Page 1 of 1
neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 00:19
by dorf
hallo alle zusammen,
ich wußte nicht in welche kategorie das jetzt genau rein paßt.
mein server hat seit ca 4 tagen ein starken traffic zu verbuchen.
normal sind 3-6 gb im monat jetzt hat er in den letzten 4 tagen ca. 60gb verschleudert.
in den confixx stdlog_access file taucht zu den erhöhten traffic zeiten immer mal ein eintrag auf.
z.b.
Code: Select all
www.name.de :: 216.179.125.69 - - [datum] "GET //cgi-bin/ HTTP/1.1" 403 1053 "-" "WebVulnScan71.0 libwww-perl/5.803"
der eintrag wird auch manchmal als WebVulncrawl eingetragen.
frage ist jetzt meiner seits was ist das und ist das eventuell für den erhöhten traffic verantwortlich.
sorry wie gesagt ich bin recht neu in sachen linux
gruß dorf
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 05:34
by aubergine
Der Log zeigt auf einen sogenannten Scanner hin, der andere Server auf Ihre Verwundbarkeit prüft. Das ganze wird dann für den Betreiber dieses Tools abgespeichert.
Dies Rechtfertigt aber in keinem Fall die 60G Datenverkehr.
Untersuche mal dein System genaustens....
PS: Hat sich in Sachen df was geändert?! Wenn ja setze ich 80% auf => Stuffschleuder
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 08:20
by yt
Schleunigst Server in den rescue booten, Logs und Daten sichern, Linux-Grundkentnisse aneignen, neu aufsetzen lassen.
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 09:04
by dorf
hallo,
danke für die schnellen antworten.
irgend eine idee wie ich eventuell den stuff finde der über meinen server verteilt wird.
wenn ich das mit dem webvulnscan richtig kapiert habe, ist dieser nicht auf meinen server installiert sondern auf einem anderen und dieser hat meinen gescannt um sicherheitslöcher zufinden.
ich bin bei s4f da kann ich meines wissens den server nicht im rescue booten.
wie komm ich dem ganzen auf die schliche was da auf dem server abgeht.
gruß dorf
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 10:12
by lord_pinhead
1) S4Y hat ein Rescue mode, schau in dein Membermenu
2) ps -axf, netstat -tupa, lsof -p <prozessid> und find /var +size 10000000 sollte etwas auskunft geben. Dienst beenden, Daten fix sichern und kübel in den Rescue Booten. /tmp vorher mal inspizieren. Dort dann die Passwort Dateien durchsehen und was sonst noch in /etc/ gekappert worden sein kann.
Btw.: ein guter ansatzpunkt ist oft /var/log/xferlog . Wenn ein Kiddie am werk war siehst du was da via FTP geladen wurde.
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 10:45
by dorf
hallo,
also in /var/log/xferlog sind 6 einträge sind aber alles bekannte user.
mit find / -size +20000k > bigfile.txt erhalte ich ne liste mit 8 files:
Code: Select all
/var/lib/mysql.org.tar
/var/lib/mysql.geht.tar
/var/log/apache2/confixx/stdlog_access
/usr/lib/jvm/java-1.4.2-sun-1.4.2.08/jre/lib/rt.jar
/home/xxxx/20051124/srv_www.tar
/home/xxxxx/20051124/var_lib_mysql.tar
/srv/www/webxx/files/web.tar.gz
/backup/21-11/web.tar.gz
mit netstat -tupa:
Code: Select all
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:imaps *:* LISTEN 32704/xinetd
tcp 0 0 localhost:10024 *:* LISTEN 4196/amavisd (maste
tcp 0 0 localhost:10025 *:* LISTEN 2436/master
tcp 0 0 *:mysql *:* LISTEN 19361/mysqld
tcp 0 0 *:pop3 *:* LISTEN 32704/xinetd
tcp 0 0 *:imap *:* LISTEN 32704/xinetd
tcp 0 0 *:www-http *:* LISTEN 14437/httpd2-prefor
tcp 0 0 *:smtps *:* LISTEN 2436/master
tcp 0 0 *:ftp *:* LISTEN 32704/xinetd
tcp 0 0 *:ssh *:* LISTEN 32452/sshd
tcp 0 0 *:smtp *:* LISTEN 2436/master
tcp 0 0 vsxxxxxx.vserver.d:pop3 ACB009FA.ipt.:mc-client TIME_WAIT -
tcp 0 888 vsxxxxxx.vserver.de:ssh p54B1F01D.dip.t-d:33073 ESTABLISHED 24195/0
tcp 0 31 vsxxxxxx.vserver.d:smtp 60-248-78-66.HINE:62567 ESTABLISHED 26017/smtpd
tcp 0 0 localhost:10024 localhost:35365 ESTABLISHED 19779/amavisd (ch7-
tcp 0 0 localhost:35365 localhost:10024 ESTABLISHED 28709/smtp
ich seh da jetzt nix auffälliges.
das ding ist das die kompletten webverzeichnisse von diesem server auf einen anderen umziehen [besser gesagt schon umgezogen sind], jetzt hab ich die befürchtung das wenn der neue server ans netz geht der ganze mist wieder von vorne losgeht, weil ich irgend eine schei.. datei mit auf den neuen server kopiert habe welche irgendein tool startet.
gruß
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 11:23
by lord_pinhead
Wieviel Plattenplatz hast du eigentlich? Wenn es nur ein oder zwei GB sind wird es kaum ne Stuffschleuder sein, Mails wird denk ich auch schwierig und ein DoS würde die Kiste so verlangsamen das du nimmer auf die SSH zugreifen kannst. Frag mal bei S4Y warum der Traffic so hoch ist, bei einer VServer Kiste ist es schon schwer da 60GB/Tag zusammenzubringen bei so wenig Plattenplatz.
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 11:40
by dorf
das ist ein vserver basic:
Webspace: 5GB
Traffic inklusive pro Monat: 200 GB
der neue ist dann ein rootDS:
Webspace: 20GB
Traffic inklusive pro Monat: 500 GB
und da sind die alten daten von dem vserver schon drauf und jetzt hab ich die befürchtung wie oben schon gesagt das ich irgend ein script mit kopiert habe welches mit dem neuen server wieder schindluder treibt.
gruß
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-07 13:02
by dorf
ich les hier immer wieder was vom
chkrootkit & rkhunter
wurde es was bringen diese tools einzusetzen?
kann ich mit den tools den betroffenen server von einem anderen aus scannen?
gruß
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-08 11:09
by jamiewolf
Nein.
Chkrootkit ist, wie der Name schon sagt, zum checken ob auf dem Lokalen Server ein Rootkit läuft. rkhunter macht das gleiche.
Gruß
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-08 12:12
by lord_pinhead
VServer haben glaub ich nur deren Pseudo Rescue System names PowerRescue. Installier lieber das OS neu und les das Forum durch, bei dem Kübel kannst nimmer viel machen wenn du dich nicht wirklich auskennst. Ausserdem, warum ein Rootserver holen, bei dennen ist es noch schlimmer wenn die geknackt werden, überleg dir genau ob du dir die Arbeit antust.
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-08 14:17
by alexander newald
Oder einfach mal schauen, ob die Webseiten nicht evtl. einfach wirklich soviel Traffic produzieren.
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-08 20:03
by dorf
erstmal danke für die ganzen antworten und tips.
hab das chkrootkit mal installiert und ausgeführt:
Ckecking `bindshell`... INFECTED (PORTS: 465)
war das ergebniss. sonst ist nix gefunden worden.
das die webseiten soviel traffic verursachen ist unwahrscheinlich hatte an einzelnen tagen 1.5gb bis 2gb und an anderen dann nur 180 - 400mb. diese hochzeiten sind immer nur 3 tage.
wie ist das könnte es sein das ich das schädliche script mit auf den neuen server könnte????
gruß
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-09 12:26
by lord_pinhead
Die bindshell kann ein False Positive sein wenn du Portsentry laufen hast. Aber wenn deine Kiste soviel Traffic verursacht hat, könnte es ein DoS auf andere Server oder deinen Server gewesen sein. Schau mal ob rein zufällig was in /tmp liegt. Daten hast du hoffentlich schon gesichert, langsam sollte die Kiste schonmal neu aufgesetzt werden. Wenn du zufällig eine andere Linux Kiste hast, kannst du ja mal versuchen find, netstat und co. mal neu hochzuladen und wirklich saubere Versionen auszuführen, ansonsten, installier die Kiste endlich neu.
Edit: Schau mal mit chkproc -x lkm ob sich ein Programm versteckt.
Re: neuling brauct hilfe bzw. rat --> webvulnscan bzw. webvulncrawl
Posted: 2005-12-09 14:14
by dorf
ich werd die kiste am wochenende neu aufsetzen.
anke für die hilfe, werde mich dann hier im forum wieder schlau machen wie ist die kiste sicherer kriege.
und werde linux pauken bis die bank kracht.
danke an euch alle
gruß