Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Lesenswerte Artikel, Anleitungen und Diskussionen
highlander74
Posts: 42
Joined: 2004-01-02 15:34

Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by highlander74 » 2004-03-29 12:46

Hallo !

ein Freund von mir ist dummerweise einem Defacement durch eine fehlerhafte MyEGallery aufgesessen.

Dabei wird über URL Parameter mit Hilfe von wget im /tmp Verzeichnis ein CGI installiert, mit dem man die HTML Dateien überschreiben kann.

Vorerst haben wir mal das Problem erkannt, Server heruntergefahren.

- Logs gesichert
- /tmp gesichert und gelöscht
- in /usr/bin wget und Konsorten auf chmod 000 gesetzt
- die Galerie entsprechend gepacht

Reicht das ? Können wir unsere Passwörter ändern und wieder online gehen ? Oder ist ein Reinit nötig.

Was empfehlt Ihr uns noch zu checken ?

Gruss

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by captaincrunch » 2004-03-29 12:59

Da ich euch vermutlich ein Rootkit eingefangen habt, sollte eine Reinstall Pflicht sein. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by chris76 » 2004-03-29 13:26

Full ACK

ansonsten noch
http://www.rootforum.org/forum/viewtopic.php?t=7801

Ciao Christian

highlander74
Posts: 42
Joined: 2004-01-02 15:34

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by highlander74 » 2004-03-29 13:32

Der positiven Ausgabe (nichts gefunden) von chkrootkit können / sollten wir wohl auch nicht vertrauen ? :(

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by captaincrunch » 2004-03-29 13:34

Nein.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

highlander74
Posts: 42
Joined: 2004-01-02 15:34

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by highlander74 » 2004-03-29 13:42

Ohne nerven zu wollen ...

Wenn ich zum Beispiel ein CHKROOTKIT auf die Rescue Partition lade und damit checke ? Bringt das nicht den gewünschten Erfolg ?

Grüsse


PS: wir machen natürlich den Reinit (hab ich mir eigentlich schon vorab vorgenommen) ... dieser Topic ist "just for educational" purposes ;)

Wir nehmen das schon ernst obwohl da wohl "nur" ein paar Script Kiddies (Affix nennen die sich) am Werk waren.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by captaincrunch » 2004-03-29 13:44

Sobald ein Rootkit im Kernel ist, kannst du der Kiste (und keiner) Ausgabe mehr trauen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

highlander74
Posts: 42
Joined: 2004-01-02 15:34

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by highlander74 » 2004-03-29 13:48

Neuen Kernel einspielen ?

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by outofbound » 2004-03-29 13:49

Und was, wenn Teile des Base- Systems gepatcht sind (ping z.B.) oder etwas ganz anderes.
Hast du eine übersicht, ob nicht irgendwo suids rumliegen? ;)

Skripte wie chkrrootkit funktionieren nur in eine Richtung.

Sie zeigen dir an, DASS deine Kiste kompromitiert wurde. (Und das auch nur
mehr oder wenig zuverlässig)

Die andere Richtung (Die Kiste ist SAUBER) kann dir sowas nicht anzeigen.

Gruss,

Out

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by Joe User » 2004-03-29 15:05

Highlander74 wrote:Neuen Kernel einspielen ?
Wie wäre es ohne Kernel, sprich Kernel-Image/Module/Sourcen während dem Booten vom System zu löschen?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by oxygen » 2004-03-29 17:27

Er hatte doch den Vorschlag gemacht es aus dem RescueSystem raus zu testen. Das sollte allerdings recht zuverlässig sein. Andere Sachen z.b. SUID lassen sich leicht über find finden.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by dea » 2004-03-29 21:43

ACK zu øxygens Post. Für die Zukunft ließe sich noch sinnvollerweise ein HIDS (aide, tripwire, samhain) installieren. So ließe sich dann (bei geeignet paranoider Implementation *g*) unter (günstigen) Umständen eine Reinitialisierung resp. Neuinstallation vermeiden und die Offline-Zeit verringern.

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by majortermi » 2004-03-29 22:58

Im Rescue-System die Platte aber sicherheitshalber mit "noexec" mounten. Man kann nie wissen...
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by outofbound » 2004-03-30 11:51

Leuts,

habt ihr in letzter Zeit mal am Kiosk die Zeitschriften durchgeschaut?

Da gibts ein ganz ganz tolles 1337 Mag namens "hackin9", Thema letzten Monat:
Blaster disassembeln und Shellexploits basteln.
Den Monat davor:
libproc patchen, etc.

Allein dadurch, dass solche Techniken Massenware geworden sind (10 Euro hat ja wirklich jedes Kiddie schnell vom Papa geschnorrt), bringt es nichts, wirklich gar nichts, auf einem "vielleicht unsicheren" System (Meiner Meinung nach: Garantiert unsicher) irgendwelche Sicherheitsmechanismen aufzubauen.

Wenn man auf die Schnauze fällt, sollte man vielleicht in Zukunft etwas langsamer laufen und vor allem (!!!!!!^oo) bei Servern sich erstmal wieder ans Zeichenbrett begeben.

Dann brav neu aufsetzen und von Anfang an entsprechende Sicherheitsprozedere einbauen,
dann hat man a) das Verständnis dafür, was man da eigentlich macht und b) die relativ hohe Sicherheit, dass nix von beginn an kaputt ist.

(Erster Schritt bei jedem Neuinit sollte sein: Alles bis auf ssh runter fahren, und dann erstmal updaten und hochpatchen... und damit meine ich NICHT(!) 2 Tage nach dem Reinit sondern gleich(!))

Zur Erklärung:
Neuer Server bestellt, das Teil war 2 Tage oben, ohne dass ich es gemerkt hab (Kam tollerweise keine EMail dazu) , eingeloggt und verseucht wie Sau. (Man möge die Ausdrucksweise verzeihen).

Auf der Kiste ist nichts, wirklich gar nichts gemacht worden, und nichtmal 48 Stunden danach ist die Kiste mehrfach aufgebrochen.

Fands ziemlich erstaunlich, ehrlich gesagt...

Gruss,

Out

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by theomega » 2004-03-30 12:31

weil diese Fragen ja öfters kommen: hilft der safemode hier? weil dann könnte der hacker in /tmp schonmal nicht schreiben!

danke
TO

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: Defacement durch alte MyEGallery. Was nun ? Reinit nötig ?

Post by outofbound » 2004-03-30 12:35

[Prediger- mode ON]

Falscher Ansatz.

Richtiger Ansatz:
Selbst wenn ein Angreifer das PHP knacken könnte, sollte er dann nichts
am System drunter erwirken können.

PHP Skripte werden nunmal oft aufgemacht, da gibts kein drum herum,
somit muss man sicherstellen, dass darunter nichts passieren kann.

Bitte das pauschal auffassen, das gilt für alles, was auf dem Server läuft.

Nettes Beispiel: Ich kann hier mein Rootpasswort reinschreiben und es würde
keinem was bringen...

Gruss,

Out