Ausgehende Verbindungen kontrollieren

[tofa]

Hallo zusammen,

ich habe leider ein ziemlich dringliches Problem. Mein Server baut ständig Verbindungen über Port 80 nach außen auf. Durch iptables konnte ich das nun gänzlich unterbinden. Ein Rootkit konnte ich auf den System nicht finden. Habe ich eine möglichkeit herauszubekommen, welcher Prozess versucht über Port 80 Verbindungen nach draußen aufzubauen?

Viele Grüße
tofa

[captaincrunch]

Was sagt denn z.B. "netstat"?

[tofa]

netstat -nlp sagt

Code: Select all

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      5468/mysqld
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      5784/smbd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      5095/portmap
tcp        0      0 192.168.48.4:53         0.0.0.0:*               LISTEN      21018/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      21018/named
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      21018/named
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      5784/smbd
tcp        0      0 :::80                   :::*                    LISTEN      20976/httpd2-prefor
tcp        0      0 :::22                   :::*                    LISTEN      5748/sshd
tcp        0      0 ::1:953                 :::*                    LISTEN      21018/named
udp        0      0 0.0.0.0:32768           0.0.0.0:*                           5819/mdnsd
udp        0      0 192.168.48.4:137        0.0.0.0:*                           5575/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           5575/nmbd
udp        0      0 192.168.48.4:138        0.0.0.0:*                           5575/nmbd
udp        0      0 0.0.0.0:138             0.0.0.0:*                           5575/nmbd
udp        0      0 0.0.0.0:32781           0.0.0.0:*                           21018/named
udp        0      0 127.0.0.1:32783         0.0.0.0:*                           22168/smbd
udp        0      0 192.168.48.4:53         0.0.0.0:*                           21018/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           21018/named
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           5819/mdnsd
udp        0      0 0.0.0.0:111             0.0.0.0:*                           5095/portmap
udp        0      0 192.168.48.4:123        0.0.0.0:*                           5870/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           5870/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           5870/ntpd
udp        0      0 :::32782                :::*                                21018/named
udp        0      0 :::123                  :::*                                5870/ntpd

Aber zeigt netstat mir nicht nur die eingehenden Verbindungen respektive offenen Ports an?

Viele Grüße

[outofbound]

*wohin* baut er die Verbindungen denn auf? tcpdump?

[dodolin]

Mein Server baut ständig Verbindungen über Port 80 nach außen auf.

Könnte es vielleicht auch sein, dass es sich einfach nur um die eingehenden Verbindungen zum Webserver handelt und du da was falsch interpretiert hast?

[tofa]

*wohin* baut er die Verbindungen denn auf? tcpdump?

Zu ziemlich großen Webseiten wie amazon.com. Die Vermutung liegt nahe, dass es sich um einen DDoS-Wurm handelt, ich konnte mit rkhunter aber nichts entsprechendes finden. Vielleicht ein noch nicht bekannter?

[tofa]

Mein Server baut ständig Verbindungen über Port 80 nach außen auf.

Könnte es vielleicht auch sein, dass es sich einfach nur um die eingehenden Verbindungen zum Webserver handelt und du da was falsch interpretiert hast?

Nein, das kann eigentlich nicht sein. Aufgefallen ist das Problem dadurch, dass der Server übers Internet kaum noch zu erreichen war (Ping-Zeit > 4000ms). Dann ging die Fehlersuche los. Abschalten aller Dienste wie Webserver, FTPserver und Mailserver blieben ohne Erfolg. Der Server steht hinter einen Arcor-DSL-Leitung mit statischer IP - also Arcor-Support angerufen. Der Techniker hat sich den Router abgeguckt und festgestellt, dass tausende Pakete in der NAT standen, alle ausgehende Verbindungen über Port 80 vom Server.

Wie gesagt, der Verdacht auf Virus oder Wurm liegt nahe.

[outofbound]

In dem Falle wohl "0wned", und deine Vermutung liegt ziemlich nahe.

"Scannertools" auf Servern sind nur so gut wie die Entwickler. Und so mancher Angreifer ist wesentlich kreativer als diese... und demnach ist die Kiste "richtig" aufgemacht worden.

Platte raus, neue Platte rein und in ruhe analysieren wie der Angreifer reinkam. Dann fixen und System wieder online nehmen.

Gruss,

Out

[tofa]

Platte raus, neue Platte rein und in ruhe analysieren wie der Angreifer reinkam. Dann fixen und System wieder online nehmen.

Okay, dann wird mir wohl nichts anderes übrig bleiben. Zum Glück ist noch ein sauberes Backup samt Ersatzplatten da.
Danke für den Hinweis. :-)

Viele Grüße
tofa

[outofbound]

Okay, dann wird mir wohl nichts anderes übrig bleiben. Zum Glück ist
noch ein sauberes Backup samt Ersatzplatten da.
^^^^^^^^

Sicher? ;)

[tofa]

Okay, dann wird mir wohl nichts anderes übrig bleiben. Zum Glück ist
noch ein sauberes Backup samt Ersatzplatten da.
^^^^^^^^

Sicher? ;)

Mach mich nicht verrückt. ;-) Aber es sollte wirklich sauber sein, wurde nur wenige Stunden nach der Installation und Konfiguration angefertigt als der Server noch nicht im laufenden produktiven Einsatz war.

An dieser Stelle noch eine kleine Frage: Blöderweise war eine unsichere Version von OpenSSL installiert (OpenSSL 0.9.7e). SuSE stellt für Version 9.3 über das Onlineupdate anscheinend nichts aktuelleres zur Verfügung. Jemand eine Idee wo ich ein RPM einer sicheren OpenSSL Version herbekommen kann? Schrecke ein wenig vorm Selbstkompillieren zurück...

Viele Grüße
tofa

[duergner]

Normalerweise sollten die SuSE RPM hochgepatched sein wenn mich jetzt nicht alles täuscht.

[creek]

es könnte sich allerdings auch um ein simples php Script handeln das Content von amazon holt. schonmal danach geguckt?

edit: ich hätte wohl das was weiter oben steht mal genauer lesen sollen :)

[tofa]

Normalerweise sollten die SuSE RPM hochgepatched sein wenn mich jetzt nicht alles täuscht.

Mhm, sollte mensch eigentlich annehmen. Aber über Yast wird leider kein aktuelleres Paket angezeigt. Auch beim Browsen des FTPs von Suse habe ich nichts entsprechenden finden können.

[Joe User]

Lies das Changelog des RPMs...

[tofa]

Lies das Changelog des RPMs...

Entschuldige die blöde Frage, aber von welchem RPM?

[Joe User]

Dem auf Deinem SUSE installiertem OpenSSL...