neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Rund um die Sicherheit des Systems und die Applikationen
dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-07 00:19

hallo alle zusammen,
ich wußte nicht in welche kategorie das jetzt genau rein paßt.
mein server hat seit ca 4 tagen ein starken traffic zu verbuchen.
normal sind 3-6 gb im monat jetzt hat er in den letzten 4 tagen ca. 60gb verschleudert.

in den confixx stdlog_access file taucht zu den erhöhten traffic zeiten immer mal ein eintrag auf.
z.b.

Code: Select all

www.name.de :: 216.179.125.69 - - [datum] "GET //cgi-bin/ HTTP/1.1" 403 1053 "-" "WebVulnScan71.0 libwww-perl/5.803"
der eintrag wird auch manchmal als WebVulncrawl eingetragen.

frage ist jetzt meiner seits was ist das und ist das eventuell für den erhöhten traffic verantwortlich.

sorry wie gesagt ich bin recht neu in sachen linux


gruß dorf

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by aubergine » 2005-12-07 05:34

Der Log zeigt auf einen sogenannten Scanner hin, der andere Server auf Ihre Verwundbarkeit prüft. Das ganze wird dann für den Betreiber dieses Tools abgespeichert.

Dies Rechtfertigt aber in keinem Fall die 60G Datenverkehr.
Untersuche mal dein System genaustens....

PS: Hat sich in Sachen df was geändert?! Wenn ja setze ich 80% auf => Stuffschleuder

yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by yt » 2005-12-07 08:20

Schleunigst Server in den rescue booten, Logs und Daten sichern, Linux-Grundkentnisse aneignen, neu aufsetzen lassen.

dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-07 09:04

hallo,

danke für die schnellen antworten.
irgend eine idee wie ich eventuell den stuff finde der über meinen server verteilt wird.

wenn ich das mit dem webvulnscan richtig kapiert habe, ist dieser nicht auf meinen server installiert sondern auf einem anderen und dieser hat meinen gescannt um sicherheitslöcher zufinden.


ich bin bei s4f da kann ich meines wissens den server nicht im rescue booten.

wie komm ich dem ganzen auf die schliche was da auf dem server abgeht.


gruß dorf

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by lord_pinhead » 2005-12-07 10:12

1) S4Y hat ein Rescue mode, schau in dein Membermenu
2) ps -axf, netstat -tupa, lsof -p <prozessid> und find /var +size 10000000 sollte etwas auskunft geben. Dienst beenden, Daten fix sichern und kübel in den Rescue Booten. /tmp vorher mal inspizieren. Dort dann die Passwort Dateien durchsehen und was sonst noch in /etc/ gekappert worden sein kann.

Btw.: ein guter ansatzpunkt ist oft /var/log/xferlog . Wenn ein Kiddie am werk war siehst du was da via FTP geladen wurde.

dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-07 10:45

hallo,

also in /var/log/xferlog sind 6 einträge sind aber alles bekannte user.

mit find / -size +20000k > bigfile.txt erhalte ich ne liste mit 8 files:

Code: Select all

/var/lib/mysql.org.tar
/var/lib/mysql.geht.tar
/var/log/apache2/confixx/stdlog_access
/usr/lib/jvm/java-1.4.2-sun-1.4.2.08/jre/lib/rt.jar
/home/xxxx/20051124/srv_www.tar
/home/xxxxx/20051124/var_lib_mysql.tar
/srv/www/webxx/files/web.tar.gz
/backup/21-11/web.tar.gz
mit netstat -tupa:

Code: Select all

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:imaps                 *:*                     LISTEN      32704/xinetd
tcp        0      0 localhost:10024         *:*                     LISTEN      4196/amavisd (maste
tcp        0      0 localhost:10025         *:*                     LISTEN      2436/master
tcp        0      0 *:mysql                 *:*                     LISTEN      19361/mysqld
tcp        0      0 *:pop3                  *:*                     LISTEN      32704/xinetd
tcp        0      0 *:imap                  *:*                     LISTEN      32704/xinetd
tcp        0      0 *:www-http              *:*                     LISTEN      14437/httpd2-prefor
tcp        0      0 *:smtps                 *:*                     LISTEN      2436/master
tcp        0      0 *:ftp                   *:*                     LISTEN      32704/xinetd
tcp        0      0 *:ssh                   *:*                     LISTEN      32452/sshd
tcp        0      0 *:smtp                  *:*                     LISTEN      2436/master
tcp        0      0 vsxxxxxx.vserver.d:pop3 ACB009FA.ipt.:mc-client TIME_WAIT   -
tcp        0    888 vsxxxxxx.vserver.de:ssh p54B1F01D.dip.t-d:33073 ESTABLISHED 24195/0
tcp        0     31 vsxxxxxx.vserver.d:smtp 60-248-78-66.HINE:62567 ESTABLISHED 26017/smtpd
tcp        0      0 localhost:10024         localhost:35365         ESTABLISHED 19779/amavisd (ch7-
tcp        0      0 localhost:35365         localhost:10024         ESTABLISHED 28709/smtp
ich seh da jetzt nix auffälliges.

das ding ist das die kompletten webverzeichnisse von diesem server auf einen anderen umziehen [besser gesagt schon umgezogen sind], jetzt hab ich die befürchtung das wenn der neue server ans netz geht der ganze mist wieder von vorne losgeht, weil ich irgend eine schei.. datei mit auf den neuen server kopiert habe welche irgendein tool startet.

gruß

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by lord_pinhead » 2005-12-07 11:23

Wieviel Plattenplatz hast du eigentlich? Wenn es nur ein oder zwei GB sind wird es kaum ne Stuffschleuder sein, Mails wird denk ich auch schwierig und ein DoS würde die Kiste so verlangsamen das du nimmer auf die SSH zugreifen kannst. Frag mal bei S4Y warum der Traffic so hoch ist, bei einer VServer Kiste ist es schon schwer da 60GB/Tag zusammenzubringen bei so wenig Plattenplatz.

dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-07 11:40

das ist ein vserver basic:
Webspace: 5GB
Traffic inklusive pro Monat: 200 GB

der neue ist dann ein rootDS:
Webspace: 20GB
Traffic inklusive pro Monat: 500 GB

und da sind die alten daten von dem vserver schon drauf und jetzt hab ich die befürchtung wie oben schon gesagt das ich irgend ein script mit kopiert habe welches mit dem neuen server wieder schindluder treibt.


gruß

dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-07 13:02

ich les hier immer wieder was vom

chkrootkit & rkhunter

wurde es was bringen diese tools einzusetzen?

kann ich mit den tools den betroffenen server von einem anderen aus scannen?

gruß

jamiewolf
Posts: 43
Joined: 2003-01-12 05:09

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by jamiewolf » 2005-12-08 11:09

Nein.
Chkrootkit ist, wie der Name schon sagt, zum checken ob auf dem Lokalen Server ein Rootkit läuft. rkhunter macht das gleiche.

Gruß

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by lord_pinhead » 2005-12-08 12:12

VServer haben glaub ich nur deren Pseudo Rescue System names PowerRescue. Installier lieber das OS neu und les das Forum durch, bei dem Kübel kannst nimmer viel machen wenn du dich nicht wirklich auskennst. Ausserdem, warum ein Rootserver holen, bei dennen ist es noch schlimmer wenn die geknackt werden, überleg dir genau ob du dir die Arbeit antust.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by alexander newald » 2005-12-08 14:17

Oder einfach mal schauen, ob die Webseiten nicht evtl. einfach wirklich soviel Traffic produzieren.

dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-08 20:03

erstmal danke für die ganzen antworten und tips.

hab das chkrootkit mal installiert und ausgeführt:
Ckecking `bindshell`... INFECTED (PORTS: 465)
war das ergebniss. sonst ist nix gefunden worden.

das die webseiten soviel traffic verursachen ist unwahrscheinlich hatte an einzelnen tagen 1.5gb bis 2gb und an anderen dann nur 180 - 400mb. diese hochzeiten sind immer nur 3 tage.

wie ist das könnte es sein das ich das schädliche script mit auf den neuen server könnte????

gruß

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by lord_pinhead » 2005-12-09 12:26

Die bindshell kann ein False Positive sein wenn du Portsentry laufen hast. Aber wenn deine Kiste soviel Traffic verursacht hat, könnte es ein DoS auf andere Server oder deinen Server gewesen sein. Schau mal ob rein zufällig was in /tmp liegt. Daten hast du hoffentlich schon gesichert, langsam sollte die Kiste schonmal neu aufgesetzt werden. Wenn du zufällig eine andere Linux Kiste hast, kannst du ja mal versuchen find, netstat und co. mal neu hochzuladen und wirklich saubere Versionen auszuführen, ansonsten, installier die Kiste endlich neu.

Edit: Schau mal mit chkproc -x lkm ob sich ein Programm versteckt.

dorf
Posts: 8
Joined: 2003-09-10 20:07
Location: Gründau

Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl

Post by dorf » 2005-12-09 14:14

ich werd die kiste am wochenende neu aufsetzen.
anke für die hilfe, werde mich dann hier im forum wieder schlau machen wie ist die kiste sicherer kriege.
und werde linux pauken bis die bank kracht.


danke an euch alle

gruß