Prozess ./a hört auf Port 60666 mit telnet shellzugang

[lukewill]

Hallo,

ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen. Nun zu meinem Problem:

Ich habe auf meinem Server festgestellt das dort ein Prozess "./a" läuft. Dieser Prozess ist von wwwrun gestartet. Die Datei habe ich auch gefunden liegt im /tmp. Dieses Demon hört auf Port 60666, wenn ich nun auf dem Server ein telnet localhost 60666 machen, bekomme ich einen Shellzugang -ohne Passworteingabe natürlich- als wwwrun und kann freudig in Dateisystem umherschlendern.

Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.

Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche. Dazu direkt noch ne Frage: Macht es Sinn die ip-adresse zu verfolgen und ggf. dem Provider ne Nachricht zu schicken?

Ein paar technische infos noch.

rootserver bei server4you
kernel 2.4.21
apache 2.0.48
suse 9.0

offene Ports http, pop3, imap, ssh, 10000, 389, 53

Vielen Dank schon mal
L

[dea]

*hmpf*

*Glaskugel reibt*

Wann lernt Ihr's endlich? Apache 2.0.48 ist installiert, 2.0.52 ist, mit dickem Hinweis auf gestopfte Sicherheitslöcher, aktuell... Ich weiß jetzt allerdings nicht, ob SuSE die Löcher gestopft und die Version beibehalten hat. Da der Prozess aber als wwrun läuft, tippe ich entweder auf einen Apache-Bug oder (mindestens genauso wahrscheinlich) ein grottenschlechtes Skript auf einer Site des Webservers...

Wenn Ihr Euch keine Mühe mit der Systempflege machen wollt (was ja an sich nichts schlimmes ist), dann verwendet eine geeignete Distribution und findet Euch damit ab, dass Ihr dann halt nicht immer die brandheißesten Versionen habt!

[pf4]

Oh war der Typ blöd, bei deinem Kernel gäbe es genügend root-Exoloid's.
Fahre die Kiste in den Rescue Modues und setze erstmal andere PWs
Logs sichern, und Platt machen, lies mal im Forum

PS: Updates tuen nicht weh !

[dea]

Oh war der Typ blöd, bei deinem Kernel gäbe es genügend root-Exoloid's.

Naja, von der Version auf die Fehleranfälligkeit zu schließen ist vorschnell. Es gibt genug Distributionen (afaik auch SuSE) die Fixes für erkannte Bugs in die von ihnen vertriebenen Versionen backporten. Die Versionsnummer bleibt dabei erhalten, ist dann allerdings um den gefixten Fehler ärmer.

PS: Updates tuen nicht weh !

Deine Rechtschreibung aber sehr. Ansonsten stimme ich Dir zu.

[lukewill]

Hallo,

leider haben die drei bisherigen Beiträge mir kaum bis gar nicht geholfen. Auf dem Server sind jetzt (und vorher habe ich das auch in regelmäßigen Abständen gemacht) die aktuellesten Updates drauf. An den Versionsnummer der SW hat dies nichts geändert.

Vielleicht gibt es ja jemanden der weiss wie das funktioniert. Also schlechte Scripte sind soweit mir bekannt nicht auf dem Server vorhanden.


@PF4
Ich persönlich mache es so, dass ich nur dann auf Fragen antworte, wenn ich etwas subtanzielles beitragen kann.

Viele Grüße
L

[floschi]

Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.

Apachelogs? Bash_history der betreffenden User, sofern Shelluser da sind? Btw, auf Rootkits usw. hast du sicherlich kontrolliert, nehme ich an und den Rechner beim geringsten Anzeichen natürlich neu bespielt.

Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche.

Das ist derzeit so, sind Würmer unterwegs.

[Joe User]

Welche PHP-Version ist installiert?
Wie sind Apache/PHP konfiguriert?
Welche PHP-Scripte werden genutzt?

[dea]

Hallo,

leider haben die drei bisherigen Beiträge mir kaum bis gar nicht geholfen. Auf dem Server sind jetzt (und vorher habe ich das auch in regelmäßigen Abständen gemacht) die aktuellesten Updates drauf. An den Versionsnummer der SW hat dies nichts geändert.

OK, dann lassen sich ja schonmal Fehler in den Anwendungen ausschließen. Ist ja schonmal ein kleiner Fortschritt.

Vielleicht gibt es ja jemanden der weiss wie das funktioniert. Also schlechte Scripte sind soweit mir bekannt nicht auf dem Server vorhanden.

Naja, Du könntest ja den fragen, der Deinen Server geknackt hat ;)

Spaß beiseite. Das wichtigste ist, nach dem "Abnabeln" der Maschine vom Netz, zunächst einmal herauszufinden, wie der Angreifer Zugang zu Deiner Maschine erhalten hat. Das bedeutet, alle (wirklich alle!) Logs durchzusehen. Da der von Dir geschilderte Prozess als "wwwrun" läuft, würde ich mit den Apache-Logs beginnen. Danach das normale syslog und so weiter.

Die Annahme, dass keine schlechten Skripte auf Deinem Server laufen ist allerdings meiner Auffassung nach naiv.

So weit wie olfi, das System neu zu installieren, würde ich allerdings vorerst nicht gehen. Das brauchst Du im Zweifelsfall nämlich noch für eine "anständige" Beweissicherung. Wenn die "Forensik" dann abgeschlossen ist, dürfte eine radikale Neuinstallation mehr als angebracht sein.

[lukewill]

Hallo.

Ich habe mal rkhunter laufen lassen, das Tool kommt zu folgendem Ergenis:

Es werden nur 4 Programme als Vulnerable angezeigt:
GnuPG 1.2.2
OpenSSL 0.9.7b
PHP 4.3.3
Procmail MTA 3.15.1

ausser PHP nutze ich keinen der Verdächtigen. Dann wird noch eines als unkown angezeigt: OpenSSH 3.7.1p2

Alle anderen Ausgaben sind im grünen Bereich.

Naja, Du könntest ja den fragen, der Deinen Server geknackt hat ;)

Spaß beiseite. Das wichtigste ist, nach dem "Abnabeln" der Maschine vom Netz, zunächst einmal herauszufinden, wie der Angreifer Zugang zu Deiner Maschine erhalten hat. Das bedeutet, alle (wirklich alle!) Logs durchzusehen. Da der von Dir geschilderte Prozess als "wwwrun" läuft, würde ich mit den Apache-Logs beginnen. Danach das normale syslog und so weiter.

Ich habe das Programm im /tmp mal durch ein Schript ersetzt, sollte derjenige also noch mal vorbei kommen müsste ich das mit bekommen.

Die Apache-logs zeigen folgendes:

[Wed Sep 22 15:33:56 2004] [error] [client 211.196.64.90] user database not found: /
[Wed Sep 22 15:34:01 2004] [error] [client 211.196.64.90] user database not found: /
--22:42:48-- http://membres.lycos.fr/hiddenseeker/telnetd
=> `telnetd'
Resolving membres.lycos.fr... done.
Connecting to membres.lycos.fr[212.78.204.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]

0K .......... .......... .......... .......... .......... 30% 157.23 KB/s
50K .......... .......... .......... .......... .......... 60% 292.40 KB/s
100K .......... .......... .......... .......... .......... 90% 396.83 KB/s
150K .......... ...... 100% 519.20 KB/s

22:42:49 (257.52 KB/s) - `telnetd' saved [170613/170613]

script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
--16:50:42-- http://mystery.hostrocket.com/a.tgz
=> `a.tgz'
Resolving mystery.hostrocket.com... done.
Connecting to mystery.hostrocket.com[216.120.237.78]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8,086 [application/x-tar]

0K ....... 100% 78.18 KB/s

16:50:44 (78.18 KB/s) - `a.tgz' saved [8086/8086]

[Wed Sep 29 03:08:03 2004] [error] [client 218.72.115.62] user not found: /
[Wed Sep 29 13:17:35 2004] [notice] caught SIGTERM, shutting down
[Wed Sep 29 13:18:49 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Sep 29 13:18:49 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Sep 29 13:18:50 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
[Wed Sep 29 22:18:36 2004] [error] [client 80.230.24.63] user not found: /
[Wed Sep 29 22:18:37 2004] [error] [client 80.230.24.63] user admin not found: /

......

[Fri Oct 01 12:47:28 2004] [error] [client 211.220.255.239] user wwwadmin not found: /
--15:34:39-- http://mystery.hostrocket.com/a.tgz
=> `a.tgz.1'
Auflösen des Hostnamen »mystery.hostrocket.com«.... fertig.
Verbindungsaufbau zu mystery.hostrocket.com[216.120.237.78]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 8,086 [application/x-tar]

0K ....... 100% 78.18 KB/s

15:34:40 (78.18 KB/s) - »a.tgz.1« gespeichert [8086/8086]

script not found or unable to stat
script not found or unable to stat
[Sat Oct 02 16:24:40 2004] [notice] caught SIGTERM, shutting down
[Sat Oct 02 16:25:38 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Sat Oct 02 16:25:38 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Sat Oct 02 16:25:38 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
script not found or unable to stat
[Sat Oct 02 19:56:31 2004] [notice] caught SIGTERM, shutting down

Die Annahme, dass keine schlechten Skripte auf Deinem Server laufen ist allerdings meiner Auffassung nach naiv.

Naiv oder nicht, dann sind die schlechten Scripte bei Suse dabei. Installiert ist auf dem Server recht wenig, mal von php, apache,mysql und ldap abgesehen. Aber das dürfte sicherlich für einen Angriff ausreichen.

So weit wie olfi, das System neu zu installieren, würde ich allerdings vorerst nicht gehen. Das brauchst Du im Zweifelsfall nämlich noch für eine "anständige" Beweissicherung. Wenn die "Forensik" dann abgeschlossen ist, dürfte eine radikale Neuinstallation mehr als angebracht sein.

Gegen eine neuinstallation habe ich grundsätzlich nichts, ich möchte nur vorher wissen wie das ganze abgelaufen ist. Sonst nutzt die schönste neuinstallation nix. Vielleicht habe ich die Lücke aber auch durch das letzte update geschlossen, aber um das zu entscheiden muss ich ebenfalls wissen was abgegangen ist.

Welche PHP-Version ist installiert?
Wie sind Apache/PHP konfiguriert?
Welche PHP-Scripte werden genutzt?

4.3.3
php läuft als modul

phpinfo();

Code: Select all

PHP Version 4.3.3 

System  Linux XXXXXX 2.4.21-243-athlon #1 Thu Aug 12 15:24:15 UTC 2004 i686  
Build Date  Jul 15 2004 11:46:29  
Configure Command  './configure' '--prefix=/usr/share' '--datadir=/usr/share/php' '--bindir=/usr/bin' '--libdir=/usr/share' '--includedir=/usr/include' '--sysconfdir=/etc' '--with-_lib=lib' '--with-config-file-path=/etc' '--with-exec-dir=/usr/lib/php/bin' '--disable-debug' '--enable-bcmath' '--enable-calendar' '--enable-ctype' '--enable-dbase' '--enable-discard-path' '--enable-exif' '--enable-filepro' '--enable-force-cgi-redirect' '--enable-ftp' '--enable-gd-imgstrttf' '--enable-gd-native-ttf' '--enable-inline-optimization' '--enable-magic-quotes' '--enable-mbstr-enc-trans' '--enable-mbstring' '--enable-mbregex' '--enable-memory-limit' '--enable-safe-mode' '--enable-shmop' '--enable-sigchild' '--enable-sysvsem' '--enable-sysvshm' '--enable-track-vars' '--enable-trans-sid' '--enable-versioning' '--enable-wddx' '--enable-yp' '--with-bz2' '--with-dom=/usr/include/libxml2' '--with-ftp' '--with-gdbm' '--with-gettext' '--with-gmp' '--with-imap=yes' '--with-iodbc' '--with-jpeg-dir=/usr' '--with-ldap=yes' '--with-mcal=/usr' '--with-mcrypt' '--with-mhash' '--with-mysql=/usr' '--with-ndbm' '--with-pgsql=/usr' '--with-png-dir=/usr' '--with-readline' '--with-snmp' '--with-t1lib' '--with-tiff-dir=/usr' '--with-ttf' '--with-freetype-dir=yes' '--with-xml' '--with-xpm-dir=/usr/X11R6' '--with-zlib=yes' '--with-qtdom=/usr/lib/qt3' '--with-gd' '--with-openssl' '--with-curl' '--with-swf=/usr/src/packages/BUILD/swf/dist/' '--with-imap-ssl' '--enable-xslt' '--with-xslt-sablot' '--with-iconv' '--with-apxs2=/usr/sbin/apxs2-prefork' 'i586-suse-linux'  
Server API  Apache 2.0 Handler  
Virtual Directory Support  disabled  
Configuration File (php.ini) Path  /etc/php.ini  
PHP API  20020918  
PHP Extension  20020429  
Zend Extension  20021010  
Debug Build  no  
Thread Safety  disabled  
Registered PHP Streams  php, http, ftp, https, ftps, compress.bzip2, compress.zlib  

 This program makes use of the Zend Scripting Language Engine:
Zend Engine v1.3.0, Copyright (c) 1998-2003 Zend Technologies  


--------------------------------------------------------------------------------

PHP Credits

--------------------------------------------------------------------------------

Configuration
PHP Core
Directive Local Value Master Value 
allow_call_time_pass_reference On On 
allow_url_fopen On On 
always_populate_raw_post_data Off Off 
arg_separator.input & & 
arg_separator.output & & 
asp_tags Off Off 
auto_append_file no value no value 
auto_prepend_file no value no value 
browscap no value no value 
default_charset no value no value 
default_mimetype text/html text/html 
define_syslog_variables Off Off 
disable_classes no value no value 
disable_functions no value no value 
display_errors On On 
display_startup_errors Off Off 
doc_root no value no value 
docref_ext no value no value 
docref_root no value no value 
enable_dl On On 
error_append_string no value no value 
error_log no value no value 
error_prepend_string no value no value 
error_reporting 2039 2039 
expose_php On On 
extension_dir /usr/share/extensions/no-debug-non-zts-20020429 /usr/share/extensions/no-debug-non-zts-20020429 
file_uploads On On 
gpc_order GPC GPC 
highlight.bg #FFFFFF #FFFFFF 
highlight.comment #FF8000 #FF8000 
highlight.default #0000BB #0000BB 
highlight.html #000000 #000000 
highlight.keyword #007700 #007700 
highlight.string #DD0000 #DD0000 
html_errors On On 
ignore_repeated_errors Off Off 
ignore_repeated_source Off Off 
ignore_user_abort Off Off 
implicit_flush Off Off 
include_path .:/usr/share/php .:/usr/share/php 
log_errors Off Off 
log_errors_max_len 1024 1024 
magic_quotes_gpc On On 
magic_quotes_runtime Off Off 
magic_quotes_sybase Off Off 
max_execution_time 30 30 
max_input_time 60 60 
memory_limit 8M 8M 
open_basedir /srv/www/htdocs/web2/ no value 
output_buffering no value no value 
output_handler no value no value 
post_max_size 8M 8M 
precision 12 12 
register_argc_argv On On 
register_globals On On 
report_memleaks On On 
safe_mode Off Off 
safe_mode_exec_dir /srv/www/htdocs/empty no value 
safe_mode_gid Off Off 
safe_mode_include_dir no value no value 
sendmail_from me@localhost.com me@localhost.com 
sendmail_path /usr/sbin/sendmail -t -i  /usr/sbin/sendmail -t -i  
serialize_precision 100 100 
short_open_tag On On 
SMTP localhost localhost 
smtp_port 25 25 
sql.safe_mode Off Off 
track_errors Off Off 
unserialize_callback_func no value no value 
upload_max_filesize 2M 2M 
upload_tmp_dir /srv/www/htdocs/web2/phptmp/ no value 
user_dir no value no value 
variables_order EGPCS EGPCS 
xmlrpc_error_number 0 0 
xmlrpc_errors Off Off 
y2k_compliance On On 


apache2handler
Apache Version  Apache/2.0.48 (Linux/SuSE)  
Apache API Version  20020903  
Server Administrator  webmaster@XXXXX.net  
Hostname:Port  XXXXXX.de:0  
User/Group  wwwrun(30)/8  
Max Requests  Per Child: 0 - Keep Alive: on - Max Per Connection: 100  
Timeouts  Connection: 300 - Keep-Alive: 15  
Virtual Server  Yes  
Server Root  /srv/www  
Loaded Modules  core prefork http_core mod_so mod_access mod_actions mod_alias mod_auth mod_auth_dbm mod_autoindex mod_cgi mod_dir mod_env mod_expires mod_include mod_log_config mod_mime mod_negotiation mod_setenvif mod_ssl mod_suexec mod_userdir sapi_apache2 mod_rewrite  

Directive Local Value Master Value 
engine 1 1 
last_modified 0 0 
xbithack 0 0 


Apache Environment
Variable Value 
SCRIPT_URL  /phpinfo.php  
SCRIPT_URI  http://www.XXXXXXX.de/phpinfo.php  
HTTP_ACCEPT  image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*  
HTTP_ACCEPT_LANGUAGE  de  
HTTP_ACCEPT_ENCODING  gzip, deflate  
HTTP_USER_AGENT  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)  
HTTP_VIA  1.1 hal9000.local.dom:8080 (Squid/2.4.STABLE7)  
HTTP_X_FORWARDED_FOR  192.168.0.200  
HTTP_HOST  www.XXXXXX.de  
HTTP_CACHE_CONTROL  max-age=259200  
HTTP_CONNECTION  keep-alive  
PATH  /usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin  
SERVER_SIGNATURE  <address>Apache/2.0.48 (Linux/SuSE) Server at www.XXXXXX.de Port 80</address>  
SERVER_SOFTWARE  Apache/2.0.48 (Linux/SuSE)  
SERVER_NAME  www.XXXXXX.de  
SERVER_ADDR  XX.XX.XX.XX  
SERVER_PORT  80  
REMOTE_ADDR  YY.YY.YY.YY  
DOCUMENT_ROOT  /srv/www/htdocs/web2/html/XXXXX.de  
SERVER_ADMIN  webmaster@XXXXXXX.net  
SCRIPT_FILENAME  /srv/www/htdocs/web2/html/XXXX.de/phpinfo.php  
REMOTE_PORT  4518  
GATEWAY_INTERFACE  CGI/1.1  
SERVER_PROTOCOL  HTTP/1.0  
REQUEST_METHOD  GET  
QUERY_STRING  no value  
REQUEST_URI  /phpinfo.php  
SCRIPT_NAME  /phpinfo.php  


HTTP Headers Information
HTTP Request Headers 
HTTP Request  GET /phpinfo.php HTTP/1.0  
Accept  image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*  
Accept-Language  de  
Accept-Encoding  gzip, deflate  
User-Agent  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)  
Via  1.1 hal9000.local.dom:8080 (Squid/2.4.STABLE7)  
X-Forwarded-For  192.168.0.200  
Host  www.XXXX.de  
Cache-Control  max-age=259200  
HTTP Response Headers 
X-Powered-By  PHP/4.3.3  
Connection  close  
Content-Type  text/html; charset=ISO-8859-1  


bcmath
BCMath support  enabled  


bz2
BZip2 Support  Enabled  
BZip2 Version  1.0.2, 30-Dec-2001  


calendar
Calendar support  enabled  


ctype
ctype functions  enabled  


curl
CURL support  enabled  
CURL Information  libcurl/7.10.5 OpenSSL/0.9.7b ipv6 zlib/1.1.4  


dba
DBA support  enabled  
Supported handlers  gdbm ndbm cdb cdb_make inifile flatfile  


domxml
DOM/XML  enabled  
DOM/XML API Version  20020815  
libxml Version  20510  
HTML Support  enabled  
XPath Support  enabled  
XPointer Support  enabled  


exif
EXIF Support  enabled  
EXIF Version  1.4 $Id: exif.c,v 1.118.2.23 2003/06/25 13:21:54 edink Exp $  
Supported EXIF Version  0220  
Supported filetypes  JPEG,TIFF  


ftp
FTP support  enabled  


gd
GD Support  enabled  
GD Version  bundled (2.0.15 compatible)  
FreeType Support  enabled  
FreeType Linkage  with freetype  
T1Lib Support  enabled  
GIF Read Support  enabled  
JPG Support  enabled  
PNG Support  enabled  
WBMP Support  enabled  
XBM Support  enabled  


gettext
GetText Support  enabled  


gmp
gmp support  enabled  


iconv
iconv support  enabled  
iconv implementation  glibc  
iconv library version  2.3.2  

Directive Local Value Master Value 
iconv.input_encoding ISO-8859-1 ISO-8859-1 
iconv.internal_encoding ISO-8859-1 ISO-8859-1 
iconv.output_encoding ISO-8859-1 ISO-8859-1 


imap
IMAP c-Client Version  2001  
SSL Support  enabled  


ldap
LDAP Support  enabled  
RCS Version  $Id: ldap.c,v 1.130.2.4 2003/04/30 21:54:02 iliaa Exp $  
Total Links  0/unlimited  
API Version  2004  
Vendor Name  OpenLDAP  
Vendor Version  20122  


mbstring
Multibyte Support  enabled  
Japanese support  enabled  
Multibyte (japanese) regex support  enabled  

mbstring extension makes use of "streamable kanji code filter and converter", which is distributed under the GNU Lesser General Public License version 2.1. 

Directive Local Value Master Value 
mbstring.detect_order no value no value 
mbstring.encoding_translation Off Off 
mbstring.func_overload 0 0 
mbstring.http_input pass pass 
mbstring.http_output pass pass 
mbstring.internal_encoding UTF-8 UTF-8 
mbstring.language neutral neutral 
mbstring.substitute_character no value no value 


mcal
MCAL Support  enabled  
MCAL Version  0.6 - 20000121  


mcrypt
mcrypt support enabled 
version  >= 2.4.x  
Supported ciphers  cast-128 gost rijndael-128 twofish arcfour cast-256 loki97 rijndael-192 saferplus wake blowfish-compat des rijndael-256 serpent xtea blowfish enigma rc2 tripledes  
Supported modes  cbc cfb ctr ecb ncfb nofb ofb stream  

Directive Local Value Master Value 
mcrypt.algorithms_dir no value no value 
mcrypt.modes_dir no value no value 


mhash
MHASH support  Enabled  
MHASH API Version  20020524  


mysql
MySQL Support enabled 
Active Persistent Links  0  
Active Links  0  
Client API version  4.0.15  
MYSQL_MODULE_TYPE  external  
MYSQL_SOCKET  /var/lib/mysql/mysql.sock  
MYSQL_INCLUDE  -I/usr/include/mysql  
MYSQL_LIBS  -L/usr/lib -lmysqlclient  

Directive Local Value Master Value 
mysql.allow_persistent On On 
mysql.connect_timeout 60 60 
mysql.default_host no value no value 
mysql.default_password no value no value 
mysql.default_port no value no value 
mysql.default_socket no value no value 
mysql.default_user no value no value 
mysql.max_links Unlimited Unlimited 
mysql.max_persistent Unlimited Unlimited 
mysql.trace_mode Off Off 


odbc
ODBC Support enabled 
Active Persistent Links  0  
Active Links  0  
ODBC library  iodbc  
ODBC_INCLUDE  -I/usr/local/include  
ODBC_LFLAGS  -L/usr/local/lib  
ODBC_LIBS  -liodbc  

Directive Local Value Master Value 
odbc.allow_persistent On On 
odbc.check_persistent On On 
odbc.default_db no value no value 
odbc.default_pw no value no value 
odbc.default_user no value no value 
odbc.defaultbinmode return as is return as is 
odbc.defaultlrl return up to 4096 bytes return up to 4096 bytes 
odbc.max_links Unlimited Unlimited 
odbc.max_persistent Unlimited Unlimited 


openssl
OpenSSL support  enabled  
OpenSSL Version  OpenSSL 0.9.7b 10 Apr 2003  


overload
User-Space Object Overloading Support  enabled  


pcre
PCRE (Perl Compatible Regular Expressions) Support  enabled  
PCRE Library Version  4.3 21-May-2003  


pgsql
PostgreSQL Support enabled 
PostgreSQL(libpq) Version  7.3.4  
Multibyte character support  enabled  
SSL support  enabled  
Active Persistent Links  0  
Active Links  0  

Directive Local Value Master Value 
pgsql.allow_persistent On On 
pgsql.auto_reset_persistent Off Off 
pgsql.ignore_notice Off Off 
pgsql.log_notice Off Off 
pgsql.max_links Unlimited Unlimited 
pgsql.max_persistent Unlimited Unlimited 


posix
Revision  $Revision: 1.51.2.2 $  


qtdom
qtdom support enabled 


session
Session Support  enabled  
Registered save handlers  files user  

Directive Local Value Master Value 
session.auto_start Off Off 
session.bug_compat_42 On On 
session.bug_compat_warn On On 
session.cache_expire 180 180 
session.cache_limiter nocache nocache 
session.cookie_domain no value no value 
session.cookie_lifetime 0 0 
session.cookie_path / / 
session.cookie_secure Off Off 
session.entropy_file no value no value 
session.entropy_length 0 0 
session.gc_divisor 100 100 
session.gc_maxlifetime 1440 1440 
session.gc_probability 1 1 
session.name PHPSESSID PHPSESSID 
session.referer_check no value no value 
session.save_handler files files 
session.save_path /tmp /tmp 
session.serialize_handler php php 
session.use_cookies On On 
session.use_only_cookies Off Off 
session.use_trans_sid Off Off 


shmop
shmop support  enabled  


snmp
UCD-SNMP Support  enabled  
UCD-SNMP Version  4.2.6  


standard
Regex Library  Bundled library enabled  
Dynamic Library Support  enabled  
Path to sendmail  /usr/sbin/sendmail -t -i  

Directive Local Value Master Value 
assert.active 1 1 
assert.bail 0 0 
assert.callback no value no value 
assert.quiet_eval 0 0 
assert.warning 1 1 
auto_detect_line_endings 0 0 
default_socket_timeout 60 60 
safe_mode_allowed_env_vars PHP_ PHP_ 
safe_mode_protected_env_vars LD_LIBRARY_PATH LD_LIBRARY_PATH 
url_rewriter.tags a=href,area=href,frame=src,input=src,form=,fieldset= a=href,area=href,frame=src,input=src,form=,fieldset= 
user_agent no value no value 


swf
swf support  enabled  


tokenizer
Tokenizer Support  enabled  


wddx
WDDX Support enabled 
WDDX Session Serializer  enabled  


xml
XML Support  active  
XML Namespace Support  active  
EXPAT Version  1.95.6  


xslt
XSLT support  enabled  
Backend  Sablotron  
Sablotron Version  0.98  
Sablotron Information  Cflags: -O2 -march=i586 -mcpu=i686 -fmessage-length=0 Libs: -L/usr/lib -lexpat Prefix: /usr  


yp
YP Support  enabled  


zlib
ZLib Support  enabled  
Compiled Version  1.1.4  
Linked Version  1.1.4  

Directive Local Value Master Value 
zlib.output_compression Off Off 
zlib.output_compression_level -1 -1 
zlib.output_handler no value no value 


Additional Modules
Module Name 
dbase 
filepro 
sysvsem 
sysvshm 


Environment
Variable Value 
CONSOLE  /dev/console  
TERM  linux  
SHELL  /bin/sh  
get_module_list_done  true  
progress  19  
INIT_VERSION  sysvinit-2.82  
REDIRECT  /dev/tty1  
COLUMNS  100  
get_includes_done  true  
PATH  /usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin  
vga  0x303  
RUNLEVEL  3  
PWD  /  
PREVLEVEL  N  
LINES  37  
HOME  /  
SHLVL  2  
splash  silent  
sscripts  21  
_  /sbin/startproc  
DAEMON  /usr/sbin/httpd2-prefork  
SWFFONTPATH  /usr/share/php/swffonts  


PHP Variables
Variable Value 
PHP_SELF  /phpinfo.php  
_SERVER["SCRIPT_URL"] /phpinfo.php 
_SERVER["SCRIPT_URI"] http://www.XXXXX.de/phpinfo.php 
_SERVER["HTTP_ACCEPT"] image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */* 
_SERVER["HTTP_ACCEPT_LANGUAGE"] de 
_SERVER["HTTP_ACCEPT_ENCODING"] gzip, deflate 
_SERVER["HTTP_USER_AGENT"] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar) 
_SERVER["HTTP_VIA"] 1.1 hal9000.local.dom:8080 (Squid/2.4.STABLE7) 
_SERVER["HTTP_X_FORWARDED_FOR"] 192.168.0.200 
_SERVER["HTTP_HOST"] www.XXXXX.de 
_SERVER["HTTP_CACHE_CONTROL"] max-age=259200 
_SERVER["HTTP_CONNECTION"] keep-alive 
_SERVER["PATH"] /usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin 
_SERVER["SERVER_SIGNATURE"] <address>Apache/2.0.48 (Linux/SuSE) Server at www.XXXXX.de Port 80</address>  
_SERVER["SERVER_SOFTWARE"] Apache/2.0.48 (Linux/SuSE) 
_SERVER["SERVER_NAME"] www.XXXXX.de 
_SERVER["SERVER_ADDR"] XX.XX.XX.XX 
_SERVER["SERVER_PORT"] 80 
_SERVER["REMOTE_ADDR"] YY.YY.YY.YY 
_SERVER["DOCUMENT_ROOT"] /srv/www/htdocs/web2/html/XXXXX.de 
_SERVER["SERVER_ADMIN"] webmaster@XXXXXX.net 
_SERVER["SCRIPT_FILENAME"] /srv/www/htdocs/web2/html/XXXX.de/phpinfo.php 
_SERVER["REMOTE_PORT"] 4518 
_SERVER["GATEWAY_INTERFACE"] CGI/1.1 
_SERVER["SERVER_PROTOCOL"] HTTP/1.0 
_SERVER["REQUEST_METHOD"] GET 
_SERVER["QUERY_STRING"] no value 
_SERVER["REQUEST_URI"] /phpinfo.php 
_SERVER["SCRIPT_NAME"] /phpinfo.php 
_SERVER["PHP_SELF"] /phpinfo.php 
_SERVER["PATH_TRANSLATED"] /srv/www/htdocs/web2/html/XXXXX.de/phpinfo.php 
_SERVER["argv"] Array
(
)
 
_SERVER["argc"] 0 
_ENV["CONSOLE"] /dev/console 
_ENV["TERM"] linux 
_ENV["SHELL"] /bin/sh 
_ENV["get_module_list_done"] true 
_ENV["progress"] 19 
_ENV["INIT_VERSION"] sysvinit-2.82 
_ENV["REDIRECT"] /dev/tty1 
_ENV["COLUMNS"] 100 
_ENV["get_includes_done"] true 
_ENV["PATH"] /usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin 
_ENV["vga"] 0x303 
_ENV["RUNLEVEL"] 3 
_ENV["PWD"] / 
_ENV["PREVLEVEL"] N 
_ENV["LINES"] 37 
_ENV["HOME"] / 
_ENV["SHLVL"] 2 
_ENV["splash"] silent 
_ENV["sscripts"] 21 
_ENV["_"] /sbin/startproc 
_ENV["DAEMON"] /usr/sbin/httpd2-prefork 
_ENV["SWFFONTPATH"] /usr/share/php/swffonts 

An Register Global liegt es nicht, ist erst seit kurzem auf on.

Viele Grüße
L

[sascha]

safe_mode Off & mod_php & apache2-prefork = schlechte Kombination.

Die eigentliche Lücke ist aber mit Sicherheit in einem deiner Scripte zu finden.

[svenk]

Brauchst du unbedingt im php den exec befehl? Wenn enin würde ich den rausmachen. Dann würde ich noch verbieten das man externe files includen kann. register_globals auf off und deine scripte richtig scripten. Ist besser als andersrum.

Mit dem log vom Apache schliese ich darauf das ein user mit einem include eine externe php datei includet hat worauf er dann mit einem exec("wget ... sich die files gezogen hat und bei dir im tmp gestartet.

Im eigentlichen war es dann dein apache der dank dem schlechten filtern der eingaben der user im php einfach das machte was er nicht soll.

Ist mal so meine vermutung. Ich würde erstmal alle Scripte Offline stellen und überarbeiten.

[Joe User]

... einfach das machte was er nicht soll.

s/nicht//

[lukewill]

Hallo,

zunächst mal ein Dank an alle die sich Gedanken gemacht haben.

Die Ursache bzw. Lücke ist noch nicht vollends erkannt, ich bin aber noch auf der Suche und informiere, wenn ich alle Informationen habe. Mit dem Server dürfte ich noch mal Glück gehabt haben. Ich habe die Kiste nun mit unterschiedlichen Methoden untersucht und bin mir recht sicher das zwar die Datei hochgeladen und der Prozess gestartet worden ist, aber der Angreifer dann an der Firewall hängen geblieben ist.

Die php-Konfiguration habe ich dann auch noch direkt mal sicherer gemacht, war recht lasch, aber aus Fehlern lehrnt man ja am besten.

safe_mode Off & mod_php & apache2-prefork = schlechte Kombination.

Die eigentliche Lücke ist aber mit Sicherheit in einem deiner Scripte zu finden.

Ã?ber safe_mode on oder off will ich keine grundsätzliche Diskussion beginnen, aber was mir nicht klar ist warum gerade diese Kombination schlecht ist.

@Sascha, vielleicht kannst Du mir dazu ja noch ein paar Hinweise geben.

Viele Grüße
L

[sascha]

Also...

Den safe_mode sollte man m.M.n. nur dann ausschalten wenn:

- PHP Scripte nicht unter der Apache UID/GID ausgeführt werden. Dies kann man u.A. mittels suPHP erreichen.

oder

- man ein Apache MPM verwendet, mit dem der komplette Apache Child unter einer "Kunden" UID/GID läuft. Also beispielsweise "Perchild" oder "metux". Wobei letzteres angeblich sogar stabil laufen soll.

oder

Man auf Sicherheit keinen Wert legt.

[bierhasser]

Hab mal spasseshalber diese
h**p://membres.lycos.fr/hiddenseeker/telnetd
heruntergeladen. Antivir hatte sofort losgeschlagen Linux-Virus Linux/Rst.B
Quelle: http://www.sophos.de/virusinfo/analyses/linuxrstb.html

Linux/Rst-B versucht, alle ELF-Programme im aktuellen Arbeitsverzeichnis und im Verzeichnis /bin zu infizieren.
Wenn Linux/Rst-B von einem privilegierten Benutzer ausgeführt wird, kann er versuchen, eine "Backdoor" auf dem System zu erstellen. Er erreicht dies, indem er eine Socket öffnet und auf ein bestimmtes Paket wartet, das Angaben über den Ursprung des Angreifers sowie den Befehl enthält, den der Angreifer auf dem System ausführen möchte.

[gamecrash]

Hallo,

ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen.

Das ist nicht "natürlich". Das hättest Du nämlich schon tun sollen, bevor Du den Server überhaupt bestellt hast.

Es werden nur 4 Programme als Vulnerable angezeigt

Nur? Hm, für mich sind vier Sicherheitslücken auf einem Server mindestens vier zu viel. Ich weiß aber nicht, wie schlau das Programm ist (kenne ich nicht), wenn's natürlich nur auf die Versionsnummern guckt dann ist das Ergebnis sowieso wertlos... (mal abgesehen, dass das Ergebnis von einem kompromitierten System aus sowieso wertlos ist).