Sicherheits problem ?

Post by **zero** » 2003-07-15 07:16

Hallo Leute,

seid heute Nacht 01:48 Uhr ist der Server entweder einem Kidde oder einem anderen Problem ausgesetzt. Der Apache, Sendmail und MYSQL Dienst läuft jedoch werden die Seiten nicht angezeigt.

Ich habe die MySQL DB restartet weil Confixx sowie der Apche meldete das beide keine Zugriff haben. Im Warn log steht nichts jedoch im Messages. Der POPPER macht ein seltsames connect:

Code: Select all

Jul 15 07:09:44 p15105739 popper[8164]: connect from Tim@80.133.134.19 (80.133.134.19)
Jul 15 07:10:00 p15105739 /USR/SBIN/CRON[8170]: (root) CMD (/etc/webmin/status/monitor.pl)
Jul 15 07:10:00 p15105739 /USR/SBIN/CRON[8171]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:11:00 p15105739 /USR/SBIN/CRON[8218]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:11:58 p15105739 popper[8243]: connect from Tim@80.133.134.19 (80.133.134.19)
Jul 15 07:12:00 p15105739 /USR/SBIN/CRON[8247]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:13:00 p15105739 /USR/SBIN/CRON[8273]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:14:00 p15105739 /USR/SBIN/CRON[8284]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:14:12 p15105739 popper[8290]: connect from Tim@80.133.134.19 (80.133.134.19)
Jul 15 07:15:00 p15105739 /USR/SBIN/CRON[8301]: (root) CMD (/etc/webmin/status/monitor.pl)
Jul 15 07:15:00 p15105739 /USR/SBIN/CRON[8305]: (root) CMD (/root/confixx/confixx_counterscript.pl)

Ich meine das tim@IPADDR

Ich kann keien Seite mehr aufrufen und e-mails auch nicht abrufen.. stehe etwas auf dem schlauch die Connects bauen sich immer noch auf. Welche Logs bzw. was könnte ich noch prüfen .. um das zu stoppen.... eine Regel für die IP ertsellen ?

Post by **dea** » 2003-07-15 09:10

wenn eh' nix mehr läuft, solltest Du allerschnellstens (!!!!) den rootie in den Rescue-Modus booten!!!

Anschließend steht wahrscheinlich eine komplette Neuinstallation inkl. Festplatten(heiß)formatierung an - aber dafür solltest Du aus dem Rescue-Modus heraus zunächst in Ruhe die Logs analysieren.

Post by **captaincrunch** » 2003-07-15 10:02

In einem solchen Fall heißt es zuallererst einmal Ruhe bewahren. Diese Sache muss noch lange keine (überhastete) Neuinstallation nach sich ziehen :

- kommst du noch per ssh auf den Rechner ?
- was sagen die Kommandos w und / oder who und last
- ist sonst noch irgend etwas in den Logfiles ?

Ich vermute hier eher einen DOS und keinen Hack, und halte es daher für relativ übertrieben, direkt eine Neuinstallation anzufangen. Du solltest aber wirklich mal ganz in Ruhe im Rescue-System checken, was wirklich los war / ist.

Post by **dea** » 2003-07-15 10:25

Danke für den Hinweis mit der Ruhe ;)

Ich wette, dass es ein Exploit auf den qpopper war (http://www.suse.de/de/security/2003_018_qpopper.html)- den hatte ich schon fast vergessen ... Wenn dem so sein sollte und die Attacke erfolgreich war, dann dürftest Du jetzt gerootet sein.

Aber trotzdem keine Hektik, obwohl zumindest in Bezug auf das Rescue-System Eile geboten ist.

Sobald die Kiste im Rescue-Modus ist, solltest Du Dir eine "frische" Kopie von chkrootkit besorgen und einspielen. Anschließend laufen lassen.

Weiterhin solltest Du den Kernel upgraden und, sobald der neue wirklich läuft, den alten mitsamt den entsprechenden Modulverzeichnissen (in /lib/modules/Kernelversion) löschen.

Anschließend solltest Du neben den logs (meist in /var/log/ oder /var/adm/) eigentlich auch alle (!) Dateien auf Integrität prüfen. Da dies im Allgemeinen nicht machbar ist, ergibt sich die Sache mit der Neuinstallation (als letztes Mittel).

Post by **zero** » 2003-07-15 10:46

Hallo,

danke für euren schnellen Antworten. Ja habe nun alles so gemahct wie bereits beschrieben. Also einen Rootkid scheine ich mir nicht gefangen zu haben, laut tool. Auch ein Login auf dem Recher ist nicht erfolgt. Die versuche haben nun aufgehört.

Werde alles weitere beobachten und die Updates usw. wie von Dea und unserem Caption beschrieben einspielen.

Vielen Dank bis jetzt ;-)

Meld emich noch mal

Gruß zero

Post by **rootmaster** » 2003-07-15 11:17

hm, die disfunktion einzelner dienste muss nicht unbedingt auf eine attacke zurückführen ;)

deine logs zeigen nicht unbedingt eine kompromittierung... mögliches szenario: falsch eingestellter mailclient, der versucht reglemäßig (alle 3 min?) mails abzuholen ?!

"back to the roots"

Post by **zero** » 2003-07-16 07:52

Tja wie könnte ich das am besten kontrollieren. Das war ja sonst nie.

Es geht nun seid gestern immer weiter im Messages log

Code: Select all

Jul 16 07:15:00 p15105739 /USR/SBIN/CRON[8168]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:00 p15105739 /USR/SBIN/CRON[8224]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:36 p15105739 popper[8231]: connect from Tim@80.133.129.117 (80.133.129.117)
Jul 16 07:17:00 p15105739 /USR/SBIN/CRON[8235]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:00 p15105739 /USR/SBIN/CRON[8248]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:50 p15105739 popper[8255]: connect from Tim@80.133.129.117 (80.133.129.117)

Immer weiter und weiter.. alle 2-3 Minuten.

Post by **arty** » 2003-07-16 07:54

Hi,

ist 80.133.129.117 deine IP?

bye
arty

Post by **standbye** » 2003-07-16 10:34

Zero wrote:Tja wie könnte ich das am besten kontrollieren. Das war ja sonst nie.

Es geht nun seid gestern immer weiter im Messages log

Code: Select all

Jul 16 07:15:00 p15105739 /USR/SBIN/CRON[8168]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:00 p15105739 /USR/SBIN/CRON[8224]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:36 p15105739 popper[8231]: connect from Tim@80.133.129.117 (80.133.129.117)
Jul 16 07:17:00 p15105739 /USR/SBIN/CRON[8235]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:00 p15105739 /USR/SBIN/CRON[8248]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:50 p15105739 popper[8255]: connect from Tim@80.133.129.117 (80.133.129.117)

Immer weiter und weiter.. alle 2-3 Minuten.

hab ich auch n paar soo einträge -> bei mir ists aber ein mail client von nem freund der sichalle 3 minuten per pop3 die Mails holt.

rausfinden welche mailbox abgerufen wird *um den verursacher yu finden guck einfach in /var/log/mail

da steht der mist drin

Post by **zero** » 2003-07-16 11:00

Jep habs gefunden ... *SichAnDenKopffast*

Da hätte ich auch selbst drauf kommen können.

Danek für den Tipp das spiel sollte nun ein ende haben.

Gruß zero

Post by **chris76** » 2003-07-16 11:57

Und was war es letztendlich?

Post by **captaincrunch** » 2003-07-16 13:06

Ein Client, der alle paar Minuten per POP3 auf seine Mails zugreifen wollte, und eben kein Hack. Daher auch mein anfänglicher Rat mit der Ruhe ... ;)

Post by **alexander newald** » 2003-07-16 13:24

Ist so wie unter Windows: Kommt ne Mail, löschen Sie auf jeden Fall die Datei kernel32.dll, ist ein Virus und alle machen es...

Post by **dea** » 2003-07-16 16:39

Sorry, war halt davon ausgegangen, dass die Grundlegende Fehlersuche schon abgeschlossen war. :oops:

Das ist wirklich zu happig ... :?

Post by **zero** » 2003-07-17 14:32

*g* ;-)

RootForum Community

Sicherheits problem ?

Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?

Re: Sicherheits problem ?