Was bedeuten diese Einträge?

[anmu]

Mein Server ist gehackt worden und nun suche ich nach der Lücke. Ich habe nur die wirklich nötigen Dienste aktiv (pop, mail, ssh, apache, bind und ftp) und habe in den entsprechenden Logfiles gestöbert. Dabei bin ich im error_log vom Apache auf folgendes gestoßen:

Code: Select all

--22:53:23--  http://www.stearns.org/nc/nc-static-exec
           => `nc-static-exec'
Resolving www.stearns.org... done.
Connecting to www.stearns.org[66.59.111.182]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 484,782 [text/plain]

    0K .......... .......... .......... .......... .......... 10%  125.31 KB/s
   50K .......... .......... .......... .......... .......... 21%  471.70 KB/s
  100K .......... .......... .......... .......... .......... 31%  561.80 KB/s
  150K .......... .......... .......... .......... .......... 42%  943.40 KB/s
  200K .......... .......... .......... .......... .......... 52%  625.00 KB/s
  250K .......... .......... .......... .......... .......... 63%  543.48 KB/s
  300K .......... .......... .......... .......... .......... 73%  588.24 KB/s
  350K .......... .......... .......... .......... .......... 84%  561.80 KB/s
  400K .......... .......... .......... .......... .......... 95% 1000.00 KB/s
  450K .......... .......... ...                             100%  418.21 KB/s

22:53:24 (430.77 KB/s) - `nc-static-exec' saved [484782/484782]

Dasselbe kommt dann nochmal mit nc-static-exec.1

Und dann, etwas später:

Code: Select all

--10:54:30--  http://zsuattshellz.homeip.net/%7Earanyos/httpd
           => `/tmp/session_mm_apache0/httpd'
Resolving zsuattshellz.homeip.net... done.
Connecting to zsuattshellz.homeip.net[62.79.123.79]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 27,473 [text/plain]

    0K .......... .......... ......                          100%   19.15 KB/s

10:54:31 (19.15 KB/s) - `/tmp/session_mm_apache0/httpd' saved [27473/27473]

mkdir: cannot create directory `/tmp/session_mm_apache0': File exists
/tmp/session_mm_apache0/httpd: Text file busy
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.

Und dann folgen ca. 35000 Zeilen dieser Art:

Code: Select all

/tmp/session_mm_apache0/updatedb: line 2: ado.txt: Permission denied
/tmp/session_mm_apache0/updatedb: line 2: ado.txt: Permission denied
/tmp/session_mm_apache0/updatedb: line 8: lynx: command not found
/tmp/session_mm_apache0/updatedb: line 8: lynx: command not found

Kann hier jemand eine Sicherheitslücke im Apache (1.3.26, 1und1-root-Server vom Sommer letzten Jahres) ausgenutzt haben? Oder muß ich woanders suchen?

Auf einen von mir selbst aufgesetzten Server würde ich ohne zu fragen den Apache updaten (auf 1.3.31), aber bei dem 1und1-Server bin ich mir nicht sicher, was da alles included (für php, mysql, perl und welche Module) ist...

[anmu]

Noch einen Hinweis: Mögliche Attacks halte ich von intern relativ ausgeschlossen (also vorher Hochladen einer Datei, die dann vom Apache gestartet wird). Wenn, dann müßten dies Attacks von außen sein...

Any Ideas?

Anmu

[silentfog]

Code: Select all

The nc package contains Netcat (the program is actually nc), a simple
utility for reading and writing data across network connections, using
the TCP or UDP protocols. Netcat is intended to be a reliable back-end
tool which can be used directly or easily driven by other programs and
scripts.  Netcat is also a feature-rich network debugging and
exploration tool, since it can create many different connections and
has many built-in capabilities.

You may want to install the netcat package if you are administering a
network and you'd like to use its debugging and network exploration
capabilities.

netcat 1.10 ist standarmäßig installiert.

[captaincrunch]

Kann hier jemand eine Sicherheitslücke im Apache (1.3.26, 1und1-root-Server vom Sommer letzten Jahres) ausgenutzt haben?

Such dir eine aus:
http://www.suse.de/de/security/announcements/index.html

Besonders beliebt sind die Kernel-Bugs.

[silentfog]

Kann hier jemand eine Sicherheitslücke im Apache (1.3.26, 1und1-root-Server vom Sommer letzten Jahres) ausgenutzt haben?

Such dir eine aus:
http://www.suse.de/de/security/announcements/index.html

Besonders beliebt sind die Kernel-Bugs.

:oops: Da war der CC wieder schneller

[anmu]

Ich habe per Konsole yast2 gestartet und versuche mich nun mit dem Online Update. Es sagt mir, daß ich Suse 8.1 habe und bietet mir insgesamt 26 ausgewählte Updates an. Sicherheitshalber wollte ich mit ein paar einfacheren anfangen, aber egal, was ich auswähle, ich bekomme nach dem Starten immer ein "Download failed". Zuerst kommt ein "Retrieving ...", dann Download finished" und dann in einem gerahmten Feld "Error, Download failed."

Hier im Forum und bei Google habe ich zu diesem speziellen Problem nichts gefunden...

Muß ich die Patches alle per Hand einspielen?? Ein Autoupdate oder alle auf einmal wollte ich lieber nicht ausprobieren...

Anmu

[silentfog]

... yast2...

Hallo - dachte dies wäre yast ... egal

Hast Du die Sec.Updates korrekt selektiert gehabt ?

[dodolin]

Muß ich die Patches alle per Hand einspielen??

Du sollst überhaupt keine Patches einspielen. Du sollst die Kiste platt machen und neu aufsetzen! :!:

[silentfog]

Muß ich die Patches alle per Hand einspielen??

Du sollst überhaupt keine Patches einspielen. Du sollst die Kiste platt machen und neu aufsetzen! :!:

:? Dachte, er meinte Sec.Patches einspielen, nach "Neuaufsetzung" des Basissystems ... Zumindest im Fall 1+1 muß der Apache2 gepatched werden ...