<div dir="ltr">On Tue, Apr 2, 2013 at 1:37 PM, Jim Kinney <span dir="ltr">&lt;<a href="mailto:jim.kinney@gmail.com" target="_blank">jim.kinney@gmail.com</a>&gt;</span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>from the malware must die <br><br><pre>The malware was found in web server systems with below characteristic:
<div><div><div><span><a href="http://malwaremustdie.blogspot.com/2013/03/the-evil-came-back-darkleechs-apache.html#" target="_blank">?</a></span></div><table border="0" cellpadding="0" cellspacing="0">
<tbody><tr><td><div>1</div><div>2</div><div>3</div></td><td><div><div><code>Linux RedHat-base distribution without SE Linux properly set</code></div>
<div><code>Apache httpd web server 2.x (rpm-base, as per it is)</code></div><div><code>Cgi-base web admin panel and/or Wordpress system&#39;s served<br></code></div></div></td></tr></tbody></table>
</div></div></pre>I&#39;m assuming then that ALL 3 must be present for this process to occur.<br></div></div></blockquote><div><br></div><div style>That seems likely.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div><br>from much further down:<br>&quot;It looks like the attackers were beforehand well-prepared with some 
penetration method to gain web exploitation which were used to gain 
shell access and did the privilege escalation unto root. (I am not 
allowed to expose this detail further at this moment).&quot;</div><div><br>So run your web server with selinux in enforcing mode. It stops crap like this. Apparmor works similarly but not as fine-grained.<br></div></div>

<div class="gmail_extra"><div><div class="h5"><br></div></div></div></blockquote><div><br></div><div style>Unless you do something stupid like letting apache write to your apache configs (yes, I&#39;ve seen g+rw on /etc/apache2/...)</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote"><br></div></div></div></div></blockquote>
</div><div><br></div>-- <br>David Tomaschik<br>OpenPGP: 0x5DEA789B<br><a href="http://systemoverlord.com" target="_blank">http://systemoverlord.com</a><br><a href="mailto:david@systemoverlord.com" target="_blank">david@systemoverlord.com</a>
</div></div>