Kein RootKit und trotzdem Hacker drin?

[webskipper]

Hallo,

laut rkhunter und anderen RootKit Check Programmen ist auf meinem Server kein RootKit installiert, trotzdem passiert es immer wieder, dass jemand unter dem Benutzer www-data Bouncer nach /tmp installiert und ausführt.

Ich habe das Passwort von www-data mehrmals geändert, auch das HOmeberzeichnis wurde geändert.

Trotzdem kommt der immer wieder rein.

Apache 1.29 ist installiert.

OS ist Linux Debian unstable.
Hat jemand einen Tipp für mich, woran das liegen könnte ?

Danke und Gruß

Webskipper

[d.goersch]

Hat jemand einen Tipp für mich, woran das liegen könnte ?

Am Admin!
SCNR Domi.

[Anonymous]

OS ist Linux Debian unstable.
r

LMFAO .. wie dumm muss man eigentlich sein?

[webskipper]

An unstable liegt es definitiv nicht.

Bei den installierten Paketversionen sind mir keine Sicherheitslöcher bekannt und ein aktueller Kernel ist ebenfalls installiert.

Bitte um konstruktive Antworten und nicht um Troll Antworten.

Vielen Dank.

Webskipper

[d.goersch]

Bei den installierten Paketversionen sind mir keine Sicherheitslöcher bekannt ...

That's the point!
Domi.

[metrax]

OS ist Linux Debian unstable.

Lass dir mal von google das Wort unstable übersetzen, dann weißt du (vermutlich) auch warum man es nicht für produktive geschichten hernehmen sollten.

MfG
Robert

[thorsten]

Mach das Ding platt und fang nochmal an.

[Joe User]

Woher hast Du bitte einen Apache 1.29?

Nimm den Server sofort vom Netz!

Desweiteren willst Du Dich unverzüglich über das Usersystem von *NIX und seinen Derivaten informieren und Dir bei dieser Gelegenheit das restliche zwingend notwendige Grundwissen aneignen, bevor Du jemals wieder einen öffentlich erreichbaren Server betreibst.

[mem]

Woher hast Du bitte einen Apache 1.29?

Er muesste ihn aus der Zukunft haben.

[blnsnoopy26]

Woher hast Du bitte einen Apache 1.29?

Er muesste ihn aus der Zukunft haben.

http://rpmseek.com/rpm-pl/apache.html?h ... &qDnStr=12

http://www.google.de/search?q=cache:tXH ... load&hl=de

http://archive.apache.org/dist/httpd/



Oder ging es um die Version 1.29.x :lol: :lol:

[dodolin]

trotzdem passiert es immer wieder, dass jemand unter dem Benutzer www-data Bouncer nach /tmp installiert und ausführt.

Ich würde tippen unsichere Skripte, bevorzugt PHP. Nichts desto trotz würde ich raten, bestell den Server ab oder lasse die Administration von Leuten machen, die sich damit auskennen und dann folglich auch solche Lücken wenigstens anhand von Logs etc. finden würden, sodenn es denn die Lücken schon gibt, was schon schlecht genug ist.

Hint: So ein Bouncer in /tmp wird ja wohl ein Erstellungsdatum haben und wenn der User www-data ist, würde ich eben zu dieser Zeit mal die Apachenlogs durchsuchen...

[oxygen]

Schuss ins Blaue: phpNuke.

[webskipper]

Ja, sorry, ich habe mich verschrieben, gemeint ist natürlich 1.3.29 - ist wieder typisch, dass darauf rumgeritten wird :P

Die superklugen Menschen, die hier in Debian unstable eine Ursache sehen, sollen mir das bitte mal an dieser Stelle belegen, debian unstable heisst keineswegs, dass das System in Rauch aufgeht, sondern dass hier aktuelle Versionen zur Verfügung stehen, die in stable und testing nicht vorhanden sind.

Also wer glaubt, debian stable sei von Natur aus sicherer, der irrt gewaltig.

Ich denke weder, dass der aktuelle ssh daemon, noch der Apache in Version 1.3.29, noch die aktuelle libc6 Ursachen sind, sondern der Grund in einer Misskonfiguration zu suchen ist.

Leider wurden in diesem Thread ganze ZWEI hilfreiche Antworten geliefert,
für die ich mich an dieser Stelle bedanken möchte.

Alle anderen Antworten kann man in die Tonne kloppen.

Gute Nacht auch.

[tomek]

...
Die superklugen Menschen, die hier in Debian unstable eine Ursache sehen, sollen mir das bitte mal an dieser Stelle belegen, debian unstable heisst keineswegs, dass das System in Rauch aufgeht, sondern dass hier aktuelle Versionen zur Verfügung stehen, die in stable und testing nicht vorhanden sind.

Also wer glaubt, debian stable sei von Natur aus sicherer, der irrt gewaltig.
....

Du irrst gewaltig. Sicherheitsupdates gibt es nur für Stable Releases, also in dem Fall Woody. Die Pakete in Unstable und Testing können die dollsten Bugs und Sicherheitslöcher haben. Ich glaube kaum, dass du die Bugs und Probleme von allen Paketen aus Unstable und Testing täglich studierst und verfolgst. Deshalb heissen die auch Unstable und Testing. Sowas hat auf einem Produktionssystem oder einem Server im Internet nix verloren.

Natürlich ist auch Woody nicht 100% sicher. Aber garantiert 100%ige Sicherheit gibt es nirgends.

[rootmaster]

laut rkhunter und anderen RootKit Check Programmen ist auf meinem Server kein RootKit installiert, trotzdem passiert es immer wieder, dass jemand unter dem Benutzer www-data Bouncer nach /tmp installiert und ausführt.

Ich habe das Passwort von www-data mehrmals geändert, auch das HOmeberzeichnis wurde geändert.

Trotzdem kommt der immer wieder rein.

Apache 1.29 ist installiert.

OS ist Linux Debian unstable.
Hat jemand einen Tipp für mich, woran das liegen könnte ?

"www-data" kommt nicht immer wieder rein, der ist drin... das ist nämlich dein apache-user 8)
wenn du keine gesonderten massnahmen triffst, werden skripte, die der apache ausführt, unter dieser uid ausgeführt.
zb. php ist ein beliebtes angriffsziel, denn php ist einfach, aber nicht einfach sicher ;)
selbstgeskripter kram oder schlecht programmierte sachen (zb. php-nuke && module) können ein einfallstor sein!
wenn du php einsetzt, dann solltest du es absichern und deine eingesetzten skripte mal einem "code-audit" unterziehen.
http://www.developer.com/lang/article.php/918141

aber auch (und gerade) cgis sind abzusichern (zb. suexec, suphp)

ausserdem solltest du dich näher mit den user-/filepermissions deines eingesetzten os auseinandersetzen. denn letztlich laufen alle prozesse unter einer uid unter zugriff auf das filesystem (zb. /tmp als noexec mounten)

in dem zusammenhang soltest du dann auch lernen, wie man logs "richtig" liest und wie man verschiedene logfiles gegeneinander abchecken kann.

dass du unstable einsetzt zeigt, dass du dir über die sicherheit noch nicht genug gedanken gemacht hast (und nein, security-updates werden für unstable nicht offiziell supportet).
wenn du schon einzelne pakete aus unstable brauchst, solltest du die gegebenfalls auf stable "backporten" (und security-fixes selbst pflegen)...
http://www.debianhowto.de

unser backport-spezialist Daniel E. Atencio Psille (~dea) hat dazu ein schönes howto gemacht ;)

keiner wirft dir vor zu experimentieren... aber auf öffentlichen servern solltest du dies nicht tun! wenn du schon wenig ahnung hast, dann schau dir doch erst mal an, wie es die profis machen ;)
denn dein gehackter server an sich, interessiert keinen; aber es interessiert dann, wenn er im selben netz wie der eigene server steht, denn das stellt eine gefahr an sich dar und kann sich auf das gesamte lokale netz auswirken.

sicherheit sollte kein flickwerk sein und meine paar hinweise sind kein umfassendes sicherheitskonzept. das muss jeder individuell ausarbeiten!

ps: aber es ist schon mal positiv, dass du den bouncer bemerkt hast. denn gefahr schnell zu erkennen ist mind. so wichtig wie gefahr vermeiden wollen 8)

"back to the roots"

[outofbound]

Ganz ehrlich... du gehörst links und rechts mal ganz gewaltig gelartet.

Ich hoffe dir ist klar wie viele Leute du mit deinem Server schädigst, und trotz
dem vielen Unverständnis, dass ich dir entgegenbringe hoffe ich für dich, dass der Schaden
bei dir nicht in den Vierstelligen Bereich geht...

Gruss,

Out

[cschwede]

Sicherheitsupdates gibt es nur für Stable Releases, also in dem Fall Woody.

Und wenn alles gut läuft ab morgen auch für Sarge (sollte es eigentlich schon ab dem 8.8.04 geben ;-)):
http://lists.debian.org/debian-devel-an ... 00003.html

[captaincrunch]

Genau, und Hurd kommt auch nächste Woche. :lol:

SCNR

[tomek]

Sarge Release? Hauptsache geht das nich so wie mit SP2 für Windows XP. ;)

[webskipper]

Hallo allesamt,

php safe_mode war fatalerweise deaktiviert und durch eine PHPNuke Seite hat sich der Bouncer dann installieren können.

Ich habe es jetzt umgestellt und seitdem keine Probleme mehr.

Gruß

Webskipper

[oxygen]

Schuss ins Blaue: phpNuke.

php safe_mode war fatalerweise deaktiviert und durch eine PHPNuke Seite hat sich der Bouncer dann installieren können.

øxygen 1 : phpNuke 0 :lol:

[tomek]

Kenne PHPNuke nicht, aber dieses böse Wort taugt immer wieder bei Sicherheitsproblemen auf hab ich das Gefühl. :roll:

[captaincrunch]

Jup. Leider gibt es immer noch Leute, die auf den PHPNuke-Schrott reinfallen...ist ja auch sooooo einfach und bunt. :roll: