Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

[highlander74]

Hallo !

ein Freund von mir ist dummerweise einem Defacement durch eine fehlerhafte MyEGallery aufgesessen.

Dabei wird über URL Parameter mit Hilfe von wget im /tmp Verzeichnis ein CGI installiert, mit dem man die HTML Dateien überschreiben kann.

Vorerst haben wir mal das Problem erkannt, Server heruntergefahren.

- Logs gesichert
- /tmp gesichert und gelöscht
- in /usr/bin wget und Konsorten auf chmod 000 gesetzt
- die Galerie entsprechend gepacht

Reicht das ? Können wir unsere Passwörter ändern und wieder online gehen ? Oder ist ein Reinit nötig.

Was empfehlt Ihr uns noch zu checken ?

Gruss

[captaincrunch]

Da ich euch vermutlich ein Rootkit eingefangen habt, sollte eine Reinstall Pflicht sein. ;)

[chris76]

Full ACK

ansonsten noch
http://www.rootforum.org/forum/viewtopic.php?t=7801

Ciao Christian

[highlander74]

Der positiven Ausgabe (nichts gefunden) von chkrootkit können / sollten wir wohl auch nicht vertrauen ? :(

[captaincrunch]

Nein.

[highlander74]

Ohne nerven zu wollen ...

Wenn ich zum Beispiel ein CHKROOTKIT auf die Rescue Partition lade und damit checke ? Bringt das nicht den gewünschten Erfolg ?

Grüsse


PS: wir machen natürlich den Reinit (hab ich mir eigentlich schon vorab vorgenommen) ... dieser Topic ist "just for educational" purposes ;)

Wir nehmen das schon ernst obwohl da wohl "nur" ein paar Script Kiddies (Affix nennen die sich) am Werk waren.

[captaincrunch]

Sobald ein Rootkit im Kernel ist, kannst du der Kiste (und keiner) Ausgabe mehr trauen.

[highlander74]

Neuen Kernel einspielen ?

[outofbound]

Und was, wenn Teile des Base- Systems gepatcht sind (ping z.B.) oder etwas ganz anderes.
Hast du eine übersicht, ob nicht irgendwo suids rumliegen? ;)

Skripte wie chkrrootkit funktionieren nur in eine Richtung.

Sie zeigen dir an, DASS deine Kiste kompromitiert wurde. (Und das auch nur
mehr oder wenig zuverlässig)

Die andere Richtung (Die Kiste ist SAUBER) kann dir sowas nicht anzeigen.

Gruss,

Out

[Joe User]

Neuen Kernel einspielen ?

Wie wäre es ohne Kernel, sprich Kernel-Image/Module/Sourcen während dem Booten vom System zu löschen?

[oxygen]

Er hatte doch den Vorschlag gemacht es aus dem RescueSystem raus zu testen. Das sollte allerdings recht zuverlässig sein. Andere Sachen z.b. SUID lassen sich leicht über find finden.

[dea]

ACK zu øxygens Post. Für die Zukunft ließe sich noch sinnvollerweise ein HIDS (aide, tripwire, samhain) installieren. So ließe sich dann (bei geeignet paranoider Implementation *g*) unter (günstigen) Umständen eine Reinitialisierung resp. Neuinstallation vermeiden und die Offline-Zeit verringern.

[majortermi]

Im Rescue-System die Platte aber sicherheitshalber mit "noexec" mounten. Man kann nie wissen...

[outofbound]

Leuts,

habt ihr in letzter Zeit mal am Kiosk die Zeitschriften durchgeschaut?

Da gibts ein ganz ganz tolles 1337 Mag namens "hackin9", Thema letzten Monat:
Blaster disassembeln und Shellexploits basteln.
Den Monat davor:
libproc patchen, etc.

Allein dadurch, dass solche Techniken Massenware geworden sind (10 Euro hat ja wirklich jedes Kiddie schnell vom Papa geschnorrt), bringt es nichts, wirklich gar nichts, auf einem "vielleicht unsicheren" System (Meiner Meinung nach: Garantiert unsicher) irgendwelche Sicherheitsmechanismen aufzubauen.

Wenn man auf die Schnauze fällt, sollte man vielleicht in Zukunft etwas langsamer laufen und vor allem (!!!!!!^oo) bei Servern sich erstmal wieder ans Zeichenbrett begeben.

Dann brav neu aufsetzen und von Anfang an entsprechende Sicherheitsprozedere einbauen,
dann hat man a) das Verständnis dafür, was man da eigentlich macht und b) die relativ hohe Sicherheit, dass nix von beginn an kaputt ist.

(Erster Schritt bei jedem Neuinit sollte sein: Alles bis auf ssh runter fahren, und dann erstmal updaten und hochpatchen... und damit meine ich NICHT(!) 2 Tage nach dem Reinit sondern gleich(!))

Zur Erklärung:
Neuer Server bestellt, das Teil war 2 Tage oben, ohne dass ich es gemerkt hab (Kam tollerweise keine EMail dazu) , eingeloggt und verseucht wie Sau. (Man möge die Ausdrucksweise verzeihen).

Auf der Kiste ist nichts, wirklich gar nichts gemacht worden, und nichtmal 48 Stunden danach ist die Kiste mehrfach aufgebrochen.

Fands ziemlich erstaunlich, ehrlich gesagt...

Gruss,

Out

[theomega]

weil diese Fragen ja öfters kommen: hilft der safemode hier? weil dann könnte der hacker in /tmp schonmal nicht schreiben!

danke
TO

[outofbound]

[Prediger- mode ON]

Falscher Ansatz.

Richtiger Ansatz:
Selbst wenn ein Angreifer das PHP knacken könnte, sollte er dann nichts
am System drunter erwirken können.

PHP Skripte werden nunmal oft aufgemacht, da gibts kein drum herum,
somit muss man sicherstellen, dass darunter nichts passieren kann.

Bitte das pauschal auffassen, das gilt für alles, was auf dem Server läuft.

Nettes Beispiel: Ich kann hier mein Rootpasswort reinschreiben und es würde
keinem was bringen...

Gruss,

Out