Wurmangriff "NeveEverNoSenity Webworm Generation 9"

[[gk]nichts]

Huhu,
habe heute nacht mal einen gehörigen Schrecken bekommen... Sämmtliche html und php Seiten auf meinem Server wurden durch eine andere ersetzt, welche folgendes beinhaltet:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 9.</b></ADDRESS>
</BODY></HTML>

NAtürlich habe ich sofort nach diesem Wumr gegoogelt, konnte jedoch keinen eintrag finden. Lediglich hier im Forum wurde kurz darüber diskutiert, ohne zu einer Lösung zu kommen.

Hier mal mein weiteres Vorgehen (habe es so dem technischen Support geschildert der bisher nicht antwortet, da er sich wohl nicht zuständig fühlt)

Sehr geehrte Damen und Herren,
heute (21.12.04) um etwa 1 uhr morgens bemerkte ich eine starke verlangsamung des Servers. Ein login in die ssh Konsole mit Auslastungsanzeige zeigte schnell, dass unmengen an unnötigen kleinen prozessen laufen, die meinerseits nicht gestartet wurden. Kurze Zeit später waren sämtliche Websites (html, php etc) auf dem gesamten Server durch eine andere Datei ausgetauscht. Auf dieser gab sich ein "NeverEverNoSanity Webworm Generation 9" dafür zu erkennen.

Leider ist mir über diesen Wurm noch nichts weiter bekannt. Ich habe umgehend mySQL und Apache2 heruntergefahren und bin nun relativ ratlos, wie ich weiter vorgehen soll.
Auch der blick in google brachte mir zu diesem Wum keine weiteren Informationen.

Auffällig ist ein Prozess names "nscan2" der 97% der CPU Kapazität belegt.Ein beenden dieses Prozesses führte jedoch zu noch mehr unsinnigen laufenden prozessen und "nscan2" erschien kurze Zeit später wieder in der Prozessanzeige.


Ist ihnen bekannt wie ich diese Sicherheitslücke schliessen kann und welche auswirkungen der Wurm auf welche Systeme hat?

Ich wäre ihnen über eine baldige antwort sehr dankbar

Da keine antwort kam habe ich mich etwas schlauer gemacht und folgendes herausgefunden:

Es scheint bei einer bestimmten php version einen bug zu geben, in irgend einer Funktion. Anscheintend soll das Bulletin Forum (laut post hier im forum) auch etwas damit zu tun haben, keine ahnung wie...

Jedenfalls mein 2. Brief an den Support:

Ich habe probiert den apache2 neuzustarten, mit dem Ergebniss, dass der Port bereits belegt ist. Eine Telnet Verbindung zu Port 80 an meinem Server (apache2 war natürlich off) habe ich eine "stille" verbindung erhalten. Somit gehe ich stark von einem angriff auf meinen Server aus.
Ich habe den Prozess auf Port80 auf einen Prozess names crond zurückführen können, der vom user wwwrun (apache user) gestartet wurde. Zur Kontrolle habe ich mit rccron stop die Cronumgebung deaktiviert doch der Prozess blieb weiter bestehen. Als verzeichnis wurde mir /dev/shm/ / / / / / / / / angegeben, was mich etwas stutzig machte.

Ich habe den Prozess nun natürlich umgehend gekillt was eine beendigung der telnetaktivität mit sich zog.
Im angegebenen Ordner sind 2 .tgz dateien zu finden. wow.tgz und p.tgz

beide enthalten daten die bereits enpackt vorhanden sind. ein Ordner .bash und ein ordner ssh. Im ssh Ordner konnte ich einen Portsanner (nscan2) ausfindig machen, der wohl zuvor aktiv war und 97% der CPU leistung gezogen hat. Im .bash ordner ist ein IRC Bouncer zu finden, der noch einige logfiles inklusive IP Einträge einer uni als eingeloggtem Client enthält.
Alle diese Dateien gehören dem User wwwrun unt beeinhalten gefälschte Datierungen (teils 2001 wo es den server noch gar nicht gab).

Nun suche ich verzweifelt nach dem Einbruchsweg. Ich weiß das diese Probleme normalerweise nicht unter die Zuständigkeit ihres Supports fallen, ich würde mich jedoch freuen, fall sie diesbezüglich noch informationen für mich hätten. Momentan weiß ich nicht genau wie ich weiter vorgehen soll.

Die in dem Text gestellten Fragen möchte ich gerne an euch weiterleiten. Bisher habe ich hier immer hilfe finden können, auch wenn ich noch nicht selbst Fragen gestellt habe. Ist jemandem ein solches Problem bekannt? Wie könnte er auf mein System gekommen sein? Durch den wurm?

Ich würde mich über weitere Hilfe sehr freuen da ich mir nicht sicher bin wie ich weiter vorgehen soll.

MFG

[chris76]

Ich würde mich über weitere Hilfe sehr freuen da ich mir nicht sicher bin wie ich weiter vorgehen soll.

MFG

Als erstes mal mit der Kiste schnellstens in den Rescue, dann in Ruhe die logfiles Sichern und dann reinitalisieren.
DANKE

[ryukia]

Läuft bei Dir N/X?

http://www.heise.de/newsticker/meldung/54504

[[gk]nichts]

nein ich kenne das N/X nichtmal bzw weiß nicht wozu es gut ist, also denke ich mal nicht das es läuft :)

Momentan sind alle Prozesse gestoppt, Cron, Apache2, MySQL und ich hoffe das das ausreicht um weiteres eindringen zu verhindern. Logfiles werde ich nun sichern das ist eine serh gute idee :)

[chris76]

Nein das beenden der Dienst reicht nicht,

Und dann mit deiner Kiste ab in den Rescue und dann reinitalisieren.

[[gk]nichts]

*seufz* jo die auswirkungen sind so kaum abschätzbar ich hab gehofft erstmal so voran zu kommen. Ich werde jedoch nicht eher reinitialisieren, bevor ich nicht weiß, wie er auf mein system gekommen ist. Wie gesagt was oben steht hab ich mir mal so zusammengereimt. Wenns mit php zu tun hat, was ich mir nur schwer vorstellen kann, müsste ich da einen versionsupdate durchführen...
Ansonsten kA

[chris76]

Ich werde jedoch nicht eher reinitialisieren, bevor ich nicht weiß, wie er auf mein system gekommen ist.

Ich hoffe für dich das du den Server nicht Online am Netz läßt sondern das er im Rescue schlummert bis du darauf gekommen bist wie das passiert ist.
:roll:

[[gk]nichts]

ziehe in diesem moment backups der logs und der daten, danach geht er ins rescure. Wäre aber für weitere Vorschläge jederzeit offen :)

[ryukia]

Laut dem Heise-Update hat es wohl doch nix mit N/X zu tun, sondern soll ein Wurm sein, der gezielt nach der bekannten Schwachstelle in phBB<2.11 sucht. Naja, wer tatsächlich jetzt noch ein ungepatchtes phpBB fährt verdient es auch nicht anders, der Bug ist seit über einen Monat bekannt *eg*

Ciao
Ryukia

[[gk]nichts]

ich fahre das sicher nicht, jedoch sind noch andere leute auf dem Server denen ich nicht vorschreiben kann, welche Version sie zu nutzen haben... Wäre durchaus denkbar das da so eine alte mit bei wir. Nur wie kann dann sowas passieren?

[lutz-development]

Der Wurm nutzt eine Sicherheitslücke im phpBB, die mit der Version 2.0.11 behoben sein soll. Die zugrundeliegende Lücke ist aber in PHP selbst, Abhilfe schafft ein Update auf 4.3.10.

Gruß,
Thomas

[[gk]nichts]

vielen dank, werde mich gleich mal nach nem php rpm umsehen für meinen server :)
Jemand nen Vorschlag? Beim selbst kompilieren hab ich irgend wann mal nach 2 Wochen aufgegeben weil ich nicht mehr durchgestiegen bin

[[gk]nichts]

also hat jemand über diese "lücke" mit dem user wwwrun ordner und dateien anlegen können die er dann sogar starten konnte? Oder gäbe es noch eine andere möglichkeit?

[outofbound]

Der Bug im phpBB ist übrigens über 4 Wochen alt... und es gab mehrere (!) Security- Warnings darüber...

Der Wurm ist ganz niedlich, ich hab ihn mir mal angeschaut. Einfach, schlank, und ohne Probleme auch auf andere Lücken ausweitbar, *Respekt hab*, aber immernoch ein ziemlich
gemurkstes Teil. ;)

Gruss,

Out

[[gk]nichts]

danke soweit, nun muss ich nurnoch irgendwo die kaputten confixx html files herbekommen :)

[vevelt]

...macht der "Wurm" denn nun genau? Ã?berschreibt er nur HTML und PHP Dateien solange die Lücke im phpBB besteht oder verankert er sich irgendwo im System?

Wer hat definitive Infos über Wirkungsweise und Umfang des "Wurmes"?

[[gk]nichts]

jo das wäre für mich auch noch interessant :)
ich bin mir nicht sicher in welchem Zusammenhang die beiden Sachen bei mir stehen

[Joe User]

http://www.golem.de/0412/35308.html

[yt]

ziehe in diesem moment backups der logs und der daten, danach geht er ins rescure. Wäre aber für weitere Vorschläge jederzeit offen :)

Das kann man auch prima im Rescue machen.

[[gk]nichts]

danke für den Link Joe nun bin ich etwas schlauer :)

[souldrinker]

Mich hats leider auch erwischt, oder besser Kunden von mir... kann nicht verstehen dass es Leute gibt, die sich nicht durchlesen, dass es von ihren Forensoftware-Lösungen wichtige updates gibt... Das beste was man machen kann, wenn einen dieses Ding erwischt, ist wirklich erstmal alle Verbindungen nach aussen zu, und dann nach entsprechenden Dateien suchen, dann versuchen die Ausgangsserver zu benachrichtigen, damit die das gleiche machen, so hat man das im www derzeit ganz gut im Griff... bis der nächste Schrott kommt.

[Joe User]

Alternativ könnten auch die ISP vorübergehend solche Exploits abwehren (Es zumindest versuchen), bevor ihre Kunden Schaden nehmen/anrichten. In diesem Fall beispielsweise durch:

Code: Select all

RewriteEngine On

RewriteCond %{QUERY_STRING} ^(.*)wget%20 [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=%65%63%68 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

BTW: Wenn sich ein SysAdmin an die grundlegenden Regeln zur Systemsicherheit hält, braucht er sich zumindest um Santy+Derivate gar keine Gedanken machen...

[vevelt]

Alternativ könnten auch die ISP vorübergehend solche Exploits abwehren (Es zumindest versuchen), bevor ihre Kunden Schaden nehmen/anrichten. In diesem Fall beispielsweise durch:

Code: Select all

RewriteEngine On

RewriteCond %{QUERY_STRING} ^(.*)wget%20 [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=%65%63%68 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

Hey JoeUser,

sag einmal, hast du 'ne Quelle für die Rewrite-Regeln oder hast du die selbst erarbeitet? Nicht, dass ich als Informatiker ein Problem mit regulären Ausdrücken hätte, aber wenn es eine Quelle gibt, die insbesondere diese schon fertig für die neuesten Würmer angepaßt liefert, dann wär ich schon dran interessiert...
Ich habe momentan eine etwas sparsamere Version, die ich auch von dir aus dem Forum habe...

Danke & lieben Gruß, Vevelt.

[Joe User]

Die Regel für wget und der Redirect auf localhost stammen von mir, die Anderen habe ich BugTraq und zwei weiteren Quellen entnommen und entsprechend angepasst.

[vevelt]

Die Regel für wget und der Redirect auf localhost stammen von mir, die Anderen habe ich BugTraq und zwei weiteren Quellen entnommen und entsprechend angepasst.

Prima... danke dir für die Info. Wäre es nicht nett, jeweils die aktuellen Rewrite-Regeln in Zeiten der Würmer in den FAQs zu veröffentlichen?

Lieben Gruß, Vevelt.