RootForum Community

Posted: **2006-02-06 23:17**

Moin,

ich habe gerade arge Probleme. In den apache error_log finde ich folgende komischen Einträge:

--22:49:30--  http://home.arcor.de/powered.by.x2k/xx.txt
  (try: 2) => `xx.txt.2'
Connecting to home.arcor.de|151.189.20.30|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,632 (16K) [text/plain]

    0K .......... ......                                     100%    1.24 MB/s

22:49:30 (1.24 MB/s) - `xx.txt.2' saved [16632/16632]

kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]
kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  6 16632    6  1159    0     0  18721      0 --:--:-- --:--:-- --:--:-- 18721100 16632  100 16632    0     0   228k      0 -
-:--:-- --:--:-- --:--:-- 1678k
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  6 16632    6  1159    0     0  18583      0 --:--:-- --:--:-- --:--:-- 18583100 16632  100 16632    0     0   217k      0 -
-:--:-- --:--:-- --:--:-- 1259k
kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]
kill: usage: kill [-s sigspec | -n signum | -sigspec] [pid | job]... or kill -l [sigspec]

Davon gibts ne ganze Menge. Zudem habe ich unter "top" 100derte "perl" Prozesse am laufen. Wie kann ich herausfinden, bei welchem User da ein Script Amok läuft? Das kann ja nicht normal sein. Hatte vorhin einen Load von 103. Da brennts ordentlich.

Gruß

Posted: **2006-02-06 23:22**

aehm,

haste Dir die Datei da mal angeschaut? .. dieses http://home.arcor.de/powered.by.x2k/xx.txt <- ;)

ich glaub, das beantwortet alle Fragen

Gruesse
Cat

Posted: **2006-02-06 23:39**

Der Dude wrote:Zudem habe ich unter "top" 100derte "perl" Prozesse am laufen.

Glückwunsch! Da läuft wohl gerade eine DoS auf einen anderen Server. Keine Sorge, irgendwann sperrt der Provider sicher deinen Server.

Posted: **2006-02-06 23:53**

So, besagte xx.txt war 2 mal auf meinem Server vorhanden. Einmal im /tmp Ordner und einmal in nem Userverzeichnis.

Beide sind gelöscht und die perl Prozesse hab ich gekillt.

Kann mir noch jemand verraten, wie ich herausfinde, wie der Angreifer auf den Server gekommen ist?

@Roger Wilco,

das ist vielleicht richtig, nur hilft mir deine Aussage nicht wirklich weiter.

Gruß

Posted: **2006-02-07 00:05**

1. Sichere deine Logfiles. Vollständig.
2. Fahre den Server herunter oder starte ihn in einem Rescue-System, falls dein Provider so etwas anbietet.
3. Analysiere die Logs und ggf. die Festplatte von dem Rescue-System aus.
4. Wenn du dir nicht 100%-ig sicher bist, was der Angreifer genau gemacht hat, installiere das System neu.

Posted: **2006-02-07 00:07**

Der Dude wrote:Kann mir noch jemand verraten, wie ich herausfinde, wie der Angreifer auf den Server gekommen ist?

Unsichere Software. http://www.rootforum.org/faq/index.php? ... artlang=de

Der Dude wrote:das ist vielleicht richtig, nur hilft mir deine Aussage nicht wirklich weiter.

Viel Spass...

Posted: **2006-02-07 00:16**

Ja danke, macht unheimlich viel Spaß. :-)

Also nach genaueren prüfen der Logs habe ich festgestellt, das dies schon seit fast 1 Woche so läuft. Sollte der Angreifer was böses vorhaben, hätte er es wohl schon längst getan.

ICh habe die xx.txt zwar alle gelöscht, aber im /tmp kommt Sie immer wieder. Zudem habe ich jetzt fogende Datei ins /tmp gefunden:

/tmp/FIX_YOUR_MAMBOS.TXT

mit dem Inhalt:

Code: Select all

please fix your mambo installationes - regards, Sven Michels, smichels@sectoor.de

Gruß

PS: Zumindest hat das gespamme aufgehört und der Server dümpelt wieder mit nem Load von 0,13 vor sich her.

Gruß

Posted: **2006-02-07 00:21**

Der Dude wrote:

Code: Select all

please fix your mambo installationes - regards, Sven Michels, smichels@sectoor.de

Sollen wir die Warnung noch übersetzen, oder warum machst Du es nicht?

Posted: **2006-02-07 00:25**

Joe User wrote:
Der Dude wrote:
Code: Select all
please fix your mambo installationes - regards, Sven Michels, smichels@sectoor.de
Sollen wir die Warnung noch übersetzen, oder warum machst Du es nicht?

Joe User,

ich habe dies eigentlich nur der vollständigkeithalber dazu geschrieben. Ein bisschen Englisch kann ich auch.

Gruß

Posted: **2006-02-07 01:15**

Hallo,

die TXT ist von mir. Ich hab dem Bot-Owner mal sein 200 Kisten umfassendes
Netz geklaut und den Mist ueberwiegend deinstalliert. Abusemails gehen
morgen raus (zuviele, muss in 6 Std. raus).
Befolge einfach was drin steht, andernfalls hast Du ja jetzt min. 2
Kontaktwege.

Gruesse,
Sven 'Darkman' Michels

Posted: **2006-02-07 02:01**

da war aber mal wer nett zu dir dude (-:

Posted: **2006-02-07 12:05**

Darkman wrote:Hallo,

die TXT ist von mir. Ich hab dem Bot-Owner mal sein 200 Kisten umfassendes
Netz geklaut und den Mist ueberwiegend deinstalliert. Abusemails gehen
morgen raus (zuviele, muss in 6 Std. raus).
Befolge einfach was drin steht, andernfalls hast Du ja jetzt min. 2
Kontaktwege.

Gruesse,
Sven 'Darkman' Michels

Der Account wurde jetzt eh erstmal gesperrt, da es nicht meine Installation ist. Bis sich der Besitzer meldet bleibt erstmal alles gesperrt.

Gruß

Posted: **2006-02-07 13:29**

Der Dude wrote:
Der Account wurde jetzt eh erstmal gesperrt, da es nicht meine Installation ist. Bis sich der Besitzer meldet bleibt erstmal alles gesperrt.

Gruß

hmm ... biste sicher, dass es langt, dass der Account gesperrt wird? Immernhin wurde Deine Kiste aufgemacht.. wer sagt, dass nicht auch ein rootkit installiert wurde?

RootForum Community

Hilfe, was ist das?

Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?

Re: Hilfe, was ist das?