Komischer offener Port?

[andre丨]

Hallo,
ich habe heute wiedermal im zuge der Sicherheit, habe ich heute wiedermal einen Portscan durchgeführt. NMap zeigt mir einen Port auf den ich so auf meinem Server noch nie gesehen habe.

Der Port

65301/tcp open pcanywhere

zu was gehört dieser Port?

Danke für die Hilfe!
mfg
Andre

[chris76]

Code: Select all

lsof -i :65301

sollte dir mal weiterhelfen.

[andre丨]

habs mal mit einem andern Portscanner gescannt:

220 0WNAG3 server ready. Local time is Fri Apr 22, 2005 11:18.

bei lsof -i :65301 kommt folgendes raus:

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
ftpd 16733 www-data 5u IPv4 1618621 TCP *:65301 (LISTEN)

Was könnte das sein ?

[chris76]

Dann schau dir mal den Prozess näher an.

[andre丨]

Naja für mich sieht es aus wie ein ftpd. Aber wieso auf diesem Port ? Ausgeführt wird er von www-data also schon irgendwie komisch.. kannst du mir näheres dazu sagen??

mfg

[geo]

Das steht doch da:

65301/tcp open pcanywhere

Damit wird dein Rechner fernbedient.
http://www.symantec.com/pcanywhere/

[Joe User]

Ein FTPd der vom User www-data (Apache) ausgeführt wird, ist ein (fast) eindeutiges Zeichen für einen gecrackten Server. Die weitere Vorgehensweise findet sich per Boardsuche...

[obsolete]

tag andre,


also sowas dreht mir den magen rum. kannst du denn nicht lesen?

220 0WNAG3 server ready. Local time is Fri Apr 22, 2005 11:18.

drei mal darfst du raten was 0WNAG3 heisst!

ftpd 16733 www-data 5u IPv4 1618621 TCP *:65301 (LISTEN)

hmm ja was koennte das wohl sein?! vielleicht der ssh daemon? OMG!
jemand installiert einen ftpd und du bekommst das nicht mit?

yay, better go back to winbl0wz then........

.....
aber ich will hier nicht nur laestern - sondern auch konstruktive loesungsvorschlaege unterbreiten...

1) situation: jemand hat bei dir einen ftp daemon installiert.
2) aus dem www user laesst sich schliessen, das derjenige der das installiert hat, ueber deinen httpd reingekommen ist. hoechstwahrscheinlich dank loechriger php software.
3) da er "anscheinlich" keine root rechte erlangen konnte, oder einfach kein plan hat wie man zu diesen kommt, tippe ich gemeinhin auf ein script kiddie das fuer seine fxp group nen ftp server aufgestellt hat.
4) deshalb meine ich, reicht es den httpd+scripte dementsprechend zu updaten und den ftpd zu killen. (schau mal ob du noch mehr verdaechtige ports findest, evtl hat er noch ne backdoor installiert) - (eigentlich gibts nur eine moeglichkeit: server neu aufsetzen.. - da ich aber davon ausgehe das der hacker nicht sehr versiert war, reicht das obige genannt)
5) dann wuerde ich mal abwarten, kommt er wieder -> server neu aufsetzen. bzw. davor connections loggen..
6) kannst ja auch noch chkrootkit drueber laufen lassen. glaube aber nicht das ein rootkit installiert ist da du den ftpd sonst wahrscheinlich gar nicht entdeckt haettest....


also ich hoffe du weisst jetzt was zu machen ist,
ansonsten fragst halt nochmal nach...

[outofbound]

Du wurdest gehackt.

Die einzige RICHTIGE Lösung:

a) Server sofort runterfahren.
b) Logfiles sichern / sichern lassen
c) Neu initialisieren lassen
d) Entweder Sicherheitskonzept erstellen und Grundlagen erlernen ODER Fähigen Admin anstellen.

Andere Alternativen gibt es nicht.

[andre丨]

Ist jetzt schon nen paar Tage her, aber ich melde mich trozdem nochmal.

Der Nutzer hat einen Bug in awstats ausgenutzt um auf meinem Server einen FTP Daemon zu Installieren!

Er Versuchte noch ein Shellscript auszuführen, was aber nicht erfolgreich war. Habe awstats erstmal beendet, alle Dienste wie FTPd Telnet und Cron beendet, die vom Benutzer www-data gestartet wurden. Weiter konnte der "hacker" von dem ich eher glaube das es ein "script kiddie" war, nichts anrichten.

Danke für die Hinweise von euch! Aber wiedermal hat es sich bewiesen, dass nicht immer ein Neuaufsetzen des Servers sinnvoll ist.

Wünsche euch noch ein schönes Wochenende!
mfg
Andre

[dodolin]

Aber wiedermal hat es sich bewiesen, dass nicht immer ein Neuaufsetzen des Servers sinnvoll ist.

Dein Wort in Gottes Ohr. :?

[andre丨]

Ich überwache die Kiste seit dem genau, sowie alle Verbindungen! Bis jetzt nichts verdächtiges :)!

[bungeebug]

Aber lesen kannst du? Und dir is auch klar was dir belüht wenn du was "übersiehst"?

In höchstem Maß unverantwortbar.

[outofbound]

Andre: Du kommst nicht drum rum: Ob Script Kiddie oder nicht, eines steht fest: Er war (und ist wahrscheinlich) besser und Qualifizierter als du. Wäre es nicht so, hätte es dich nicht erwischt. Damit will ich dir nicht zu nahe treten, jeder übersieht mal was, aber Fakt ist es nunmal.

Das heisst konkret: Er konnte ohne das du es mitbekommen hast möglicherweise:

a) Alles Daten aus den Datenbanken auslesen
b) Sich alle Zugangspasswörter für den Server ziehen (/etc/shadow)
c) Dienste so verstecken, dass du ohne Profiwissen niemals was davon mitbekommst (Kernelmodule instalileren z.B).

Um dir den ernst der Lage klar zu machen: Das nötige Wissen kannst du an jedem besseren Bahnhofskiosk für 7,50 kaufen: Das Magazin heisst Hakin9 und hatte letzten Monate z.B. das
Thema: "Invisible Kernel Modules"....

Wenn du die Kiste nicht neu aufsetzen lässt und dir Gedanken darum machst wie es "richtig" geht (Sicherheitskonzepte, etc) dann kann man dir nur wünschen, dass der Staatsanwalt möglichst schnell an deine Tür klopft, bevor richtig großer Schaden entsteht und du Zeit deines Lebens nicht mehr glücklich wirst.

Gruss,

Out, der bereits einmal einen RootAdmin erfolgreich auf Schadensersatz verklagt hat.

[obsolete]

hey andre,


natürlich ergibt es sinn, den server neu auf zu setzen. nicht nur das du das risiko weiterer einbrüche exterminierst, sondern du hast ja auch einen enormen lerneffekt (software nochmal installieren, konfigurieren, anpassen etc. etc.). musst du aber meines erachtens selber wissen, ich meine nämlich, das dass neuaufsetzen unter den gegeben umständen nicht nötig ist.

daher ein paar kritische anmerkungen richtung outofbound:
die lücke in awstats war sehr public. expoilts dafür waren leicht zu bekommen. jeder anfänger war damit in der lage eine box auf zu machen.
das sollte man meines erachtens auf jeden fall beachten.

wenn ich jetzt aber admin vom ccc-server wäre, der ja bekanntlich vor kurzer zeit durch eine nicht öffentlich lücke in twiki gehacked wurde, würde ich mir schon ganz anders gedanken darüber machen was sinnvoll ist. hier meine ich ist ein neuaufsetzen unumweichlich, weil diese(r) hacker wirkliche experten waren.

Out, der bereits einmal einen RootAdmin erfolgreich auf Schadensersatz verklagt hat.

willst du dich damit profilieren? was soll der satz? in meinen augen untereste schublade...

obsolete

[oxygen]

hey andre,

natürlich ergibt es sinn, den server neu auf zu setzen. nicht nur das du das risiko weiterer einbrüche exterminierst, sondern du hast ja auch einen enormen lerneffekt (software nochmal installieren, konfigurieren, anpassen etc. etc.). musst du aber meines erachtens selber wissen, ich meine nämlich, das dass neuaufsetzen unter den gegeben umständen nicht nötig ist.

Nein. Ein kompromitierter Rechner muss IMMER neu installiert werden und zwar nicht um das Risiko weiterer Einbrüche aus dem weg zu räumen (das ist eine andere Baustelle). Sondern um sicher zu gehen, das wirklich alle Veränderungen rückgängig gemacht werden.

daher ein paar kritische anmerkungen richtung outofbound:
die lücke in awstats war sehr public. expoilts dafür waren leicht zu bekommen. jeder anfänger war damit in der lage eine box auf zu machen.
das sollte man meines erachtens auf jeden fall beachten.

Du willst also sagen, nur ein weil ein Anfänger das könnte, muss es auch ein Anfänger gewesen sein.
Warum das Unsinn ist, muss ich nicht weiter erläutern oder?

wenn ich jetzt aber admin vom ccc-server wäre, der ja bekanntlich vor kurzer zeit durch eine nicht öffentlich lücke in twiki gehacked wurde, würde ich mir schon ganz anders gedanken darüber machen was sinnvoll ist. hier meine ich ist ein neuaufsetzen unumweichlich, weil diese(r) hacker wirkliche experten waren.

Zum Glück bist du das nicht.

Out, der bereits einmal einen RootAdmin erfolgreich auf Schadensersatz verklagt hat.

willst du dich damit profilieren? was soll der satz? in meinen augen untereste schublade...

obsolete

Er will auf den Ernst der Lage und mögliche Auswirkungen hinweisen. Zu Recht wie ich finde.

[outofbound]

daher ein paar kritische anmerkungen richtung outofbound:
die lücke in awstats war sehr public. expoilts dafür waren leicht zu bekommen. jeder anfänger war damit in der lage eine box auf zu machen.
das sollte man meines erachtens auf jeden fall beachten.

Habe ich in meinem Vorpost nicht klar gemacht, dass das jedem passieren kann?
--> jeder übersieht mal was <--
Daraus darf man aber nicht schliessen, dass der Angreifer ein "Kiddie" war, sondern im
Gegenteil, dass er BESSER als der SysAdmin war. So trivial der Angriff war, er ist durchgegangen, d.h. ich (bzw. er) als Admin habe versagt. Ich habe mich nirgends ausgenommen. Dass die Lücke bekannt war, macht es nur noch schlimmer.
Mir kann das auch passieren...

wenn ich jetzt aber admin vom ccc-server wäre, der ja bekanntlich vor kurzer zeit durch eine nicht öffentlich lücke in twiki gehacked wurde, würde ich mir schon ganz anders gedanken darüber machen was sinnvoll ist. hier meine ich ist ein neuaufsetzen unumweichlich, weil diese(r) hacker wirkliche experten waren.

Nettes Beispiel: Ich wäre Hoster von 10 Kunden. EINER hat ein unsicheres Script, und
dadurch wird einem Angreifer ermöglicht alle Sourcen der anderen Kunden zu lesen. Und
evtl. die DBs auszulesen. Was soll ich machen? Es einfach ignorieren, oder meine Kunden
informieren, dass alle ihre Scripte auslesbar waren, die User der anderen Kunden jetzt
keine sichereb Passwörter mehr haben, weil diese geknackt werden können, mir evtl. jemand ein Rootkit untergeschoben hat

Ich denke mal, einfach die Anzahl der Tipps, den Server neu aufsetzen zu lassen nachdem die
Kiste aufgemacht wurde, allein hier im Forum, reichen aus.

willst du dich damit profilieren? was soll der satz? in meinen augen untereste schublade...

Hast du mal geschaut, was für Posts ich so schreibe? (Jetzt profilier ich mich mal: Hast du mal in der FAQ geschaut unter "Was tun wenn server gehackt?")

Es geht darum, dass ich, wenn ich von einem "Rootserver" angegriffen werde, eine Anzeige
stelle. Dass der "Besitzer" keine Ahnung hatte, ist zweitrangig. Er IST Verantwortlich. Wenn seine Kiste aufgemacht wurde, UND ER ES SOGAR GEMERKT HAT, und IMMER NOCH keine anständigen, den Regeln der Technik entsprechenden, Maßnahmen getroffen hat, dann hat er auch den Schaden zu bezahlen. "Ich bin Newbie" funktioniert nicht als Ausrede, spätestens vor Gericht nicht mehr.

Als "root" ist man für seine Kiste verantwortlich. Wenn man das vernachlässigt, kann es passieren, dass man TEUER zur Kasse gebeten wird. Mal von dem ganzen Schaden, den man
"mal so nebenher" anrichten kann, abgesehen.

Gruss,

Out

[nyxus]

Um dir den ernst der Lage klar zu machen: Das nötige Wissen kannst du an jedem besseren Bahnhofskiosk für 7,50 kaufen: Das Magazin heisst Hakin9 und hatte letzten Monate z.B. das
Thema: "Invisible Kernel Modules"....

Klasse Zeitung, uebersetzen alte Securityfocus-Artikel ins Deutsche, bringen ein paar zusaetzliche Fehler rein und verkaufen das dann als neue eigene Sachen ... Aber ok, gilt sicher nicht fuer alle Artikel.

[tcs]

hey andre,


natürlich ergibt es sinn, den server neu auf zu setzen. nicht nur das du das risiko weiterer einbrüche exterminierst, sondern du hast ja auch einen enormen lerneffekt (software nochmal installieren, konfigurieren, anpassen etc. etc.).

Wenn er durch erneutes konfigurieren noch lernt und nicht einschläft sollte er den Server kündigen.

musst du aber meines erachtens selber wissen, ich meine nämlich, das dass neuaufsetzen unter den gegeben umständen nicht nötig ist.

s.o., posting über kernelhacks

daher ein paar kritische anmerkungen richtung outofbound:
die lücke in awstats war sehr public. expoilts dafür waren leicht zu bekommen. jeder anfänger war damit in der lage eine box auf zu machen.
das sollte man meines erachtens auf jeden fall beachten.

Ich verstehe den Sinn dieser Aussage nicht. Hacked Server bleibt Hacked Server, egal wie und egal von wem, der Admin hat gepennt/seinen Meister auf die unsanfte Art gefunden.

willst du dich damit profilieren? was soll der satz? in meinen augen untereste schublade...

nope, will er nicht denke ich.
Ich denke er will darauf hinweisen daß ein Administrator rechtlich einklagbare Pflichten hat. Und das ist gut so.

obsolete

Ein Nick macht Programm *scnr*

Cheers

tcs

[killerhorse]

hey andre,


natürlich ergibt es sinn, den server neu auf zu setzen. nicht nur das du das risiko weiterer einbrüche exterminierst, sondern du hast ja auch einen enormen lerneffekt (software nochmal installieren, konfigurieren, anpassen etc. etc.).

Wenn er durch erneutes konfigurieren noch lernt und nicht einschläft sollte er den Server kündigen.

Eher umgekehrt, wer beim Konfigurieren einschläft und es so (un)sicher wie immer macht, sollte den Server kündigen.
Der server wurde gehacked, also war er nicht sicher genug. Darum sollte man unbedingt dafür sorgen, dass man beim neu konfigurieren was dazulernt.
Natürlich, es gibt hier jetzt einige die denken man müsse das alles vorher lernen, aber genau das sind unter umständen die jenigen die es als nächstes erwischen wird. Keiner kann alles wissen und sollte dafür sorgen, dass er immer was dazulernt. Genauso wie es einen absolut sicheren Server nicht gibt. Es kann jeden erwischen, die einzige möglichkeit das zu verhindern ist in meinen Augen bei jedem noch so langweiligen Routinehandgriff, den man am Server macht zu denken und zu lernen...


MfG

Christian

[outofbound]

Um dir den ernst der Lage klar zu machen: Das nötige Wissen kannst du an jedem besseren Bahnhofskiosk für 7,50 kaufen: Das Magazin heisst Hakin9 und hatte letzten Monate z.B. das
Thema: "Invisible Kernel Modules"....

Klasse Zeitung, uebersetzen alte Securityfocus-Artikel ins Deutsche, bringen ein paar zusaetzliche Fehler rein und verkaufen das dann als neue eigene Sachen ... Aber ok, gilt sicher nicht fuer alle Artikel.

Die Qualität der Artikel und deren Herkunft wollte ich nicht zum Thema machen, ich amüsiere mich köstlich über die Inhalte (Und deren Deutsch) ;) Das es solche Zeitschriften gibt, darauf wollte ich hinaus, und in diesem Fall steht ja "Mach was böses" regelrecht auf die Titelseite gedruckt. ;)

Gruss,

Out

[keksdesgrauens]

alles was ein newbie im rootgeschäft braucht ist lediglich den link zu diesem forum ein paar online lektüren event eine testkiste und ne menge lern und lese bereitschaft und wohlgesonnenheit der Com hier und keine angst vor der konsole ;0).....hier steckt soviel wissen drin das man wenn die jungs sagen "reinit bleibt die einzige möglichkeit dann sollte man darauf vertrauen.

selbst ich als anfänger weiss das bei einem erfolgreichen einbruch sämtliche daten nicht mehr vertrauenswürdig ist.ist zwar schade um die verlorene zeit die beim reinit drauf geht aber es schärft die eigene kenntnis über das system und vermittelt brauchbaren lernstoff ;0)


*hoffe das ich net alszu weit am thema vorbei schoss*

p.s wie ich den posts unter meinem entnehmen kann traf ich nicht mal annähernt das thema....und nein "mein" server wird von einem erfahrenden menschen betreut..........entschuldigt meine unqualifizerte aussage in diesem thread.

[outofbound]

alles was ein newbie im rootgeschäft braucht ist lediglich den link zu diesem forum ein paar online lektüren event eine testkiste und ne menge lern und lese bereitschaft und wohlgesonnenheit der Com hier und keine angst vor der konsole ;0).....hier steckt soviel wissen drin das man wenn die jungs sagen "reinit bleibt die einzige möglichkeit dann sollte man darauf vertrauen.

Im Prinzip ja, ABER in folgender Reihenfolge:

a) Eine Testkiste (DAHEIM!)
b) Lernbereitschaft
c) Eigeninitiative
d) Lektüren (On und Offline)
e) Die richtige Einstellung
f) Ein paar Wochen Zeit

und dann einen Rootserver. Andersrum ist einfach Verantwortungslos.

Und wenn dieses Forum irgendwann mal als Hauptanlaufstelle für Newbies, die einfach nur "Plug 'n Play" machen wollen gilt, dann muss ich mir echt genau überlegen, ob ich überhaupt
noch hier posten will, weil es dann schlicht von mir Verantwortungslos wird, hier andauernd Hints zu geben. ;)

Gruss,

Out

[keksdesgrauens]

naja plug ´n play ist zwar die schnellste lösung aber dabei geht der lerneffekt unter...wobei andere für sich arbeiten lassen ist immer sehr reizvoll ;0).....ic für mein teil steh ehr so auf hinweise vorgekautes ist zu einfach

werden solche post nicht gleich ins datennirvana geschickt ?@anlaufstelle

[Joe User]

werden solche post nicht gleich ins datennirvana geschickt ?

Nur, wenn der OT-Gehalt die 60%-Marke übersteigt ;)