Server Hack ich könnte heulen :-(

Lesenswerte Artikel, Anleitungen und Diskussionen
andreab
Posts: 6
Joined: 2004-12-01 12:31

Server Hack ich könnte heulen :-(

Post by andreab » 2004-12-01 12:51

Hi,

bin neu hier und habe ein Problem welches mich an den Rand des Wahnsins treibt.

Server wurde zum dritten mal in Folge gehackt. Es ist NICHTS in den logs zu finden....

Das einzige was ich raus gefunden habe ist das uber das vnstat tool der Traffic für eine Zeitfenster von ca. 4 bis 6 Stunden ein Traffic von 9GB und mehr gemacht wird ...

Intressant ist auch das /var/tmp
für kurze Zeit / zeitgleich eine verzeichnis erstellt wird welches scheinbar für diesen Traffic die Ursache ist ....
Die meisten der dateien sind unleserlich .... eine datei war zu finden die emails beinhaltetetn die mit .ro enden .... es waren nur 4 emails

das tool itop zeigt mir auch keine extremen toleranzen ....

nach dem neu aufsetzen wurde alles mögliche an sicherheiten eingestellt ... das gleiche Problem.

Was ich vom altem System übernommen habe ist die einezige Webseite die auf dem server läuft .... ein eNuke System.

nach durchsciht der dateien kann ich keine unterschied finden.

Ich bitte um Hilfe da ich mitlerweile keine Lösung mehr habe :-(

Gruß
andrea

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server Hack ich könnte heulen :-(

Post by Joe User » 2004-12-01 13:00

andreaB wrote:ein eNuke System.
Hier liegt Dein Problem: Alles was "Nuke" im Namen trägt, hat auf einem öffentlich zugänglichen Server nichts zu suchen!
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

andreab
Posts: 6
Joined: 2004-12-01 12:31

Re: Server Hack ich könnte heulen :-(

Post by andreab » 2004-12-01 13:20

nunich will es nicht abstreiten .... das nuke das problem ist ...

Frage wie kann ich / wo muss ich ansetzen um ruaszufinden wie die / der eingedrungen ist?

lg
Andrea

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Server Hack ich könnte heulen :-(

Post by antondollmaier » 2004-12-01 13:28

webserver access-log sowie error-log anschauen ...


ich würde nach "wget" suchen ... war bei nem bekannten auf dessen vserver so ...

shackattack
Posts: 10
Joined: 2004-11-29 16:28
Location: Delbrück

Re: Server Hack ich könnte heulen :-(

Post by shackattack » 2004-12-01 22:43

Wie sieht es mit url_fopen auf deinem Server aus?

Sollte in der php.ini deaktiviert sein.

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Server Hack ich könnte heulen :-(

Post by andreask2 » 2004-12-02 10:17

Joe User wrote:Hier liegt Dein Problem: Alles was "Nuke" im Namen trägt, hat auf einem öffentlich zugänglichen Server nichts zu suchen!
Aber große Hoster bekommen es ja auch hin dass Kunden sowas installieren können - ohne dass es großartigen Einfluss auf den Rest des Servers hätte. Was machen die denn so anders? Vorherrschende Meinung hier ist wohl die Verwendung von suPHP mit strenger Rechtevergabe. Gut, aber auch dann kann man noch durch eine Lücke Dateien in /tmp laden und ausführen, und möglicherweise einen Shell-Zugang öffnen. Ich kann mir nicht vorstellen dass es ein Hoster so weit kommen lässt - also was macht der anders? url_fopen erlauben die meisten Hoster, open-basedir habe ich auch noch nicht gehabt, chroot - ich glaube auch das habe ich nicht gehabt. /tmp nicht ausführbar? Auch das wird nicht gemacht. Und selbst wenn, es gibt meist noch andere Verzeichnisse wo der Webserver reinschreiben darf.

Die haben oft 100te, teilweise auch 1000de Kunden auf einem Server, die können keinen Ã?berlblick drüber haben was darauf installiert wird. Ich kann mir nicht vorstellen dass die erst reagieren wenn sich Angreifer eine Remote-Shell installiert haben. Gut, vielleicht haben die eine Firewall dazwischen, aber trotzdem, wenn jemand eine remote-shell installieren kann, kann er auch auf dieselbe Weise mehr anrichten.

Was machen die anders? Ich meine, die leben ja davon dass die Kunden möglichst so "bequeme" Sachen wie allow_url_fopen, register_globals, bloß kein safe_mode, kein open_basedir... Gut, CGI und suExec/suPHP ist wohl Standard aber wie gesagt - es schützt "nur" dagegen dass ein User/Angreifer mit fehlerhaftem Script keinen direkt Schaden bei anderen Kunden anrichten kann.

thomas80
Posts: 20
Joined: 2004-05-23 14:12

Re: Server Hack ich könnte heulen :-(

Post by thomas80 » 2004-12-02 13:53

Was machen die anders? Ich meine, die leben ja davon dass die Kunden möglichst so "bequeme" Sachen wie allow_url_fopen, register_globals, bloß kein safe_mode, kein open_basedir... Gut, CGI und suExec/suPHP ist wohl Standard aber wie gesagt - es schützt "nur" dagegen dass ein User/Angreifer mit fehlerhaftem Script keinen direkt Schaden bei anderen Kunden anrichten kann.
Na sowas wie grsecurity und RBAC oder äquivalentes werden die vermutlich einsetzen...und damit zum Beispiel Socket-Operationen verbieten, so dass die jeweiligen Benutzer weder nach aussen connecten noch Serverdienste starten können...so kann man schonmal verhindern, dass jemand ne Shell aufmacht. Zusammen mit suphp oder -cgi sollte das eigentlich relativ effektiv sein.

gruß, thomas

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Server Hack ich könnte heulen :-(

Post by mikespi » 2004-12-02 19:08

Kunden bei Webhostern werden auch geknackt. Nur das hier kein Zugriff auf den Server möglich ist.


SuEXEC und CGI sind der Weg in die richtige Richtung.

Anonymous

Re: Server Hack ich könnte heulen :-(

Post by Anonymous » 2004-12-04 12:24

Hallo Leute,

ich will auch mal meinen "Senf" dazu geben. Es gibt hier sicherlich viele Ecken wo der Hacker angreifen könnte. Nuke ist das beste Beispiel dafür wie man es nicht machen sollte.
Nuke in der Grundsubstanz ist warscheinlich sicher, jedoch das Einbinden der Einzelnen Komponenten macht es zur Spielwiese für Hacker. In manchen Fällen, nutzt Nuke auch noch den save_mode off was ohnehin schon recht suspekt ist.
Meist sind auf den Servern Ports offen, die nicht unbedingt offen sein sollten. In den meisten Fällen ist der Mydoom Port (3127) offen, den ich selbst als sehr bedenklich einstufe. Ich kann jedoch auch aus Erfahrung her sagen, vorsicht vor manchen Serverhostern. Ich möchte keinen persönlich angreifen, aber ein Unternehmen aus der Nähe von Aachen, bietet Rootserver zu wirklich unschlagbaren Konditionen an. Jedoch das fatale an der Geschichte ist, sein manipuliertes Confixx Premium Edition Wer sich ein wenig mit Confixx auskennt, weis das es hier vor Sicherheitslücken nur so wimmelt, denn diese Version ist nicht wirklich von Confixx, sondern eine selbst umgebaute sorry " Seppelversion" !! Da Confixx hierfür nicht gerade steht, darf diese Version auch nicht den Original Namen Confixx 3 Prof. tragen, sondern eben Confixx Premium Edition !!Also hier unbedingt die Finger weg.
Aber es gibt auf Deinem Server sicher einige Lücken, die Du immer wieder übernimmst.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server Hack ich könnte heulen :-(

Post by captaincrunch » 2004-12-04 12:53

In den meisten Fällen ist der Mydoom Port (3127) offen, den ich selbst als sehr bedenklich einstufe. Ich kann jedoch auch aus Erfahrung her sagen, vorsicht vor manchen Serverhostern.
Häh???
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Anonymous

Re: Server Hack ich könnte heulen :-(

Post by Anonymous » 2004-12-04 15:05

Hallo CaptainCrunch,

ich schliesse aus Deiner Antwort " Häh??? " das Du nicht weist worum es bei diesem Port geht ? Er hat wie so viele glauben zu wissen, doch erheblichen Stellenanteil unter Linux. In Russland scheit das wohl eher bekannt geworden sein. Im übrigen gibt es bereits auch Windows Rechner im Netz :roll:

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server Hack ich könnte heulen :-(

Post by Joe User » 2004-12-04 16:08

Senf wrote:ich schliesse aus Deiner Antwort " Häh??? " das Du nicht weist worum es bei diesem Port geht ?
YMMD
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

cronet
Posts: 83
Joined: 2003-07-21 13:37
Location: Augsburg

Re: Server Hack ich könnte heulen :-(

Post by cronet » 2004-12-04 16:08

Häh???

Was hat jetzt der Wurm mit dem ganzen Thema zu tun?[/url]

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Server Hack ich könnte heulen :-(

Post by oxygen » 2004-12-04 16:41

3127? Auf was für Hoster Server soll dieser Port auf sein? Meinst du vielleicht 3306 (mysql)?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server Hack ich könnte heulen :-(

Post by captaincrunch » 2004-12-04 17:06

Es tut mir arg leid, aber ich sehe mich außer Stande, deinen Ausführungen über Port 3127 zu folgen. Bitte erhelle mich mit Weisheit...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: Server Hack ich könnte heulen :-(

Post by mikespi » 2004-12-04 17:09

@ Senf


Kann du mir denn bitte dann noch sagen wie ich meinem Linuxserver vor diesen Wurm in Zukunft schützen kann. Ich glaube der Port ist bei mir auch offen ?!?!!

SCNR

cronet
Posts: 83
Joined: 2003-07-21 13:37
Location: Augsburg

Re: Server Hack ich könnte heulen :-(

Post by cronet » 2004-12-04 17:38

ich weiß auch nicht recht wass das damit zu tun haben sollte.

Der Wurm Mydoom öffnet beim Ausführen (oft als exe bat pif etc. anhang ) den Port 3127 über den dann auf dem client eingebrochen werden kann...
Aber mit Serversystemen hat das eigentlich nichts zu tun...


Gruß,
Alex

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Server Hack ich könnte heulen :-(

Post by antondollmaier » 2004-12-04 17:47

mydoom is doch n windows-virus??? 8O

Anonymous

Re: Server Hack ich könnte heulen :-(

Post by Anonymous » 2004-12-04 18:38

Hallo,
sicherlich ist der Mydoom Wurm ein Windows basierendes Programm. Es geht hier lediglich um den Port als solches. Scanne mal die Ports von verschiedenen Servern, schon wirst Du auf ein Sicherheitsrisiko aufmerksam gemacht, lange suchen muß man ja nicht :roll: Es will mir ja wohl auch niemand erzählen, das es durchaus korrekt ist, das dieser Port auf den meisten Servern offen ist. Gerne bin ich bereit hier dazu zu lernen, aber für mich ist das ein nicht einschätzbares Risiko. Angenommen ich bekomme mittels eines anderen Fehlers in Deiner Serverkonfiguration Zugriff auf Deinen Rechner, werde ich diesen Trojaner Port nutzen um z.B. andere Rechner im Netz anzugreifen. Ich weis das ich mit meiner Weisheit ziemlich alleine da stehe.....jedoch geht einfach mal davon aus, das es so ist. U.a. gibt es auch eine Möglichkeit über diesen Port Rootrechte zu erhalten, wenn gewisse Voraussetztungen erfüllt sind. Allerdings bin ich hier noch nicht dahinter gestiegen.
Ich bitte Euch aber auch, zu bedenken, das auch ich auf dem Holzweg sein kann Fehler sind dazu da gemacht zu werden.

@mikespi
Nich Dein Rechner ist von diesem Wurm bedroht, sondern in den meisten Fällen ist nur dieser Port offen, der sogenannte Trojaner Port.

Ich bin auch gerne mal bereit einen Eurer Server zu scannen und Euch die Ergebnisse mitzuteilen. Schickt mir per PM die URL . Ich mache das aber höchstens einmal, denn ich habe nicht so viel Zeit. :-)

athlux
Posts: 61
Joined: 2004-08-20 13:53

Re: Server Hack ich könnte heulen :-(

Post by athlux » 2004-12-04 21:18

Senf wrote:Hallo,
Scanne mal die Ports von verschiedenen Servern, schon wirst Du auf ein Sicherheitsrisiko aufmerksam gemacht, lange suchen muß man ja nicht :roll:
Du willst also sagen das Ich diesen offenen Port auf vielen Server finden werde?

Das wage Ich aber zu bezweifeln.
Senf wrote: Angenommen ich bekomme mittels eines anderen Fehlers in Deiner Serverkonfiguration Zugriff auf Deinen Rechner, werde ich diesen Trojaner Port nutzen um z.B. andere Rechner im Netz anzugreifen.
Wenn jemand deinen oder einen beliebigen Server unter Kontrolle bekommt wird Er sicherlich nicht nur diesen einen Port aufmachen, wenn überhaupt.

Das Scriptkiddie installiert sein sich irgendein irc programm und/oder biegt den ftp server um sich Ihn für seine Zwecke zu Nutze zu machen.
Das sind dann häufig illegale Programme/Games/Movies.

Die andere Fraktion nutzt deinen Server um Angriffe auszuführen oder schlicht als Spamrelay.

Nur um 2 Beispiele zu nennen.
Senf wrote: Ich bitte Euch aber auch, zu bedenken, das auch ich auf dem Holzweg sein kann Fehler sind dazu da gemacht zu werden.
Mich würd echt interessieren wer diese Theorie mit dem offenen Port in Gang gesetzt hat.

Woher hast Du deine Infos?

shackattack
Posts: 10
Joined: 2004-11-29 16:28
Location: Delbrück

Re: Server Hack ich könnte heulen :-(

Post by shackattack » 2004-12-04 23:54

Knuffich ... ich will auch ne Tüte Weisheit von Senf.

Nach meinem Wissensstand sind unter Linuxsystemen nur die Ports offen
die in Benutzung sind. Wie zum Teufel soll der MyDoom Port dann auf
meinem Debian bedenklich sein.

Du hast wohl zuviele Portscans auf Windo$e Rooties gemacht.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Server Hack ich könnte heulen :-(

Post by captaincrunch » 2004-12-05 00:30

Ich bin auch gerne mal bereit einen Eurer Server zu scannen und Euch die Ergebnisse mitzuteilen. Schickt mir per PM die URL .
Von mir aus auch gerne öffentlich: rootforum.org/, Webserver auf "meiner" Kiste. Schmeiß den wundersamen Portscanner an, sofern er dir diesen Port als offen anzeig,t schmeiß ihn einfach aus dem Fenster, bzw. check dein lokales LAN auf's gründlischste.

Mich würde im ürbigen auch mal interessieren, woher diese...interessante...Theorie kommt.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: Server Hack ich könnte heulen :-(

Post by scythe42 » 2004-12-05 04:56

Senf wrote:Es will mir ja wohl auch niemand erzählen, das es durchaus korrekt ist, das dieser Port auf den meisten Servern offen
Erstmal ein Port ist immer dann offen wenn dort ein Dienst drauf läuft und der von aussen Ansprechbar ist. Mit aussen ist immer ein hinter deiner nächsten Firewall gemeint. Hast du einen Dienst auf einem Port laufen, willst aber z.B, das niemand von Netz A draufzugreifen kann aber von Netz B, konfiguriert man seine Firewall enstprechen, dass der Port für Netz A nicht erreichbar ist. Man sagt hier ganz gerne "der Port ist zu". Das ganze hat rein gar nichts mit einem einzigen Server zu tun, sondern kommt aus dem Begriffen der Firewall Architektur und ist eine sprachline Kurzform unter Firewalladmins, wobei alle Gesprächspartner wissen in welchem Verhältnis das "Port schliessen" (mittels Packetfiltering bestimmte Computer/User nicht mit dem Dienst kommunizieren lassen) gemeint ist.

Und bei jedem Dienst kannst du auch sagen auf welchem Port er laufen soll. Die Portscanner die man so gerne zur "Analyse" nimmt gucken nur ob auf einem Port was antwortet und vergleichen dann an Hand einer Liste was gerne auf dem Port läuft - so ist 80 TCP eben HTTP. Muss aber nicht sein. Ich kann auch mein SSHD darauf laufen lassen. Bessere Portscanner versuchen wenigstens noch rauszukriegen was das für ein Dienst ist.

Starie ich einen bösen Dienst auf Port 20001 ist der "offen" - er bleibt es auch immer bis der Dienst beeendet ist. Eine Firewall kann höchstens Traffic blocken. Aber hey, dann nimm ich halt nen anderen. Findet sich immer einer! Und wenn es sein muss tunnel ich eben über ICMP...

Warum verwendet ein potentieller Angreifer nen Portscanner? Er guckt mal was für Dienste laufen - identifiziert sie dann genau und guckt nach einer Schwachstelle, die er dann ausnutzt. Wie der Einbrecher, der erstmal guckt ob es Fenster (ein Diest auf einem Server) mit Sicherheitslücken (z.B. nur angeleht) gibt.

Der eigentlich Einsatzbereich für Portscanner für Admins ist, wenn man viele Dienste laufen hat, aber nicht alle von der Aussenwelt erreichbar sein sollen. Dann klopft man eben von aussem mal ab, ob die Firewall Rules entsprechend konfiguriert sind oder ob man was vergessen hat.

Und nebenbei, da ein Rootserver alleine in einem Netz steht laufen da eh nur Dienste drauf die auch von jedem erreichbar sein sollten. Ob der Dienst dann noch was authentifizert ist mal egal. Geht nur um die reine Kommunikation.

Zusammenfassung: man kann Ports nicht öffen oder schliessen! Man kann nur Dienste an Ports binden. Entweder läuft da was drauf oder nicht. Mann kann nur verhindert das ein Dienst auf einem Port gegenüber bestimmten anderen Netzen oder Rechnern antwortet - etwender mit Firewalls in einer entsprechenden Architektur oder bei einem einsamen Server im Internet besser über entsprechende Wrapper falls es die Software selbst nicht erlaubt. Jedoch sind Wrapper schon alleine aus Security Sicht vorzuziehen wenn es denn schon sein muss das derartige Dienste auf einem Rootserver laufen.

Offene und geschlosene Ports sind Terminoligien aus Firewall Architekturen und sind nicht auf einzelne Maschinen übertragbar.

Beim Laien - besonders stark unter nicht Unix Erfahrenen - hat sich ebenfalls eingebürgert "offener Port" zu sagen, wenn dort ein Dienst läuft. Schliessen könntest du den aber in diesem Zusammenhang nur wenn du den Dienst abschaltest. Korrekter wäre zumindestens "aktiver port" zu sagen oder besser "aktiver dienst auf port xyz"...

Läuft ein Dienst den man nicht kennt sollte man dem immer nachgehen. Dabei kann ggf. die Portnummer helfen um einzugrenzen, was gerne auf dem Port läuft. Daher kommt das auch mit dem Port scannen im Security Bereich. Läuft das was, was da nicht laufen darf? Gute böse Dienste verstecken sich vor Prozesslisten und Portscannern eh 8-)
Senf wrote:Gerne bin ich bereit hier dazu zu lernen, aber für mich ist das ein nicht einschätzbares Risiko. Angenommen ich bekomme mittels eines anderen Fehlers in Deiner Serverkonfiguration Zugriff auf Deinen Rechner, werde ich diesen Trojaner Port nutzen um z.B. andere Rechner im Netz anzugreifen.
Wenn ich erstmal auf einem Rechner bin mach ich was ich da will. Da brauch ich keine bestimten "offnen Ports". Und sollt der Rechner in einer DMZ stehen und mit Port X nicht durch die Firewall am Router lassen, dann tunnel ich eben Port X auf Port Y durch die Firewall. Juckt mich doch nicht.

Ich tunnel mich durch jede Firewall wie nen heisses Messer durch Butter ;-)

Aber keine Sorge, das sind Fähigkeiten jenseits der Script Kiddies, da muss man mehr können als ein Button drücken oder nen FXP Server zum Warez traden starten...

Also nochmal: Es ist völlig egal was für ein Port, das spielt keine Rolle. Du kannst jeden Dienst an jeden Port binden. Ist kein Indiz für gar nichts.

Statt über diese Dinge nachzudenken, lieber man einen Blick über den PHP Code bei dir gucken. PHP ist für 90% aller Einbrücke in Linux basierenden Server verantwortlich, weil die Autoren nicht coden können bzw. PHP kein echtes Security Model mit sich bringt. Deswegen ja auch mit die suexec und sonstigen Geschichten....

So genug der Prosa...

bye, Scythe42

solution
Posts: 8
Joined: 2003-02-02 14:54

Re: Server Hack ich könnte heulen :-(

Post by solution » 2004-12-05 07:09

Wie ich Deiner Mail entnommen habe, nutzt Du LanGuard um Deine Weisheiten zu unterstützen. Nicht böse sein Senf, aber mit LanGuard kann man sicherlich einige Ergebnisse verwenden, jedoch sollte man diese auch auswerten können.

Lese Dir den Beitrag von scythe42 genau durch, dann hast Du alles was Du brauchst.

Im übrigen meine Tipps zum Server:
    Regelmäßige Updates der Serversoftware machen Nicht jede Opensorce Software gleich auf den Server packen Wenn schon Nuke, dann nur von den Autorenseiten Den save_mode auf on Vielleicht Debian verwenden
Das ist jetzt nur mal das was mir so einfällt. Besorge Dir ein Handbuch über Serveradministration, setzte Dich in Ruhe hin und lese, vergleiche, lerne, teste und mache Deinen Rechner von Hand sicher.

thomas80
Posts: 20
Joined: 2004-05-23 14:12

Re: Server Hack ich könnte heulen :-(

Post by thomas80 » 2004-12-05 22:27

O Gott, ich habe gerade festgestellt, dass Port 80 und 22 auf einem meiner Server offen sind. Da können ja gleich zwei Hacker auf einmal einbrechen. Was mache ich denn jetzt? Wie kann man am besten alle Ports für immer zumachen? :D