Serverüberlastung durch Perl

[sllnd]

Hallo zusammen,

erstmal frohe Weihnachten zusammen.....

ich habe folgendes Problem:

bei der top anzeige kommen mir direkt 10 Prozesse zu sichten, welche durch den benutzer wwwrun mit dem command perl ausgeführt werden.

diese verbrauchen ziemlich viele ressourcen, nur ich weiss einfach nicht woher das kommt.....in den apache logs habe ich folgendes gefunden:

[Sun Dec 26 02:50:38 2004] [error] [client 66.196.90.50] unable to include potential exec "include/bottom.html" in parsed file /usr/share/apache2/error/HTTP_NOT_FOUND.html.var
--03:11:43-- http://www.h4ck3rsbr.net/Virus.txt
=> `Virus.txt'
Resolving http://www.h4ck3rsbr.net... done.
Connecting to http://www.h4ck3rsbr.net[70.84.229.131]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 19,717 [text/plain]

0K .......... ......... 100% 75.81 KB/s

03:11:43 (75.81 KB/s) - `Virus.txt' saved [19717/19717]

--03:11:43-- http://locais.v10.com.br/w
=> `w'
Resolving locais.v10.com.br... done.
Connecting to locais.v10.com.br[200.179.212.3]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.v10.com.br/error_404.htm [following]
--03:11:48-- http://www.v10.com.br/error_404.htm
=> `error_404.htm'
Resolving http://www.v10.com.br... done.
Connecting to http://www.v10.com.br[200.179.212.3]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,774 [text/html]

0K .... 100% 1.63 KB/s

03:11:58 (1.63 KB/s) - `error_404.htm' saved [4774/4774]

Can't open perl script "w": No such file or directory

Das sieht so für mich aus, als wenn jemand über wget Dateien aufn Server schiebt.

Zur Info Safe_mode ist aus. Apache Version 2.0.48 aufm Suse-System.

Ich hoffe mir kann jemand damit weiterhelfen.

[captaincrunch]

Schmeiß deine PHP-Scripte weg, oder schreib sie sicher: http://www.heise.de/newsticker/meldung/54623

[sllnd]

Sind das dann 10 Prozesse mit Perl von wwwrun ?!

Reicht es, wenn ich mich gegen diesen Wurm mit

allow_url_fopen = off

schütze ?

[Joe User]

Nein, das deaktivieren von allow_url_fopen reicht nicht aus! Alle verfügbaren Updates einspielen und zusätzlich mindestens folgende RewriteRule als Traffikbremse in die httpd.conf einfügen:

Code: Select all

RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)wget%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

[sllnd]

Muss ich diese aber nicht wirklich in denen VHost schreiben oder ?

[Joe User]

Wenn Du die Rules pauschal für alle vhosts setzen willst, dann füge sie ganz am Ende der httpd.conf ein, ansonsten per vhost.

[sllnd]

Perfekt, danke schön, werde es mal mit in die config einfügen....

schöne eihnachtstage noch

[evgueni]

Hallo

ich habe heute ähnliche Aktivitäten auf meinem Server festgestellt.
Die Serverlast stieg in ca. 2 Stunden von 0,5-0,7 (normal) auf 25 - 35!!!
Alles nur durch ganz viele perl-Prozesse vom Benutzer wwwrun.

Ich habe jetzt erstmal das phpbb-Verzeichnis von Netz genommen und den Server neu rebootet. Im tmp-Verzeichnis habe ich eine Installation von irgendeinem psyBNC 2.3 BETA gefunden. Hat irgendwas mit IRC zu tun und ich habe es mit sicherheit nicht runtergeladen.

So, nun meine Frage:
ist das der Santy-Worm oder kann es auch was anderes sein? Reicht es aus einfach das phpbb2 zu updaten? und wie kriege ich raus, ob dieser psyBNC eventuell noch aktiv ist?

Danke schon mal im Voraus für die Antworten!

[sllnd]

Also ich habe jetzt mal ein Update durchgeführt, Temp Verzeichnis geleert obwohl da nichts großartiges drinnen war, php eingestellt und die rewrite regel muss ich noch einfügen.

bis jetzt hat sich nichts merh getan, muss aber mal ein paar tage beobachten.....

[Joe User]

ist das der Santy-Worm

Ja, Santy.C

Reicht es aus einfach das phpbb2 zu updaten?

Nein! Das System muss reinitialisiert und anschliessend sofort alle verfügbaren Updates eingespielt werden.

[sllnd]

sprich mein system müsste ich auch neu aufsetzen ?

[Joe User]

sprich mein system müsste ich auch neu aufsetzen ?

Ja.

[sllnd]

Ok, Danke Schön!

[streicher]

Als Trafficbremse hilt auch folgendes in der .htaccess:

Code: Select all

SetEnvIfNoCase User-Agent ".*lwp.*" spambot=1

<Limit GET POST PUT>
   Order allow,deny
   deny from env=spambot
   allow from all
</Limit> 

Hilft natürlich nicht mehr, wenn schon eine Lücke in den PHP-Scripten gefunden wurde.

[evgueni]

Nein! Das System muss reinitialisiert und anschliessend sofort alle verfügbaren Updates eingespielt werden.

Das meinst du doch nicht ernst, oder? Gibt es denn kein "Heilmittel" gegen den Virus? Ich muss sagen, ich bin mir auch überhaupt nicht sicher, ob der Server noch infiziert ist. Denn seit dem Reboot läuft alles wieder normal, kein perl mehr zu sehen :-D

Ich habe auch mit einem Skript aus dem phpbb2-Supportforum meine Dateien im Forum-Verzeichnis überprüft und keine Infizierung gefunden. Das ist ja das Verwunderliche: überall schreibt man zu dem Worm, dass er die HTML-Dateien unleserlich macht, sodass man auf der Hauptseite nur noch so was Ã?hnliches wie "Site down" lesen kann. Mein Forum ging aber noch, als ich die perl-Aktivität bemerkt und die Dateien aus dem Netz genommen hatte.

Gibt es denn eine andere Möglichkeit um festzustellen, ob noch Reste von dem Worm drauf sind?

[alexander newald]

Reicht es aus einfach das phpbb2 zu updaten?

Nein! Das System muss reinitialisiert und anschliessend sofort alle verfügbaren Updates eingespielt werden.

Auch wenn ich normalerweise dazu immer zustimme - Hier: Warum? Wenn das Einfasstor phpbb2 war sollten eigendlich nur Dateien, auf die wwwrun Zugriff hat, betroffen sein. Nicht schön aber eigendlich auch kein Grund den Server platt zu machen und in Hektik neu aufzusetzen und dabei vielleicht ein viel wichtigeres Update als das von phpbb2 zu vergessen.

[Joe User]

Das meinst du doch nicht ernst, oder? Gibt es denn kein "Heilmittel" gegen den Virus?

Das meine ich durchaus ernst, denn Santy.C und die potentiellen Nachfolger installieren mindestens eine Backdoor.

Ich habe auch mit einem Skript aus dem phpbb2-Supportforum meine Dateien im Forum-Verzeichnis überprüft und keine Infizierung gefunden. Das ist ja das Verwunderliche: überall schreibt man zu dem Worm, dass er die HTML-Dateien unleserlich macht, sodass man auf der Hauptseite nur noch so was Ã?hnliches wie "Site down" lesen kann. Mein Forum ging aber noch, als ich die perl-Aktivität bemerkt und die Dateien aus dem Netz genommen hatte.

Das Script aus dem Supportforum prüft lediglich auf Santy.A und war bereits bei seiner Veröffentlichung out-of-date.

Gibt es denn eine andere Möglichkeit um festzustellen, ob noch Reste von dem Worm drauf sind?

Nein.

[oxygen]

Reicht es aus einfach das phpbb2 zu updaten?

Nein! Das System muss reinitialisiert und anschliessend sofort alle verfügbaren Updates eingespielt werden.

Auch wenn ich normalerweise dazu immer zustimme - Hier: Warum? Wenn das Einfasstor phpbb2 war sollten eigendlich nur Dateien, auf die wwwrun Zugriff hat, betroffen sein. Nicht schön aber eigendlich auch kein Grund den Server platt zu machen und in Hektik neu aufzusetzen und dabei vielleicht ein viel wichtigeres Update als das von phpbb2 zu vergessen.

Richtig. Sollte. Niemand kann aber mit Sicherheit sagen, ob nicht mehr dadrüber rein gekommen ist und z.B. ein local-root exploit ausgenutzt worden ist, um z.b. ein Rootkit zu installieren.

[alexander newald]

Ok, das ist ein Grund, wenn man sonst keine weiteren Sicherheitsvorkehrungen hat.

[evgueni]

Na ja, ich glaube øxygen hat recht. Ich weiß ja nicht was der Wurm noch alles getan hat. Schließlich konnte er ja den IRC-Bot installieren, also könnte er ja theoretisch jede Anwendung gestartet haben.

Ich werde mein System neu installieren.

[linux]

ok ich hatte den auch am 20.12 eingefangen und er war dann im /tmp. ich konnte auch sehen woher er den hatte, da der server mir dann nen error log gab, und ich hab mir das per script auch geholt, leider hab ich es erst vorgestern bemerkt, aber wies aussieht war das ding für slackwave gedacht. nun hab ich aber noch ne frage, ist es normal, daß perl auch nen port 20000 nach außen aufmacht mit listen . ok klar server neu aufsetzten, aber so schnell geht das nicht, denn ich brauche erstmal 2. server. hat jemand auch schon so was gesehen ?
tcp 0 0 0.0.0.0:20000 0.0.0.0:* LISTEN 1784/perl

danke

update vom problem ich hab gesehen daß dort
miniserv. 1784 root 3u IPv4 3333 TCP *:20000 (LISTEN)

läuft, das scheint aber ein webmin program und zwar der perl web server zu sein, und das obwohl der webmin nicht lüft.

aber zurück zum problem wenn jemand ein programm installiert hat muß dieses doch auch auf einem port listen? oder nicht denn sonst kann er sich ja nicht einloggen. wenn also keine ports offen sind die nicht ok sind kann sich doch keiner einloggen, oder?

[linux]

so falls jemnad will kann er den quelltext der files haben, der bei mir drauf war. ich kann nur sagen nett schelcht, da war echt ne backdoor dabei. alles andere dann per pn

gruß

linux

[Joe User]

Die Sourcen der Santy-Würmer sind alle frei verfügbar, daher sind sowohl Deine Recherche, als auch Dein Angebot nicht nötig ;)

[linux]

klar aber nicht jeder nimmt einfach den wurm und ändert ihn nicht. ich weiß wenigsten nun was der installeren wollte und kann zu 99% sagen er hats zum glück nicht geschafft aber totzdem werde ich das system neu aufsetzten.

gruß

linux

[adjustman]

Was haltet ihr davon? Kennt das jemand? Ich habs im Einsatz.
Das Programm wird ständig gepflegt und updatet sich, per Befehl, selbst.

http://www.rootkit.nl/projects/rootkit_hunter.html

Ich hab grad gesehen, dass hier noch phpBB 2.0.6 läuft. Nicht auf 2.0.11 upgedatet? :roll: