Hallo,
ich bin mom mit meinem Latein am Ende.
Ich habe folgendes Problem:
Ich habe vor 3 Tagen nen Server mit nem SUSE8.1 System gehabt. Dann bekam ich von 1&1 die meldung, das über meinen Server eine DOS-Atakke aufgeführt wurde. In den Logfiles konnte ich nicht wirklich einen Einbruch feststellen. Wg. der Sicherheit habe ich dann mein System komplett neu reinitialisieren lassen und dann eine Suse9.1 System gewählt. Nun bekam ich heute Nacht wieder die Meldung, das mein Server gesperrt wurde, da er ein DOS-Atakke gefahren hatte.
Ich verstehe das nur nicht ganz. Komplett neues System & neue Passwörter aber trotzdem eine DDOS von meinem Rechner???
Auf meinem Server laufen verschiedene CMS-Systeme. Ist es vllt. darüber möglich eine DOS-Attake zu starten? Anderes kann ich es mir nicht vorstellen.
Gruß
Tobias
Server neu reinitialisiert & trotzdem DOS-Attake
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Es ist IMHO nicht moeglich darueber eine DDOS zu machen aber es ist sicherlich moeglich, darueber Zugriff auf den Rootie zu erhalten um dabach damit eine DDOS zu machen.
Und uebrigens ist SuSE 9.1 auch nicht mehr die aktuellste Version was Sicherheitsupdates angeht.
Und uebrigens ist SuSE 9.1 auch nicht mehr die aktuellste Version was Sicherheitsupdates angeht.
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Bulletin-Boards und Joomla scheinen derzeit sehr beliebt. Man schiebt Dir eine geforgte URL unter, mit der das CMS eine Perl-Datei con einem Server nachlädt und ausführt. Diese öffnet Bots eine simple Shell, über die Angriffe gefahren werden können. Wir hatten in den letzten Tagen ein halbes Dutzend Threads zu derartigen Angriffen. Stöbern hilft Dir sicher weiter...tsaenger wrote: Auf meinem Server laufen verschiedene CMS-Systeme. Ist es vllt. darüber möglich eine DOS-Attake zu starten? Anderes kann ich es mir nicht vorstellen.
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Hallo,
Ich habe nun mal meine Logs genauer studiert und mir ist folgender Eintrag in der error_log aufgefallen:
error: 'kern.ostype' is an unknown key
[Tue Sep 19 23:05:36 2006] [error] [client 62.0.121.151] File does not exist: /home/htdocs/web29/html/favicon.ico
error: 'kern.ostype' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.ostype' is an unknown key
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
gefolgt von:
Tobias
Ich habe nun mal meine Logs genauer studiert und mir ist folgender Eintrag in der error_log aufgefallen:
error: 'kern.ostype' is an unknown key
[Tue Sep 19 23:05:36 2006] [error] [client 62.0.121.151] File does not exist: /home/htdocs/web29/html/favicon.ico
error: 'kern.ostype' is an unknown key
error: 'kern.ostype' is an unknown key
error: 'kern.ostype' is an unknown key
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
gefolgt von:
Das erscheit mir sehr merkwürdig.[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p151xx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:33 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:40:36 2006] [notice] Apache/2.0.49 (Linux/SuSE) configured -- resuming normal operations
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p1xxxxx.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p1xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p151xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p15xxxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p1xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:04 2006] [notice] Apache/2.0.49 (Linux/SuSE) configured -- resuming normal operations
Tobias
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Ist es aber nicht. Ein unpassendes Zertifikat stört nicht weiter. Du solltest liebr mal deine AccessLogs nach ungewöhnlichen GET-Parametern durchsuchen...tsaenger wrote:
gefolgt von:
Das erscheit mir sehr merkwürdig.
[Tue Sep 19 23:48:00 2006] [warn] RSA server certificate CommonName (CN) `confixx.p1xxx4.pureserver.info' does NOT match server name!?
[Tue Sep 19 23:48:04 2006] [notice] Apache/2.0.49 (Linux/SuSE) configured -- resuming normal operations
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Aber was soll denn das:
Tobias
Im internet habe ich mal nachgeschaut und da wird bogus als malware bezeichneterror: 'kern.ostype' is an unknown key
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
Tobias
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Also ich bin nun fündig geworden.
Es gibt eine Datei auf meinem Server namens FR_Spell.php hinter der versteckt sich die
r57shell 1.31
Nun suche ich noch nach weiteren versteckten Dateien.
Hat jemand schon mit der shell erfahrung und kann mir sagen, was damit alles anzustelle ist?
Tobias
Es gibt eine Datei auf meinem Server namens FR_Spell.php hinter der versteckt sich die
r57shell 1.31
Nun suche ich noch nach weiteren versteckten Dateien.
Hat jemand schon mit der shell erfahrung und kann mir sagen, was damit alles anzustelle ist?
Tobias
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Normalerweise bedeutet ne Shell egal welche auf dem Rechner ein neuinstall.. man kann alles mögliche darüber ausführen, wenn er ein rootkit installiert hat ist es schwer das zu finden.. chkrootkit oder rkhunter finden bei weitem nicht alle.
Wichtig ist zu erfahren wie die Shell auf deinen rechner gelangte und das wird zu 99% über eines deiner cms systeme (oder boards) geschehen sein, ich tippe auf ein nicht aktualisiertes Joomla (letzte Lücke public vor ~3 Wochen) und darüber hat er dann den Schadcode geladen.. es KANN sein das er nur nen DoS/SSH Scan ausgeführt hat, aber wie gesagt: wissen kannst Du das nicht.
Access.log(s) nach FR_Spell.php durchsuchen (oder was sich sonst noch in /tmp versteckt das Script ausfindigmachen nachschauen warum es gehackt wurde (also die Webseite besuchen security Informationen suchen ...) danach System neu installieren.
Heutzutage werden sicherlich mehr Seiten/Server durch Webapplikations-Exploits (Mambo/phpKit/phpBB) übernommen als durch andere Lücken, einfach weil man verwundbare Systeme leicht per google findet.
btw: Du hast mehrere Schreibweisen für Attacke benutzt und alle waren falsch.
Wichtig ist zu erfahren wie die Shell auf deinen rechner gelangte und das wird zu 99% über eines deiner cms systeme (oder boards) geschehen sein, ich tippe auf ein nicht aktualisiertes Joomla (letzte Lücke public vor ~3 Wochen) und darüber hat er dann den Schadcode geladen.. es KANN sein das er nur nen DoS/SSH Scan ausgeführt hat, aber wie gesagt: wissen kannst Du das nicht.
Access.log(s) nach FR_Spell.php durchsuchen (oder was sich sonst noch in /tmp versteckt das Script ausfindigmachen nachschauen warum es gehackt wurde (also die Webseite besuchen security Informationen suchen ...) danach System neu installieren.
Heutzutage werden sicherlich mehr Seiten/Server durch Webapplikations-Exploits (Mambo/phpKit/phpBB) übernommen als durch andere Lücken, einfach weil man verwundbare Systeme leicht per google findet.
btw: Du hast mehrere Schreibweisen für Attacke benutzt und alle waren falsch.
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Also der Schadcode ist durch das CMS site@school aufgetreten.
Dort war es irgendwie möglich schadhaften code einzuscheusen. Ich habe allerdings nun auf die aktuellste Version geupdatet sodass das eigentlich nicht mehr machbar wäre.
also eure empfehlung: neuinstallation des Servers.
gut. Da habe ich ja noch übung drin. Hatte es ja gerade vor einigen Tagen gemacht.
Ist es nun irgendwie möglich, wenn ich die Schadhafte Datei habe herauszufinden ob sich noch so eine in meinem System versteckt? Ich habe nämlich noch weitere CMS-Systeme laufe. Dachte da an nen Checksummenvergleich oder so ähnlich.
Gruß & Danke
Tobias
Dort war es irgendwie möglich schadhaften code einzuscheusen. Ich habe allerdings nun auf die aktuellste Version geupdatet sodass das eigentlich nicht mehr machbar wäre.
also eure empfehlung: neuinstallation des Servers.
gut. Da habe ich ja noch übung drin. Hatte es ja gerade vor einigen Tagen gemacht.
Ist es nun irgendwie möglich, wenn ich die Schadhafte Datei habe herauszufinden ob sich noch so eine in meinem System versteckt? Ich habe nämlich noch weitere CMS-Systeme laufe. Dachte da an nen Checksummenvergleich oder so ähnlich.
Gruß & Danke
Tobias
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Bist Du sicher das durch diese Schadhafte Datei nicht andere schadhafte Dateien dazu geladen wurde? Kannst Du Dir 100% sicher sein das nicht irgendwelche Programme geändert wurden um demm Angreifer in Zukunft Zugang zu geben?
..
..
Das einzig richtige ist ein reinstall.
Und mit dem update bist Du sicher die Lücke geschlossen zu haben ? von welcher Version auf welche ging es denn? Hast Du im Changelog deinen Angriffspunkt gesehen?
Dir ist klar das Du in Zukunft bei jeder neuen Version einer Softweare die bei Dir installiert ist ggf. ein update machen mußt?
..
..
Das einzig richtige ist ein reinstall.
Und mit dem update bist Du sicher die Lücke geschlossen zu haben ? von welcher Version auf welche ging es denn? Hast Du im Changelog deinen Angriffspunkt gesehen?
Dir ist klar das Du in Zukunft bei jeder neuen Version einer Softweare die bei Dir installiert ist ggf. ein update machen mußt?
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Hallo,
Ja ich habe mir das changelog angeschaut und das Problem entdeckt.
Ich hatte ne 2.3er-Version und das Problem soll mit der 2.4er nnun gelöst sein
Ja ich habe mir das changelog angeschaut und das Problem entdeckt.
Ich hatte ne 2.3er-Version und das Problem soll mit der 2.4er nnun gelöst sein
Re: Server neu reinitialisiert & trotzdem DOS-Attake
Tripwire z. B. kann soetwas. Allerdings benötigst Du erst mal ein sauberes System als Ausgangsbasis. Veränderungen an diesem System kann Dir Tripwire dann aufzeigen; allerdings auch nur bis zu dem Punkt wo ein Angreifer weitergehende Rechte auf dem System erlangt und dadurch in die Lage versetzt wird, Tripwire (oder jedes andere hostbasierte Intrusion Detection System) zu manipulieren. Eine Shell wäre auch in einem solchen Szenario ein so großes Risiko, dass Du um ne Neuinstallation nicht herumkommst.tsaenger wrote:Dachte da an nen Checksummenvergleich oder so ähnlich.