Page 1 of 1
Sicherheits problem ?
Posted: 2003-07-15 07:16
by zero
Hallo Leute,
seid heute Nacht 01:48 Uhr ist der Server entweder einem Kidde oder einem anderen Problem ausgesetzt. Der Apache, Sendmail und MYSQL Dienst läuft jedoch werden die Seiten nicht angezeigt.
Ich habe die MySQL DB restartet weil Confixx sowie der Apche meldete das beide keine Zugriff haben. Im Warn log steht nichts jedoch im Messages. Der POPPER macht ein seltsames connect:
Code: Select all
Jul 15 07:09:44 p15105739 popper[8164]: connect from Tim@80.133.134.19 (80.133.134.19)
Jul 15 07:10:00 p15105739 /USR/SBIN/CRON[8170]: (root) CMD (/etc/webmin/status/monitor.pl)
Jul 15 07:10:00 p15105739 /USR/SBIN/CRON[8171]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:11:00 p15105739 /USR/SBIN/CRON[8218]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:11:58 p15105739 popper[8243]: connect from Tim@80.133.134.19 (80.133.134.19)
Jul 15 07:12:00 p15105739 /USR/SBIN/CRON[8247]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:13:00 p15105739 /USR/SBIN/CRON[8273]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:14:00 p15105739 /USR/SBIN/CRON[8284]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 15 07:14:12 p15105739 popper[8290]: connect from Tim@80.133.134.19 (80.133.134.19)
Jul 15 07:15:00 p15105739 /USR/SBIN/CRON[8301]: (root) CMD (/etc/webmin/status/monitor.pl)
Jul 15 07:15:00 p15105739 /USR/SBIN/CRON[8305]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Ich meine das tim@IPADDR
Ich kann keien Seite mehr aufrufen und e-mails auch nicht abrufen.. stehe etwas auf dem schlauch die Connects bauen sich immer noch auf. Welche Logs bzw. was könnte ich noch prüfen .. um das zu stoppen.... eine Regel für die IP ertsellen ?
Re: Sicherheits problem ?
Posted: 2003-07-15 09:10
by dea
wenn eh' nix mehr läuft, solltest Du allerschnellstens (!!!!) den rootie in den Rescue-Modus booten!!!
Anschließend steht wahrscheinlich eine komplette Neuinstallation inkl. Festplatten(heiß)formatierung an - aber dafür solltest Du aus dem Rescue-Modus heraus zunächst in Ruhe die Logs analysieren.
Re: Sicherheits problem ?
Posted: 2003-07-15 10:02
by captaincrunch
In einem solchen Fall heißt es zuallererst einmal Ruhe bewahren. Diese Sache muss noch lange keine (überhastete) Neuinstallation nach sich ziehen :
- kommst du noch per ssh auf den Rechner ?
- was sagen die Kommandos w und / oder who und last
- ist sonst noch irgend etwas in den Logfiles ?
Ich vermute hier eher einen DOS und keinen Hack, und halte es daher für relativ übertrieben, direkt eine Neuinstallation anzufangen. Du solltest aber wirklich mal ganz in Ruhe im Rescue-System checken, was wirklich los war / ist.
Re: Sicherheits problem ?
Posted: 2003-07-15 10:25
by dea
Danke für den Hinweis mit der Ruhe ;)
Ich wette, dass es ein Exploit auf den qpopper war (
http://www.suse.de/de/security/2003_018_qpopper.html)- den hatte ich schon fast vergessen ... Wenn dem so sein sollte und die Attacke erfolgreich war, dann dürftest Du jetzt gerootet sein.
Aber trotzdem keine Hektik, obwohl zumindest in Bezug auf das Rescue-System Eile geboten ist.
Sobald die Kiste im Rescue-Modus ist, solltest Du Dir eine "frische" Kopie von chkrootkit besorgen und einspielen. Anschließend laufen lassen.
Weiterhin solltest Du den Kernel upgraden und, sobald der neue wirklich läuft, den alten mitsamt den entsprechenden Modulverzeichnissen (in /lib/modules/
Kernelversion) löschen.
Anschließend solltest Du neben den logs (meist in /var/log/ oder /var/adm/) eigentlich auch alle (!) Dateien auf Integrität prüfen. Da dies im Allgemeinen nicht machbar ist, ergibt sich die Sache mit der Neuinstallation (als letztes Mittel).
Re: Sicherheits problem ?
Posted: 2003-07-15 10:46
by zero
Hallo,
danke für euren schnellen Antworten. Ja habe nun alles so gemahct wie bereits beschrieben. Also einen Rootkid scheine ich mir nicht gefangen zu haben, laut tool. Auch ein Login auf dem Recher ist nicht erfolgt. Die versuche haben nun aufgehört.
Werde alles weitere beobachten und die Updates usw. wie von Dea und unserem Caption beschrieben einspielen.
Vielen Dank bis jetzt ;-)
Meld emich noch mal
Gruß zero
Re: Sicherheits problem ?
Posted: 2003-07-15 11:17
by rootmaster
hm, die disfunktion einzelner dienste muss nicht unbedingt auf eine attacke zurückführen ;)
deine logs zeigen nicht unbedingt eine kompromittierung... mögliches szenario: falsch eingestellter mailclient, der versucht reglemäßig (alle 3 min?) mails abzuholen ?!
"back to the roots"
Re: Sicherheits problem ?
Posted: 2003-07-16 07:52
by zero
Tja wie könnte ich das am besten kontrollieren. Das war ja sonst nie.
Es geht nun seid gestern immer weiter im Messages log
Code: Select all
Jul 16 07:15:00 p15105739 /USR/SBIN/CRON[8168]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:00 p15105739 /USR/SBIN/CRON[8224]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:36 p15105739 popper[8231]: connect from Tim@80.133.129.117 (80.133.129.117)
Jul 16 07:17:00 p15105739 /USR/SBIN/CRON[8235]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:00 p15105739 /USR/SBIN/CRON[8248]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:50 p15105739 popper[8255]: connect from Tim@80.133.129.117 (80.133.129.117)
Immer weiter und weiter.. alle 2-3 Minuten.
Re: Sicherheits problem ?
Posted: 2003-07-16 07:54
by arty
Hi,
ist 80.133.129.117 deine IP?
bye
arty
Re: Sicherheits problem ?
Posted: 2003-07-16 10:34
by standbye
Zero wrote:Tja wie könnte ich das am besten kontrollieren. Das war ja sonst nie.
Es geht nun seid gestern immer weiter im Messages log
Code: Select all
Jul 16 07:15:00 p15105739 /USR/SBIN/CRON[8168]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:00 p15105739 /USR/SBIN/CRON[8224]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:16:36 p15105739 popper[8231]: connect from Tim@80.133.129.117 (80.133.129.117)
Jul 16 07:17:00 p15105739 /USR/SBIN/CRON[8235]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:00 p15105739 /USR/SBIN/CRON[8248]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jul 16 07:18:50 p15105739 popper[8255]: connect from Tim@80.133.129.117 (80.133.129.117)
Immer weiter und weiter.. alle 2-3 Minuten.
hab ich auch n paar soo einträge -> bei mir ists aber ein mail client von nem freund der sichalle 3 minuten per pop3 die Mails holt.
rausfinden welche mailbox abgerufen wird *um den verursacher yu finden guck einfach in /var/log/mail
da steht der mist drin
Re: Sicherheits problem ?
Posted: 2003-07-16 11:00
by zero
Jep habs gefunden ... *SichAnDenKopffast*
Da hätte ich auch selbst drauf kommen können.
Danek für den Tipp das spiel sollte nun ein ende haben.
Gruß zero
Re: Sicherheits problem ?
Posted: 2003-07-16 11:57
by chris76
Und was war es letztendlich?
Re: Sicherheits problem ?
Posted: 2003-07-16 13:06
by captaincrunch
Ein Client, der alle paar Minuten per POP3 auf seine Mails zugreifen wollte, und eben kein Hack. Daher auch mein anfänglicher Rat mit der Ruhe ... ;)
Re: Sicherheits problem ?
Posted: 2003-07-16 13:24
by alexander newald
Ist so wie unter Windows: Kommt ne Mail, löschen Sie auf jeden Fall die Datei kernel32.dll, ist ein Virus und alle machen es...
Re: Sicherheits problem ?
Posted: 2003-07-16 16:39
by dea
Sorry, war halt davon ausgegangen, dass die Grundlegende Fehlersuche schon abgeschlossen war. :oops:
Das ist wirklich zu happig ... :?
Re: Sicherheits problem ?
Posted: 2003-07-17 14:32
by zero
*g* ;-)