Habe ich den Angreifer gefunden? frage, bitte info

Rund um die Sicherheit des Systems und die Applikationen
sergius
Posts: 4
Joined: 2004-08-02 00:22

Habe ich den Angreifer gefunden? frage, bitte info

Post by sergius » 2005-03-18 10:24

Hallo Leute, habe mich nicht allzusehr mit der Materie befasst, habe schon länger nen Server...

gestern wurde ich anscheinend angegriffen/gescannt

Hatte gestern gegen 12:45 Uhr 2,2 GB Traffic innerhalb von paar Minuten. Suche grad den Grund dafür.
Mar 17 12:43:19 kassel194 kernel: ip_conntrack: table full, dropping packet.
Mar 17 12:43:25 kassel194 last message repeated 10 times
in der /var/log/sa ist mir aufgefallen: txpck/s 260; txbyt/s 392878,52; rxbyt/s 83

seit gestern hängen ein paar Prozesse im System die von wwwrun gestartet wurden:
z.b.
30193 wwwrun Mar17 /user
5887 wwwrun Mar17 [kaiten] <defunct>
6058 wwwrun Mar17 [kaiten] <defunct>
6227 wwwrun Mar17 [kaiten] <defunct>
17375 wwwrun Mar17 [kaiten] <defunct>
dieses "kaiten" wurde anscheined durch apache runtergeladen, war dort in den logs. Quelle: http://mitglied.lycos.de/Saschalike/kaiten
Wenn man da mit nem editor reinschaut, steht was von Spoofing und verschiedenen tools...

Hat sich da einer eine Lücke im Apache ausgenutzt und ein tool eingeschleust? Wie werde ich diese dauerhaft los?

Bitte um Info/Help, wegen Diplomarbeit habe ich keine Zeit mich mit Iptables, Intrusion Detection etc. zu beschäftigen

Habe einen ded. Server4you, SuseFirewall laufen (logging aus), apache 2.0.50

Die Dateisuche hat grad ergeben, dass unter /tmp sich 2 ausführbare tools befinden: kaiten und bindit (selbe url wie oben, kann man auch runterladen), wobei kaiten schon seit dem 25.02. und bindit seit dem 05.02. auf dem rechner sind, entweder vorher nicht augefallen, oder jetzt erst aktiv geworden. Owner ist www/www-run chmod ist 777


Nachtrag: http://www.sophos.de/virusinfo/analyses/trojkaiten.html
Ist ein Backdoor-Trojaner, für DDOS :cry:
Last edited by sergius on 2005-03-18 13:36, edited 1 time in total.

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: Habe ich den Angreifer gefunden? frage, bitte info

Post by chris76 » 2005-03-18 10:30

Wie werde ich diese dauerhaft los?
Das übliche vorgehen würde ich sagen. Logs etc sichern. Server neu initalisieren lassen und Deine Backups wieder einspielen.
Oder ihn umgehend vom Netz nehmen.

EDIT: Der Link zu Sophos spricht aber von einem w32 Trojaner!
Last edited by chris76 on 2005-03-18 10:32, edited 1 time in total.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

sergius
Posts: 4
Joined: 2004-08-02 00:22

Re: Habe ich den Angreifer gefunden? frage, bitte info

Post by sergius » 2005-03-18 10:31

Einfach Dateien löschen, prozess killen, reicht nicht?

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: Habe ich den Angreifer gefunden? frage, bitte info

Post by chris76 » 2005-03-18 10:33

Sergius wrote:Einfach Dateien löschen, prozess killen, reicht nicht?
Nein, wenn es jmd schon möglich war eine ausführbare datei auf deinen Server zu bringen und zu starten ist auf diesem System nichts mehr vertrauenswürdig. Du weißt ja nicht was noch alles gemacht wurde und du evtl nicht siehts!
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: Habe ich den Angreifer gefunden? frage, bitte info

Post by chris76 » 2005-03-18 10:37

Last edited by chris76 on 2005-03-18 10:44, edited 1 time in total.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

sergius
Posts: 4
Joined: 2004-08-02 00:22

Re: Habe ich den Angreifer gefunden? frage, bitte info

Post by sergius » 2005-03-18 10:40

Gut aber nach dem Neustart könnte wieder einer reinkommen, ich muss also den server sowieso irgendwie absichern?

die firewall blockiert eigentlich alles, bis auf einige freigegebenen ports, aber der traffic spricht wohl dagegen dass die firewall geblockt hat.

edit: danke für den link, dann suche ich mal nach den updates
Last edited by sergius on 2005-03-18 10:44, edited 1 time in total.

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: Habe ich den Angreifer gefunden? frage, bitte info

Post by chris76 » 2005-03-18 10:42

Neustart != Neu initialisieren

Wenn "dein" kaiten der Linux.Kaiten.Worm ist, dann steht im zweiten link was er ausnutzt!
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error