Problem - Server wird genutzt für Scannvorgänge

[funkuch3n]

Hallo,

ich habe folgendes Problem, so wie es aussieht wird mein Server zum scannen von fremden Websites verwendet, jedoch habe ich akut keinerlei Ahnung von wo die Prozesse ausgehen und was es sein kann.

mein ps aux verrät mir nur, dass es sich um viele perl Prozesse handelt, der Traffic steigt ca. auf 50GB pro Tag.

Des weiteren habe ich von meinem Hoster folgende Logs bekommen:

Code: Select all

Logs with datetime and time zone :
81.169.128.26 - - [03/Nov/2007:21:49:09 +0100] www.europeanexperts.org 'GET /question/see.php?cutepath=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 200 -

81.169.128.26 - - [03/Nov/2007:21:49:10 +0100] www.europeanexperts.org 'GET /see.php?cutepath=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 404 2286

81.169.128.26 - - [05/Nov/2007:20:37:34 +0100] www.europeanexperts.org 'GET /question//index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 200 -

81.169.128.26 - - [05/Nov/2007:20:37:35 +0100] www.europeanexperts.org 'GET //index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 404 2285

81.169.128.26 - - [07/Nov/2007:09:14:42 +0100] www.europeanexperts.org 'GET /question/index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 200 -

81.169.128.26 - - [07/Nov/2007:09:14:42 +0100] www.europeanexperts.org 'GET /index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 404 2278

------------------------------------------------------------------------------------------------------------------------

TIMESTAMP: Wed Nov  7 21:16:01 CST 2007
SCRIPT_NAME:  /cgi-bin/auto_abuse.pl
SERVER_NAME:  www.bti.net
SERVER_ADMIN:  admin@bti.net
HTTP_CONNECTION:  TE, close
REQUEST_METHOD:  GET
SCRIPT_FILENAME:  /var/www/cgi-bin/auto_abuse.pl
SERVER_SOFTWARE:  Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8
HTTP_TE:  deflate,gzip;q=0.3
QUERY_STRING:  inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
REMOTE_PORT:  57036
HTTP_USER_AGENT:  libwww-perl/5.69
SERVER_PORT:  80
SERVER_SIGNATURE:  <address>Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8 Server at www.bti.net Port 80</address>

REMOTE_ADDR:  81.169.128.26
SERVER_PROTOCOL:  HTTP/1.1
PATH:  /sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin
REQUEST_URI:  //index.php?inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
GATEWAY_INTERFACE:  CGI/1.1
SERVER_ADDR:  205.238.131.195
REMOTE_HOST:  h57331.serverkompetenz.net
DOCUMENT_ROOT:  /var/www/html
HTTP_HOST:  www.bti.net
UNIQUE_ID:  SR6OsM3ug8MAADqfqXgAAAAC

------------------------------------------------------------------------------------------------------------------------

TIMESTAMP: Wed Nov  7 21:16:01 CST 2007
SCRIPT_NAME:  /cgi-bin/auto_abuse.pl
SERVER_NAME:  www.bti.net
SERVER_ADMIN:  admin@bti.net
HTTP_CONNECTION:  TE, close
REQUEST_METHOD:  GET
SCRIPT_FILENAME:  /var/www/cgi-bin/auto_abuse.pl
SERVER_SOFTWARE:  Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8
HTTP_TE:  deflate,gzip;q=0.3
QUERY_STRING:  inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
REMOTE_PORT:  57036
HTTP_USER_AGENT:  libwww-perl/5.69
SERVER_PORT:  80
SERVER_SIGNATURE:  <address>Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8 Server at www.bti.net Port 80</address>

REMOTE_ADDR:  81.169.128.26
SERVER_PROTOCOL:  HTTP/1.1
PATH:  /sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin
REQUEST_URI:  //index.php?inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
GATEWAY_INTERFACE:  CGI/1.1
SERVER_ADDR:  205.238.131.195
REMOTE_HOST:  h57331.serverkompetenz.net
DOCUMENT_ROOT:  /var/www/html
HTTP_HOST:  www.bti.net
UNIQUE_ID:  SR6OsM3ug8MAADqfqXgAAAAC

Wie könnte ich denn jetzt den Übeltäter Dingfest machen?
Die PID habe ich ja anhand des top's und der User ist wwwrun, scheint also ein Webscript zu sein oder?

Vielen Dank im Vorraus.

Sascha

[Joe User]

1.) Nutzdaten sichern
2.) Server runterfahren
3.) Sicherheitslöcher in den WebApps identifizieren und fixen
4.) Sicherheitskonzept überarbeiten
5.) Server reinitialisieren
6.) System vollständig updaten
7.) WebApps vollständig updaten
8.) Bugfixe aus 3.) einspielen
9.) Punkte 3.) 4.) 6.) 7.) 8.) regelmässig wiederholen

[funkuch3n]

Hmm, anders meinst du ist es nicht möglich? Weil so wäre es ziemlich umfangreich das alles zu machen zumal sich viele Nutzer aufm Server befinden.

[Roger Wilco]

Hmm, anders meinst du ist es nicht möglich?

Nein. Definitiv nicht.

[funkuch3n]

Gut, okay, dann dachte ich mir dass ich halt nen Confixx Backup Starte:

Code: Select all

h57331:~ # /root/confixx/backup.pl
MIME::Base64 object version 2.20 does not match bootstrap parameter 3.05 at /usr/lib/perl5/5.8.1/i586-linux-thread-multi/DynaLoader.pm line 249.
Compilation failed in require at /root/confixx/Modules/Backup/TableOperators.pm line 23.
BEGIN failed--compilation aborted at /root/confixx/Modules/Backup/TableOperators.pm line 23.
Compilation failed in require at /root/confixx/backup.pl line 48.
BEGIN failed--compilation aborted at /root/confixx/backup.pl line 48.
You have new mail in /var/mail/root
h57331:~ #

Womit kann das nun wieder zusammenhängen?

[floogy]

Ich würde sagen, Du solltest erst mal MIME::Base64 object version 2.20 auf 3.05 upgraden?
Unter debian:

Code: Select all

$ apt-cache policy libmime-perl
$ apt-show-versions |egrep -v uptodate

Folgendes mal bei google eingeben:

Code: Select all

MIME::Base64 "object version"  "does not match bootstrap parameter" 

Wobei diese Anfrage eventuell noch ergiebiger sein könnte:
http://www.google.com/search?q=%2Fusr%2 ... m+line+249
http://search.cpan.org/dist/ExtUtils-Ma ... FAQ.pod#XS

base64 ist nicht uptodate, das steckt im perl-Paket, welches libmime-base64-perl ersetzt.

Code: Select all

$ apt-cache show perl |egrep base64

Das ist aber auf rpm basierten Distributionen bestimmt anders. Wichtig ist es zu wissen, wie Du ständig Deine Distribution aktuell hälst, weil sonst unweigerlich Sicherheitslücken entstehen, die wie Du ja nun selbst siehst dann auch ausgenutzt werden.
Am Besten also mal das Distributions-Handbuch lesen.

[EdRoxter]

Mindestens das Confixx-Backup solltest du übrigens auch täglich machen...

[flo]

Weil so wäre es ziemlich umfangreich das alles zu machen zumal sich viele Nutzer aufm Server befinden.

Ein Server ist kein Selbstläufer - gerade wenn sich "fremde Daten" auf dem Rechner befinden, d.h. Du nicht alle Applikationen selber hochgeladen hast, ist es noch um einiges wichtiger, den Unterbau aktuell zu halten.

[funkuch3n]

Mindestens das Confixx-Backup solltest du übrigens auch täglich machen...

Mache ich auch täglich, jedoch werden dabei keine Confixx DB's und so gesichert ;-)

Und beim confixx Backup Script macht ers ja alles.


Im übrigen werd ich doch alles manuell sichern dann kann ichs auch wieder alles von Hand einspielen und joah sollte auch sicherlich klappen.

[timeless2]

Und beim confixx Backup Script macht ers ja alles.

Solche Dinge solltest du prinzipiell überprüfen und dich nicht darauf verlassen. Aber du sagtest ja, du möchtest das zusätzlich manuell sichern.