Ne Menge IRC Anfragen auf Rootie, doch geklärt.

[lordrobe]

Mein kleiner armer Rootserver musste in den letzten 2-3 Tagen als imaginärer Edonkeyserver fungieren. Ich bekam unendliche Anfragen auf den typischen Edonkeyports 6666-6669.
Nachdem ich es bemerkt habe, konnte ich die Ports schließen (Es lief kein Edonkeyserver, keine Sorge).

Nunja, trotzdem hat die Aktion sehr viel Traffic verursacht (rund 30 GB am Tag). Auch wenn kein Edonkeyserver lief, die Auslastung war enorm (load von 1,3-2.5).
Der durschnitt liegt bei 1 GB / tag und load von 0,2 .

Nunja, schon ärgerlich, aber meine Frage? Wie kann soetwas passieren. Wie können plötzlich millionen von Denken dass dort auf der IP ein Edonkeyserver läuft?
Zumal dort nie soetwas lief.
Hat jemand bösartig seine Edonkeyserveranfragen auf meine IP umgeleitet?
Sowas vermute ich zwar nicht, aber wie kann sowas kommen?

Danke für evtl. antworten (:


[Edit]
is natürlich der IRC Port, habe herausgefunden dass ein IRC Server lief. Der einbrecher kam über einen Pop3 Benutzer und hat sich bash zugang geholt (?)
Jedoch kann ich bis heute keinen Prozess finden, der der IRC Daemon sein sollte, auch ist es mir fraglich wie jemand meine iptables regeln alle paar Minuten resetten konnte.

[antondollmaier]

öhm ... wäre was ganz neues, dass "6666-6669" "typische Edonkeyports" sein sollten ...

meines wissens sind diese ports irc ...


aber woher die anfragen kommen könnte ... keine ahnung ...


mfg,
Anton


p.s.: wenn auf diesen ports kein programm läuft, werden anfragen doch "abgewiesen" (rejected) ... oder hab ich die diskussionen bzgl iptables-firewall falsch interpretiert?

[lordrobe]

Huch.

Verzeihung. NATÃ?RLICH sind das die IRC Ports. Wie komme ich denn auf Edonkey? Sorry, ich glaube ich habe mich zu lange mit beschäftigt um noch durchzublicken.
Seit kurzem fängt auch der Traffic wieder an zu steigen. Ist komisch, nach einer halben Stunde nachdem ich die Firewallregeln eingestellt habe, steigt der Traffic wieder erheblich.

Ein IRC System läuft allerdings nicht,
trotzdem verursacht es erheblichen Traffic. Ich glaube, das liegt einfach an der anzahl der Fragen (ohne mich da besonders auszukennen).

Alles sehr deprimierend /:



MIST: Da läuft wirklich ein IRC server, ich komme auf meinen Server per IRC rauf....

[chris76]

Dann bleibt dir wohl nur die reinitalisierung über

[bungeebug]

Und ich würde es schnell machen ... 30GB / Tag kann man wohl kaum nur mit Connect Anfragen erzeugen. Sicher das da nicht noch ein FTP oder so rennt?

[andreask2]

wie hast Du denn rausgefunden dass der Traffic auf den genannten Ports entsteht, bzw. auch wieviel?
Wie kann denn jemand über einen pop3-Benutzer einbrechen?
Ein Exploit Deines pop3-Servers? Welchen Server (Version) hast Du verwendet?
Und woher weißt Du dass es dieser Account war? Wenn er iptables ändern konnte müsste er ja eigentlich root geworden sein, was hattest Du denn für einen Kernel? Aber er könnte ja auch durch ein Exploit des pop3-servers oder eines anderen suid-Programms root geworden sein.

Hattest Du einen Webserver mit sowas wie postnuke, phpbb, phpsysinfo... installiert?

Und wie kann man überhaupt auf einem IRC-Server so viel Traffic haben, also wenn ich einen einfachen Channel zum unterhalten will dann bekomme ich den an jeder Ecke um sonst. Wenn per DCC Dateien übertragen werden, passiert das ja AFAIK direkt von client zu client? Gut, man hat mal gehört dass irgendwelche Trojaner/Bots per IRC gesteuert werden, kann es mit sowas zusammenhängen?

[lordrobe]

Also, ich antworte mal in der Reihe.

<wie hast Du denn rausgefunden dass der Traffic auf den genannten Ports <entsteht, bzw. auch wieviel?
Ich weiß ganz genau wieviel Traffic der Server im normalfall macht, da ich genau weiß was da läuft.
Ich habe mit netstat herausgefunden dass die besagten Ports (überwiegend 6667) benutzt werden. Dieser dämliche "Hacker" war ganz besonders schlau. Er hat das Programm "netstat" irgendwie ersetzt und ein shell script vorgebaut. Wenn ich "netstat" aufgerufen habe, startete das shelscript "netstat | grep -v 6667" oder so. Also er rief netstat auf und filterte genau diese Ports raus. Das war dann sehr schwer das nachzuvollziehen, bin auch nur durch zufall drauf gestolpert.

<Wie kann denn jemand über einen pop3-Benutzer einbrechen?
GUTE Frage. Wenn ich das wüsste würde ich Lücke sofort schließen (;

<Ein Exploit Deines pop3-Servers? Welchen Server (Version) hast Du <verwendet?
SuSE Linux 8.1, Postfix 2.0.15 und Confixx 2
Mir ist nichts bekannt dass es exploits geben könnte, die so gravierend wären dass jemand über einen Pop3 account Root rechte bekommt :D
<Und woher weißt Du dass es dieser Account war?
Der Popaccount (web15p4) hatte zugang zu Bash, ein anderes passwort und ein homedir. Was normalerweise nie der Fall ist. Allerdings könnte ich das nicht beweisen, das System zeigt an, dass sich nie jemand darüber eingeloggt hat (angeblich).
<Hattest Du einen Webserver mit sowas wie postnuke, phpbb, phpsysinfo... installiert?
phpbb, aber neuste Version, phpsysinfo läuft nur als Webminmodul, dürfte also nicht der Knackpunkt sein.
Weiß jetzt nicht welcher Kernel, sind aber die alten 1&1 Rooties mit Suse 8.1

Der Server hatte so viel Traffic, weil es irgendein verdammt großes Netz sein musste. Es gab zwar nur wenig Channels, aber es gab Tausende von Bots die ständig rejoinen. Was ich krass fand: Die bots hatten bezeichnungen nach Ländern, schien also etwas professioneller zu sein. Sinn und zweck dieses Netzwerkes, welches höchstwahrscheinlich aus vielen gehackten Servern besteht konnte ich jedoch nicht herausfinden. Allerdings denke ich schon dass die Synchronisation mit den anderen Servern erheblichen Traffic verursacht hatte.
Zumal tcpdump extrem hohe Anfragen erhielt. (Hat es jetzt immer noch).
Da sind pro sekunde, naja ich will nicht übertreiben, aber 300 Anfragen?

[captaincrunch]

Ã?hm...hast du die Kiste etwa nicht reinitialisieren lassen?

[lordrobe]

Nein, entweder war ich besser als der Hacker (lol), oder er hats jetzt einfach gelassen.

Zumindest der Traffic ist jetzt weg.

Noch eine Frage:
Kann man einen Prozess "verstecken"?
Weil ich habe bis jetzt immer noch nicht den Prozess gefunden, der evtl. der IRC Server sein könnte.

[captaincrunch]

Nein, entweder war ich besser als der Hacker (lol), oder er hats jetzt einfach gelassen.

Dann viel Spaß mit der nächsten Trafficrechnung. Ganz nebenbei: sowas nett man dann auch "grob fahrlässig" (was amn alleine schon aufgrund der Kernelversion sagen könnte).
IANAL.

Kann man einen Prozess "verstecken"?

Ja, was darauf hindeutet, dass du definitiv nicht besser warst als das Scriptkiddie.

[lordrobe]

Oh man (;


Also meine Kernelversion ist 2.4.20

Ich habe Sie nicht genannt weil ich sie nicht im Kopf habe, was bei mehreren Servern mit unterschiedlichen Kernel schnell passieren kann.

Außerdem: "Learning by Doing", wäre der Hacker nicht gewesen sein, würde ich nicht über nacht iptables regeln gelernt haben und so gut mit tcpdump und netstat umgehen können (was für ein Deutsch :D)

Und über die Trafficrechnung mach dir mal keine Sorgen: Da habe ich immer spaß mit :D

[captaincrunch]

Also meine Kernelversion ist 2.4.20

Und du wunderst dich, wie derjenige reingekommen ist?

Außerdem: "Learning by Doing", wäre der Hacker nicht gewesen sein, würde ich nicht über nacht iptables regeln gelernt haben und so gut mit tcpdump und netstat umgehen können (was für ein Deutsch )

Die wichtigste Lektion scheinst du aber immer noch nicht gelernt zu haben... :roll:

Und über die Trafficrechnung mach dir mal keine Sorgen: Da habe ich immer spaß mit

Deine Trafficrechnung ist mir herzlich piepegal, was derjenige mit deiner Kiste, die mit affenartiger Geschwindiogkeit ans Internet angebunden ist allerdings nicht. *kopfschüttel*

Btw.: Als abschreckendes Beispiel wandert das ganze hier mal ins Security.

[andreask2]

Hm, woher willst Du wissen dass der Traffic vorbei ist? wer sagt Dir dass der Eindringling das Tool oder eine Funktion mit dem Du den Traffic misst nicht manipuliert hat?

Also das erste was ich machen würde, wäre den Server im Rescue-Modus zu starten, wenn das OS dann aus dem Netzwerk kommt. Denn im Prinzip kannst Du nichst und niemandem mehr vertrauen. Der Typ ist nicht doof und kann auch sehen dass Du mit iptables und tcpdump rumspielst.

Wie aktuell ist denn die Software? Hast Du da sämtliche Updates von Suse eingespielt?

@CC: Wegen der Kernel-Version, ich kenne das noch von RedHat, da hatte man auch immer niedrigere Versionen, die dann entsprechend gepatched wurden. Wieso bist Du so sicher dass der Kernel verwundbar ist?

Was mich am meisten interessieren würde - wie ist der da reingekommen? Und wie hat er root bekommen?

Soweit ich mich erinnere gab schon öfter Probleme mit Confixx, daher würde ich als erstes mal hier drauf tippen. Was meint Ihr?

[lordrobe]

Hi,

ich habe vor wenigen Wochen (3-4?) ein Yast Online Update durchgeführt. Da hat Yast auch einige Software geupdated die Sicherheitsrisiken darstellen könnten. Leider ging dieses Onlineupdate in letzter Zeit nicht, da der Server (ftp.leo.org? ) nicht erreichbar war.

Die software sollte also laut Yast/Suse relativ neu sein.

Wegen Confixx: Kann dazu nichts weiter sagen, aber ich glaube das habe ich angesprochen: Das popfach wurde von Confixx erstellt. Aber es kann natürlich auch sein, dass der Eindringling woanders her kam und diesen Pop3 User einfach als Decknamen verwendet hat. Wär ja auch sehr auffällig wenn da plötzlich ein "Hacker_mit_IRc-server" in der Benutzerliste auftauchen würde (;

[captaincrunch]

@CC: Wegen der Kernel-Version, ich kenne das noch von RedHat, da hatte man auch immer niedrigere Versionen, die dann entsprechend gepatched wurden. Wieso bist Du so sicher dass der Kernel verwundbar ist?

->

<Ein Exploit Deines pop3-Servers? Welchen Server (Version) hast Du <verwendet?
SuSE Linux 8.1, Postfix 2.0.15 und Confixx 2

[...]
kernel-source-2.4.21-169.tar.bz2
[...]