RootForum Community

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 9.</b></ADDRESS>
</BODY></HTML>

Sehr geehrte Damen und Herren,
heute (21.12.04) um etwa 1 uhr morgens bemerkte ich eine starke verlangsamung des Servers. Ein login in die ssh Konsole mit Auslastungsanzeige zeigte schnell, dass unmengen an unnötigen kleinen prozessen laufen, die meinerseits nicht gestartet wurden. Kurze Zeit später waren sämtliche Websites (html, php etc) auf dem gesamten Server durch eine andere Datei ausgetauscht. Auf dieser gab sich ein "NeverEverNoSanity Webworm Generation 9" dafür zu erkennen.

Leider ist mir über diesen Wurm noch nichts weiter bekannt. Ich habe umgehend mySQL und Apache2 heruntergefahren und bin nun relativ ratlos, wie ich weiter vorgehen soll.
Auch der blick in google brachte mir zu diesem Wum keine weiteren Informationen.

Auffällig ist ein Prozess names "nscan2" der 97% der CPU Kapazität belegt.Ein beenden dieses Prozesses führte jedoch zu noch mehr unsinnigen laufenden prozessen und "nscan2" erschien kurze Zeit später wieder in der Prozessanzeige.


Ist ihnen bekannt wie ich diese Sicherheitslücke schliessen kann und welche auswirkungen der Wurm auf welche Systeme hat?

Ich wäre ihnen über eine baldige antwort sehr dankbar

Ich habe probiert den apache2 neuzustarten, mit dem Ergebniss, dass der Port bereits belegt ist. Eine Telnet Verbindung zu Port 80 an meinem Server (apache2 war natürlich off) habe ich eine "stille" verbindung erhalten. Somit gehe ich stark von einem angriff auf meinen Server aus.
Ich habe den Prozess auf Port80 auf einen Prozess names crond zurückführen können, der vom user wwwrun (apache user) gestartet wurde. Zur Kontrolle habe ich mit rccron stop die Cronumgebung deaktiviert doch der Prozess blieb weiter bestehen. Als verzeichnis wurde mir /dev/shm/ / / / / / / / / angegeben, was mich etwas stutzig machte.

Ich habe den Prozess nun natürlich umgehend gekillt was eine beendigung der telnetaktivität mit sich zog.
Im angegebenen Ordner sind 2 .tgz dateien zu finden. wow.tgz und p.tgz

beide enthalten daten die bereits enpackt vorhanden sind. ein Ordner .bash und ein ordner ssh. Im ssh Ordner konnte ich einen Portsanner (nscan2) ausfindig machen, der wohl zuvor aktiv war und 97% der CPU leistung gezogen hat. Im .bash ordner ist ein IRC Bouncer zu finden, der noch einige logfiles inklusive IP Einträge einer uni als eingeloggtem Client enthält.
Alle diese Dateien gehören dem User wwwrun unt beeinhalten gefälschte Datierungen (teils 2001 wo es den server noch gar nicht gab).

Nun suche ich verzweifelt nach dem Einbruchsweg. Ich weiß das diese Probleme normalerweise nicht unter die Zuständigkeit ihres Supports fallen, ich würde mich jedoch freuen, fall sie diesbezüglich noch informationen für mich hätten. Momentan weiß ich nicht genau wie ich weiter vorgehen soll.

[GK]Nichts wrote: Ich würde mich über weitere Hilfe sehr freuen da ich mir nicht sicher bin wie ich weiter vorgehen soll.

MFG

[GK]Nichts wrote: Ich werde jedoch nicht eher reinitialisieren, bevor ich nicht weiß, wie er auf mein system gekommen ist.

[GK]Nichts wrote:ziehe in diesem moment backups der logs und der daten, danach geht er ins rescure. Wäre aber für weitere Vorschläge jederzeit offen :)

Joe User wrote:Alternativ könnten auch die ISP vorübergehend solche Exploits abwehren (Es zumindest versuchen), bevor ihre Kunden Schaden nehmen/anrichten. In diesem Fall beispielsweise durch:

Code: Select all

RewriteEngine On

RewriteCond %{QUERY_STRING} ^(.*)wget%20 [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=%65%63%68 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

Joe User wrote:Die Regel für wget und der Redirect auf localhost stammen von mir, die Anderen habe ich BugTraq und zwei weiteren Quellen entnommen und entsprechend angepasst.