Hilfe, was ist das?

[der dude]

Moin,

ich habe gerade arge Probleme. In den apache error_log finde ich folgende komischen Einträge:

Code: Select all

--22:49:30--  http://home.arcor.de/powered.by.x2k/xx.txt
  (try: 2) => `xx.txt.2'
Connecting to home.arcor.de|151.189.20.30|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,632 (16K) [text/plain]

    0K .......... ......                                     100%    1.24 MB/s

22:49:30 (1.24 MB/s) - `xx.txt.2' saved [16632/16632]

kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]
kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  6 16632    6  1159    0     0  18721      0 --:--:-- --:--:-- --:--:-- 18721100 16632  100 16632    0     0   228k      0 -
-:--:-- --:--:-- --:--:-- 1678k
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  6 16632    6  1159    0     0  18583      0 --:--:-- --:--:-- --:--:-- 18583100 16632  100 16632    0     0   217k      0 -
-:--:-- --:--:-- --:--:-- 1259k
kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]
kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]

Davon gibts ne ganze Menge. Zudem habe ich unter "top" 100derte "perl" Prozesse am laufen. Wie kann ich herausfinden, bei welchem User da ein Script Amok läuft? Das kann ja nicht normal sein. Hatte vorhin einen Load von 103. Da brennts ordentlich.

Gruß

[cat]

aehm,

haste Dir die Datei da mal angeschaut? .. dieses http://home.arcor.de/powered.by.x2k/xx.txt <- ;)

ich glaub, das beantwortet alle Fragen

Gruesse
Cat

[Roger Wilco]

Zudem habe ich unter "top" 100derte "perl" Prozesse am laufen.

Glückwunsch! Da läuft wohl gerade eine DoS auf einen anderen Server. Keine Sorge, irgendwann sperrt der Provider sicher deinen Server.

[der dude]

So, besagte xx.txt war 2 mal auf meinem Server vorhanden. Einmal im /tmp Ordner und einmal in nem Userverzeichnis.

Beide sind gelöscht und die perl Prozesse hab ich gekillt.

Kann mir noch jemand verraten, wie ich herausfinde, wie der Angreifer auf den Server gekommen ist?

@Roger Wilco,

das ist vielleicht richtig, nur hilft mir deine Aussage nicht wirklich weiter.

Gruß

[Roger Wilco]

1. Sichere deine Logfiles. Vollständig.
2. Fahre den Server herunter oder starte ihn in einem Rescue-System, falls dein Provider so etwas anbietet.
3. Analysiere die Logs und ggf. die Festplatte von dem Rescue-System aus.
4. Wenn du dir nicht 100%-ig sicher bist, was der Angreifer genau gemacht hat, installiere das System neu.

[Joe User]

Kann mir noch jemand verraten, wie ich herausfinde, wie der Angreifer auf den Server gekommen ist?

Unsichere Software. http://www.rootforum.org/faq/index.php? ... artlang=de

das ist vielleicht richtig, nur hilft mir deine Aussage nicht wirklich weiter.

Viel Spass...

[der dude]

Ja danke, macht unheimlich viel Spaß. :-)

Also nach genaueren prüfen der Logs habe ich festgestellt, das dies schon seit fast 1 Woche so läuft. Sollte der Angreifer was böses vorhaben, hätte er es wohl schon längst getan.

ICh habe die xx.txt zwar alle gelöscht, aber im /tmp kommt Sie immer wieder. Zudem habe ich jetzt fogende Datei ins /tmp gefunden:

/tmp/FIX_YOUR_MAMBOS.TXT

mit dem Inhalt:

Code: Select all

please fix your mambo installationes - regards, Sven Michels, smichels@sectoor.de

Gruß


PS: Zumindest hat das gespamme aufgehört und der Server dümpelt wieder mit nem Load von 0,13 vor sich her.

Gruß

[Joe User]

Code: Select all

please fix your mambo installationes - regards, Sven Michels, smichels@sectoor.de

Sollen wir die Warnung noch übersetzen, oder warum machst Du es nicht?

[der dude]

Code: Select all

please fix your mambo installationes - regards, Sven Michels, smichels@sectoor.de

Sollen wir die Warnung noch übersetzen, oder warum machst Du es nicht?

Joe User,

ich habe dies eigentlich nur der vollständigkeithalber dazu geschrieben. Ein bisschen Englisch kann ich auch.

Gruß

[darkman]

Hallo,

die TXT ist von mir. Ich hab dem Bot-Owner mal sein 200 Kisten umfassendes
Netz geklaut und den Mist ueberwiegend deinstalliert. Abusemails gehen
morgen raus (zuviele, muss in 6 Std. raus).
Befolge einfach was drin steht, andernfalls hast Du ja jetzt min. 2
Kontaktwege.

Gruesse,
Sven 'Darkman' Michels

[mor_dark]

da war aber mal wer nett zu dir dude (-:

[der dude]

Hallo,

die TXT ist von mir. Ich hab dem Bot-Owner mal sein 200 Kisten umfassendes
Netz geklaut und den Mist ueberwiegend deinstalliert. Abusemails gehen
morgen raus (zuviele, muss in 6 Std. raus).
Befolge einfach was drin steht, andernfalls hast Du ja jetzt min. 2
Kontaktwege.

Gruesse,
Sven 'Darkman' Michels

Der Account wurde jetzt eh erstmal gesperrt, da es nicht meine Installation ist. Bis sich der Besitzer meldet bleibt erstmal alles gesperrt.

Gruß

[cat]

Der Account wurde jetzt eh erstmal gesperrt, da es nicht meine Installation ist. Bis sich der Besitzer meldet bleibt erstmal alles gesperrt.

Gruß

hmm ... biste sicher, dass es langt, dass der Account gesperrt wird? Immernhin wurde Deine Kiste aufgemacht.. wer sagt, dass nicht auch ein rootkit installiert wurde?