Botnetz Aktivitäten mit meinem Server

[kenny1980]

Hallo Leute,
habe hier im Forum leider nichts mit Botnetzen finden können, habe folgendes Problem und zwar hat mich mein Provider angeschrieben, das mein Server sich per Botnetz koordinieren soll.

Nun wird es lustig, habe schon eine weile nichts mehr bearbeitet oder sonst was neues installiert.

Habe eben mal den Rootkit Hunter durchlaufen lassen, das einzigste was kam, das bei

Application Version Scan
-GnuPs 1.2.4
-OpenSSL 0.9.7d
-PHP 4.3.4
angreifbare Stellen gefunden wurden.

Wobei ich kann mir jetzt weniger vorstellen, das hier die Fehler liegen, sondern eher bei einem Programm, was aber leider nicht gefunden wurde.
Weiss jemand von euch noch ein Tool oder sonstiges, das mal drüberlaufen lassen könnte?

Mein Sys ist mit Suse 9.1 und Plesk 7.5 am laufen und hatte schon lang keine Probleme mehr damit.. Musste ja wieder was kommen :-)

Ich hoffe mir kann jemand nen Tip geben.

Mfg
Kenny

[daemotron]

Mein Sys ist mit Suse 9.1

für das es schon eine ganze Weile keine Sicherheitsupdates mehr gibt... :twisted:

Einen OotB-Security-Scanner gibt es AFAIK nicht, aber mit ein paar simplen Standard-Kommandos solltest Du eigentlich sehen, was auf dem System los ist:

Code: Select all

ps aux
netstat -tulpen

Ansonsten sollten Dir die Logs auch noch das ein oder andere verraten können (z. B. wie der Bot-Client draufkam...)

Am besten setzt Du die Kiste mit einer aktuellen (bzw. noch mit Sicherheitsupdates versorgten) Distribution neu auf und ergreifst die gängigen Sicherheitsmaßnahmen (/tmp noexec mounten, gute Passwörter wählen, Berechtigungskonzept für httpd prüfen und ggf. FastCGI in Erwägung ziehen, Dienste, die nicht benötigt werden, abklemmen und solche, die nur lokal benötigt werden an localhost binden oder gleich nur über Unix-Sockets verfügbar machen etc...)

[kenny1980]

Hmm,
neuinstallation ist im Moment sehr sehr aufwendig neben meinem Beruf. Das wäre die letzte möglichkeit.

ps aux
netstat -tulpen

habe ich schon rennen lassen, was aber keinen abnormalen Eintrag finden können, das ist ja das lustige. Na dann werd ich mich mal durch die Logs kämpfen müssen.

Mfg
Kenny

[lord_pinhead]

Dann logge mal den Traffic der auf den Port 6667/7000 geht, standard IRC Ports. Wenn was kommt, solltest du die Kiste doch offline setzen, du bedrohst ja auch andere im Netz. Schonmal nen Portscan von aussen gemacht?

[mad cow]

Schau mal, ob du etwas unter /tmp bzw. /var/tmp findest.

[kenny1980]

Also bei einem Portscan kommt in dem Bereich nix rein.
Ich werde jetzt mal schauen was in dem Portbereich los ist.

In dem /var/tmp ist nur 1 leerer Ordner
und bei /tmp folgendes:

http://img57.imageshack.us/my.php?image=tmprl4.jpg


Mfg
Kenny

[lord_pinhead]

Ich meinte das du alle 65535 Ports auf deinen Server abscannen solltest, nicht nur IRC. Sind ungewöhnliche Trafficspitzen im vergleich zu anderen Tagen da.

Protokollieren kannst du mal mit tcpdump (tcpdump -i bond0 dst port 6667 or dst port 7000 -xx) oder iptables (iptables -A OUTPUT -p tcp -m multiport --destination-ports 6667,7000 -j LOG --log-prefix "IRC "). Jedenfalls geh ich jetzt davon aus dass das angebliche Botnetzwerk über IRC gesteuert wird und auch nicht von einem anderen Port.

Sind vielleicht Logfiles verschwunden?

[danu]

Dieser Server ist selber Teil eines Botnetzes

hxxp://img57.imageshack.us/my.php?image=tmprl4.jpg

...wirklich hässlich und sollte gelöscht werden.

In mir keimt der Verdacht,dass das 1&1 Rechenzentrum langsam zu einem Superbotnetz mutiert. sshd und ftp Bruteforces und DoS häuften sich heute im laufe des Tages auf einem meiner Server um gute 500%. Dabei waren einige 212.227.xxx.xxx IP's. Als es zuviel wurde, schaltete ich den Server ab und wollte dann das Rescue System booten, funktioniert nicht mehr.Die serielle Konsole bleibt nach dem Login hängen. Ich bin ratlos
EDIT:
Ich wurde ohne mein Zutun von S&P zu 1&1 transferiert. Weiss da jemand eine nützliche Telefonnummer :?:

[kenny1980]

Also tmp gelöscht.

Ist aber nicht 1&1 sondern Host Europe.

Trafficspitzen hatte ich keine, denn die habe ich täglich im Blick. Das ist ja das komische.

Lord Pinhead, ich werde das gleich mal laufen lassen und schauen was sich tut.

Mich würde interessieren woher der mist kam. Habe doch nur 4images, Webmin, chkrootkit und rootkit hunter drauf, das ist alles. So ein Mist, echt.

Mfg
Kenny

[Joe User]

4images und Webmin hatten erst kürzlich (mehrere) Sicherheitslöcher...

[kenny1980]

hmm. reicht es dann, wenn ich die gleich mal update? (wobei Webmin nicht allzu lang drauf ist) und dann die PW´s ändere?

Mfg
Kenny

P.S: Also webmin war es die Version 1.290. 4 Images aber aktuell.

[Joe User]

hmm. reicht es dann, wenn ich die gleich mal update? (wobei Webmin nicht allzu lang drauf ist) und dann die PW´s ändere?

Nein, reichen tut es nicht, allerdings ist es wie das Reinitialisieren, Updaten und Absichern des Servers (Software und Scripts) unumgänglich...

[danu]

Habe eben mal den Rootkit Hunter durchlaufen lassen, das einzigste was kam, das bei

dazu noch eine Idee

Code: Select all

#rkithunter --update

ungefähr 5 x durchlaufen lassen, bis er alles "up to date" meldet.

[lord_pinhead]

Dieser Server ist selber Teil eines Botnetzes

hxxp://img57.imageshack.us/my.php?image=tmprl4.jpg

...wirklich hässlich und sollte gelöscht werden.

Das mit dem tmp löschen ok, aber wo siehst du ein Perlscript o.ä. damit du sagen kannst das der Server in einem Botnetz ist?

1und1 sind nicht mal soooooo schlimm, S4Y ist da viel schlimmer, viel mehr Kiddies die meinen das interne Portscanns nicht auffallen :roll:

[danu]

Das mit dem tmp löschen ok, aber wo siehst du ein Perlscript o.ä. damit du sagen kannst das der Server in einem Botnetz ist?

Als ich um 21:00 auf den Link klickte, heulte der NAV, jetzt aber nicht mehr - falsche Schlussfolgerung ?

[mc5000]

NAV wird überschätzt! :twisted:

@Kenny:
Was genau wurde Dir den mitgeteilt? Laut meiner Erfahrung sind die Beobachtungen des Providers meist berechtigt.

[Joe User]

Das mit dem tmp löschen ok, aber wo siehst du ein Perlscript o.ä. damit du sagen kannst das der Server in einem Botnetz ist?

Als ich um 21:00 auf den Link klickte, heulte der NAV, jetzt aber nicht mehr - falsche Schlussfolgerung ?

Ja, es ist ein Bild und zudem extern abgelegt. Desweiteren ist das auf dem Bild gezeigte /tmp unauffällig.

[kenny1980]

Das hier ist die komplette Nachricht:

Code: Select all

Sehr geehrter Kunde,

wir haben eine Beschwerde erhalten, da Ihr Server anscheinend von einem Schadprogramm kompromittiert wurde, das sich mit anderen kompromittierten Servern per Botnetz koordiniert (http://de.wikipedia.org/wiki/Botnetz). Die uns vorliegenden Daten sind unten angegeben.




> bots Report
> 
> Many different types of malware use IRC (Internet Relay Chat) as a control
> mechanism for coordinating their activities. In some cases these IRC
> connections can be detected and used to identify infected hosts,
> sometimes even with the specific type of malware the host is infected with.
> 
> The bots report is based on the logs of botnet detectors located within
> several large IRC networks. The logs are processed daily, Monday though
> Friday. The file format is as follows:
> 
> OriginAS | IP | DATE(YYYY-MM-DD) TIME(HH:MM:SS) [srcport PORT] | AS-NAME
> 
> The SRCPORT field refers to the TCP source port used by the malware
> to connect to the IRC server. Unfortunately not all records forwarded to
> us have source port information available.
> 
> All dates and times are in GMT.
> 
> 20773 | Meine-IP | 2006-12-29 10:07:48 | HOSTEUROPE-AS AS of Hosteurope Germany / Cologne
> 20773 | Meine-IP | 2006-12-29 10:07:48 | HOSTEUROPE-AS AS of Hosteurope Germany / Cologne

Mit freundlichen Grüßen

Mfg
Kenny

[bartman]

Irgendjemand hat Kontrolle ueber deinen Server, dass du all seine Eingriffe findest ist zwar moeglich, jedoch nicht wahrscheinlich und schon garnicht sicher. Setz dich abends hin und installier die Kiste neu & mach regelmaessig Sicherheitsupdates, es gibt keine Moeglichkeit sonst mit absoluter Sicherheit zu sagen, die Kiste ist sauber. Zumal ich keine persoenlichen Daten auf nem Server haben wollen wuerde, auf dem eingebrochen wurde...