump -nAs 2048 src port 80 | grep “[a-zA-Z]\{5\}\.js’”

Si arroja algo, pega la salida y te diré si estás infectado o no.

Saludos,

Jose1310 · #3 (**permalink**) 27/06/2008, 14:11

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 2048 bytes
455 packets captured
910 packets received by filter
0 packets dropped by kernel

PD: Esta bien lo de las comillas ( final del comando),,,no pude encontrar las mismas comillas que usas, y un copy-page, no copia esas comillas q usas

WebTech · #4 (**permalink**) 27/06/2008, 14:47

José,

Lo de las comillas, en teoría debería ser lo mismo.

Como dije, deja correr ese comando durante al menos una hora, sino los resultados pueden ser distintos.

Saludos,

Jose1310 · #5 (**permalink**) 27/06/2008, 16:53

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

Resultado 1 hora:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 2048 bytes
s_The_Arrays_Source='s_arrays.js';// the source of the menu definitions
91507 packets captured
183020 packets received by filter
3 packets dropped by kernel

ahi te va luego de un poco mas de 1 hora,,,, aver voy a sacar uno de 2 horas y te lo mando

WebTech · #6 (**permalink**) 27/06/2008, 18:13

Bueno, esa es la prueba de fuego, y al parecer la superaste sin problemas

, no hay nada anormal en la escucha de red que hiciste, suele bastar con 1 hora para un servidor con mediano tráfico HTTP.

Pero si tu server tiene póco tráfico, te sugiero dejarlo corriendo un par de horas más.

Saludos,

Jose1310 · #7 (**permalink**) 27/06/2008, 21:37

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

REPORTE con 4 horas 30 minutos

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 2048 bytes
s_The_Arrays_Source='s_arrays.js';// the source of the menu definitions
.J7...*...P*Nh.....i.P.-.z...enuItem=null;};aCleanupDocs[j]=null;d=null;};};window.attachEvent("onbeforeunloa d",Window_OnBeforeUnload);};function Window_OnLoad(){if (FCKBrowserInfo.IsNetscape) document.getElementById('eWysiwygCell').style.padd ingRight='2px';LoadConfigFile();};window.onload=Wi ndow_OnLoad;function LoadConfigFile(){FCKScriptLoader.OnEmpty=ProcessHi ddenField;FCKScriptLoader.AddScript('../fckconfig.js');};function ProcessHiddenField(){FCKConfig.ProcessHiddenField( );LoadCustomConfigFile();};function LoadCustomConfigFile(){if (FCKConfig.CustomConfigurationsPath.length>0){FCKS criptLoader.OnEmpty=LoadPageConfig;FCKScriptLoader .AddScript(FCKConfig.CustomConfigurationsPath);}el se{LoadPageConfig();};};function LoadPageConfig(){FCKConfig.LoadPageConfig();LoadSt yles();};function LoadStyles(){FCKScriptLoader.OnEmpty=LoadScripts;F CKScriptLoader.AddScript(FCKConfig.SkinPath+'fck_e ditor.css');FCKScriptLoader.AddScript(FCKConfig.Sk inPath+'fck_contextmenu.css');};function LoadScripts(){FCKScriptLoader.OnEmpty=null;if (FCKBrowserInfo.IsIE) FCKScriptLoader.AddScript('js/fckeditorcode_ie_1.js');else FCKScriptLoader.AddScript('js/fckeditorcode_gecko_1.js');};function LoadLanguageFile(){FCKScriptLoader.OnEmpty=LoadEdi tor;FCKScriptLoader.AddScript('lang/'+FCKLanguageManager.ActiveLanguage.Code+'.js');}; function LoadEditor(){FCKScriptLoader.OnEmpty=null;if (FCKLang) window.document.dir=FCKLang.Dir;FCK.StartEditor(); }
s_The_Arrays_Source='s_arrays.js';// the source of the menu definitions
<script type='text/javascript' src='plugins/productAttributes/checkAttributes.js'> </script>
206766 packets captured
413557 packets received by filter
0 packets dropped by kernel

WebTech · #8 (**permalink**) 28/06/2008, 06:57

Nada anormal en esta otra captura tampoco, al parecer estás limpio, fue un falso positivo de parte de CSF

Saludos,

Jose1310 · #9 (**permalink**) 05/07/2008, 12:26

Ahora, me está llegando un email , tendrá alguna relacion con lo anteriormente mencioando?? El email es :

=====================================

Time: Thu Jul 3 17:31:15 2008
PID: 11457
Account: USERHOSTING
Uptime: 87 seconds

Executable:

/usr/local/cpanel/3rdparty/bin/php-cgi

Command Line (often faked in exploits):

/usr/local/cpanel/3rdparty/bin/php-cgi /usr/local/cpanel/base/3rdparty/squirrelmail/src/download.php

Network connections by the process (if any):

tcp: 127.0.0.1:38377 -> 127.0.0.1:143

Files open by the process (if any):

/usr/local/cpanel/logs/error_log

Memory maps by the process (if any):

00355000-00368000 r-xp 00000000 08:05 1312230 /lib/libaudit.so.0.0.0
00368000-0036a000 rwxp 00013000 08:05 1312230 /lib/libaudit.so.0.0.0
00371000-00380000 r-xp 00000000 08:05 1312290 /lib/libresolv-2.5.so
00380000-00381000 r-xp 0000e000 08:05 1312290 /lib/libresolv-2.5.so
00381000-00382000 rwxp 0000f000 08:05 1312290 /lib/libresolv-2.5.so
00382000-00384000 rwxp 00382000 00:00 0
004ca000-004d4000 r-xp 00000000 08:05 1312231 /lib/libpam.so.0.81.5
004d4000-004d5000 rwxp 0000a000 08:05 1312231 /lib/libpam.so.0.81.5
00ae5000-00aff000 r-xp 00000000 08:05 1310936 /lib/ld-2.5.so
00aff000-00b00000 r-xp 00019000 08:05 1310936 /lib/ld-2.5.so
00b00000-00b01000 rwxp 0001a000 08:05 1310936 /lib/ld-2.5.so
00b03000-00c40000 r-xp 00000000 08:05 1310939 /lib/libc-2.5.so
00c40000-00c42000 r-xp 0013c000 08:05 1310939 /lib/libc-2.5.so
00c42000-00c43000 rwxp 0013e000 08:05 1310939 /lib/libc-2.5.so
00c43000-00c46000 rwxp 00c43000 00:00 0
00c48000-00c4a000 r-xp 00000000 08:05 1310941 /lib/libdl-2.5.so
00c4a000-00c4b000 r-xp 00001000 08:05 1310941 /lib/libdl-2.5.so
00c4b000-00c4c000 rwxp 00002000 08:05 1310941 /lib/libdl-2.5.so
00c4e000-00c73000 r-xp 00000000 08:05 1310943 /lib/libm-2.5.so
00c73000-00c74000 r-xp 00024000 08:05 1310943 /lib/libm-2.5.so
00c74000-00c75000 rwxp 00025000 08:05 1310943 /lib/libm-2.5.so
00c77000-00c8a000 r-xp 00000000 08:05 1310953 /lib/libpthread-2.5.so
00c8a000-00c8b000 r-xp 00012000 08:05 1310953 /lib/libpthread-2.5.so
00c8b000-00c8c000 rwxp 00013000 08:05 1310953 /lib/libpthread-2.5.so
00c8c000-00c8e000 rwxp 00c8c000 00:00 0
00d07000-00d0e000 r-xp 00000000 08:05 1310970 /lib/librt-2.5.so
00d0e000-00d0f000 r-xp 00006000 08:05 1310970 /lib/librt-2.5.so
00d0f000-00d10000 rwxp 00007000 08:05 1310970 /lib/librt-2.5.so
00d12000-00d1b000 r-xp 00000000 08:05 1312288 /lib/libcrypt-2.5.so
00d1b000-00d1c000 r-xp 00008000 08:05 1312288 /lib/libcrypt-2.5.so
00d1c000-00d1d000 rwxp 00009000 08:05 1312288 /lib/libcrypt-2.5.so
00d1d000-00d44000 rwxp 00d1d000 00:00 0
00d46000-00d59000 r-xp 00000000 08:05 1310961 /lib/libnsl-2.5.so
00d59000-00d5a000 r-xp 00012000 08:05 1310961 /lib/libnsl-2.5.so
00d5a000-00d5b000 rwxp 00013000 08:05 1310961 /lib/libnsl-2.5.so
00d5b000-00d5d000 rwxp 00d5b000 00:00 0
08048000-0870f000 r-xp 00000000 08:03 757322 /usr/local/cpanel/3rdparty/bin/php-cgi
0870f000-08745000 rwxp 006c6000 08:03 757322 /usr/local/cpanel/3rdparty/bin/php-cgi
08745000-0874e000 rwxp 08745000 00:00 0
09f65000-0a37e000 rwxp 09f65000 00:00 0
b7a4b000-b7c4b000 r-xp 00000000 08:03 1903129 /usr/lib/locale/locale-archive
b7c4b000-b7c54000 r-xp 00000000 08:05 1310773 /lib/libnss_files-2.5.so
b7c54000-b7c55000 r-xp 00008000 08:05 1310773 /lib/libnss_files-2.5.so
b7c55000-b7c56000 rwxp 00009000 08:05 1310773 /lib/libnss_files-2.5.so
b7c56000-b7d41000 r-xp 00000000 08:03 1081673 /usr/local/IonCube/ioncube_loader_lin_5.2.so
b7d41000-b7d46000 rwxp 000ea000 08:03 1081673 /usr/local/IonCube/ioncube_loader_lin_5.2.so
b7d4f000-b7d87000 r-xp 0103e000 08:03 1903129 /usr/lib/locale/locale-archive
b7d87000-b7d89000 rwxp b7d87000 00:00 0
b7d89000-b7eb0000 r-xp 00000000 08:03 529028 /usr/local/cpanel/lib/libxml2.so.2
b7eb0000-b7eb8000 rwxp 00127000 08:03 529028 /usr/local/cpanel/lib/libxml2.so.2
b7eb8000-b7eba000 rwxp b7eb8000 00:00 0
b7eba000-b7edc000 r-xp 00000000 08:03 527518 /usr/local/cpanel/lib/libpng.so.2
b7edc000-b7edd000 rwxp 00021000 08:03 527518 /usr/local/cpanel/lib/libpng.so.2
b7edd000-b7ee5000 r-xp 00000000 08:03 527514 /usr/local/cpanel/lib/libintl.so.3
b7ee5000-b7ee6000 rwxp 00008000 08:03 527514 /usr/local/cpanel/lib/libintl.so.3
b7ee6000-b7ee7000 rwxp b7ee6000 00:00 0
b7ee7000-b7ef3000 r-xp 00000000 08:03 527489 /usr/local/cpanel/lib/liblber-2.3.so.0
b7ef3000-b7ef4000 rwxp 0000b000 08:03 527489 /usr/local/cpanel/lib/liblber-2.3.so.0
b7ef4000-b7f21000 r-xp 00000000 08:03 527515 /usr/local/cpanel/lib/libldap-2.3.so.0
b7f21000-b7f22000 rwxp 0002d000 08:03 527515 /usr/local/cpanel/lib/libldap-2.3.so.0
b7f22000-b7f29000 r-xp 00000000 08:03 527516 /usr/local/cpanel/lib/libltdl.so.7
b7f29000-b7f2a000 rwxp 00007000 08:03 527516 /usr/local/cpanel/lib/libltdl.so.7
b7f2a000-b7f4f000 r-xp 00000000 08:03 529071 /usr/local/cpanel/lib/libmcrypt.so.4
b7f4f000-b7f52000 rwxp 00024000 08:03 529071 /usr/local/cpanel/lib/libmcrypt.so.4
b7f52000-b7f57000 rwxp b7f52000 00:00 0
b7f57000-b7f63000 r-xp 00000000 08:03 527521 /usr/local/cpanel/lib/libz.so.1
b7f63000-b7f66000 rwxp 0000b000 08:03 527521 /usr/local/cpanel/lib/libz.so.1
b7f66000-b7f67000 rwxp b7f66000 00:00 0
b7f67000-b7f9f000 r-xp 00000000 08:03 527517 /usr/local/cpanel/lib/libmysqlclient.so.14
b7f9f000-b7fc4000 rwxp 00038000 08:03 527517 /usr/local/cpanel/lib/libmysqlclient.so.14
b7fc4000-b7fc6000 rwxp b7fc4000 00:00 0
b7fc6000-b7fde000 r-xp 00000000 08:03 527519 /usr/local/cpanel/lib/libpq.so.3
b7fde000-b7fdf000 rwxp 00017000 08:03 527519 /usr/local/cpanel/lib/libpq.so.3
b7fe7000-b7fe8000 r-xp 010c2000 08:03 1903129 /usr/lib/locale/locale-archive
b7fe8000-b7fe9000 rwxp b7fe8000 00:00 0
b7fe9000-b7fea000 r-xp b7fe9000 00:00 0 [vdso]
bfab8000-bfacd000 rwxp bfab8000 00:00 0 [stack]

WebTech · #10 (**permalink**) 05/07/2008, 16:14

Eso no tiene que ver con lo anterior, seguro.

Saludos,

MinervaH · #11 (**permalink**) 06/07/2008, 02:27

Sólo es un aviso de que alguien lleva 87 segundos descargando algo desde el webmail Squirrelmail, algún adjunto seguramente. Nada de que preocuparse.