Secure scan von watchdog

Rund um die Sicherheit des Systems und die Applikationen
landyphil
Posts: 22
Joined: 2006-03-24 00:03

Secure scan von watchdog

Post by landyphil » 2006-06-09 23:57

Hallo Forum,

von meinem Server (neu aufgesetzt am 01 Mai Plesk 8.0 und Suse 9.3 - 64 Bit) gingen Heute Morgen Dos Ataken aus und der Provider hat den Stöpsel gezogen (zurecht).
Nach start in rescuesystem, xfs_repair -v /dev/sda5 bis 8, mounten von dev 5 bis 8 und starten von mysql und plesk via schroot konnte ich den securescan von watchdog laufen lassen. Zu einige Abschnitte des Logfiles habe ich Fragen:

Code: Select all

* Filesystem checks
   Checking /dev for suspicious files...   [ OK ]
   Scanning for hidden files...  [ Warning! ]
---------------
 /dev/.udevdb /etc/.pwd.lock
---------------
Please inspect:  /dev/.udevdb (directory) 
Ja schön ich soll in /dev/.udevdb und /etc/.pwd.lock nachschauen, finde zwar files und nun? Wie sehe ich ob Sie da sein müssen oder ob diese badware sind?

Code: Select all

* Application version scan
   - GnuPG 1.4.0   [ Vulnerable ]
   - Bind DNS 9.3.1   [ OK ]
   - OpenSSL 0.9.7e   [ Vulnerable ]
   - PHP 4.3.10   [ Vulnerable ]
   - Procmail MTA 3.22   [ OK ]
   - ProFTPd 1.2.10   [ OK ]
   - OpenSSH 3.9p1   [ OK ]
Wie finde ich heraus wo die Elemente angreifbar sind?
Gibt es Testscripte oder ähnliches damit ich einen Ansatz habe?

Code: Select all

* Check: SSH
   Searching for sshd_config... 
   Found /etc/ssh/sshd_config
   Checking for allowed root login...  Watch out.  Root login possible. Possible risk!
     info: PermitRootLogin yes
     Hint: See logfile for more information about this issue
    Checking for allowed protocols...   [  OK ( Only SSH2 allowed) ]
Ist root login + passwort wirklich bah?
Wenn ich root login abschalte komme ich dana noch in Plesk rein (gleicher Login)

Thamks 4 Answer(s)
Phil

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Secure scan von watchdog

Post by Roger Wilco » 2006-06-10 01:21

landyphil wrote:... und starten von mysql und plesk via schroot konnte ich den securescan von watchdog laufen lassen.
Das war ein Fehler, damit hast du vielleicht einige Spuren zerstört. Bei einem kompromittierten System darfst du nichts von diesem System starten. Nichts ist vertrauenswürdig.
landyphil wrote:

Code: Select all

* Filesystem checks
   Checking /dev for suspicious files...   [ OK ]
   Scanning for hidden files...  [ Warning! ]
---------------
 /dev/.udevdb /etc/.pwd.lock
---------------
Please inspect:  /dev/.udevdb (directory) 
Fehleralarm, man udev.
landyphil wrote:

Code: Select all

* Application version scan
   - GnuPG 1.4.0   [ Vulnerable ]
   - Bind DNS 9.3.1   [ OK ]
   - OpenSSL 0.9.7e   [ Vulnerable ]
   - PHP 4.3.10   [ Vulnerable ]
   - Procmail MTA 3.22   [ OK ]
   - ProFTPd 1.2.10   [ OK ]
   - OpenSSH 3.9p1   [ OK ]
Vermutlich Fehlalarm. Dein toller Scanner schaut sich nur stupide die Versionsnummern an, nicht aber das Patchlevel der einzelnen Applikationen. SuSE/Novell portiert sicherheitskritische Patches recht fix zurück auf die verwendeten Pakete.
landyphil wrote:Wie finde ich heraus wo die Elemente angreifbar sind?
$Suchmaschine. Die Kombination "<Programmname> Exploit" bringt meist schon genügend Hinweise.
landyphil wrote:Ist root login + passwort wirklich bah?
Wenn das Passwort "bah" ist, dann ja.
landyphil wrote:Wenn ich root login abschalte komme ich dana noch in Plesk rein (gleicher Login)
Ja. Das ist unabhängig voneinander. Davon abgesehen kannst du mit su oder sudo immer noch zum Superuser wechseln.

landyphil
Posts: 22
Joined: 2006-03-24 00:03

Re: Secure scan von watchdog

Post by landyphil » 2006-06-10 14:45

Hi Roger,

danke für die Antwort.
Nun seit gestern ist der server gerade ein zweites mal gehäckt, ich kotze gerade bringt mich aber auch nicht weiter. Verstehen kann ich die Ambitionen nicht von Häckern, kann sie nur bemitleiden.
Roger Wilco wrote: Wenn das Passwort "bah" ist, dann ja.
Grinz das Passwort ist selbstverständlich nicht BAH ;-)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Secure scan von watchdog

Post by Joe User » 2006-06-10 15:45

Server reinitialisieren lassen und anschliessend sofort ALLE verfügbaren Updates einspielen, insesondere der installierten WebApps.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Secure scan von watchdog

Post by lord_pinhead » 2006-06-10 16:39

*räusper* Schonmal im Forum gesucht nach der vorgehensweiße? Also neuaufsetzen, die Dienste abgeschalten lassen, System nach den Infos im Forum einrichten, Hash anfertigen, Dienste starten und überwachen. Sofern du daheim eine Linuxkiste hast, schalt mal für Syslog, wtmp etc. ein Syslogserver an damit du ein anhaltspunkt hast woher das ganze kommt. Schuss ins Blaue: grep -e "[wget|curl|0-9|tmp]" /pfad/zu/apache/access_log

Edit: Hab dir mal ein etwas größeren Regexp rausgesucht den ich in einem Script hatte

Code: Select all

grep -e '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}|(wget|curl|system|tmp|puf|exec)' /var/log/apache/access.log | | grep -e "[404|304|500]" > ausgabedatei
Recht ungenau und war eigentlich für die mod_security Logs gedacht und jetzt leicht modifiziert, aber vielleicht hilft es dir ja weiter.

landyphil
Posts: 22
Joined: 2006-03-24 00:03

Bin wieder online

Post by landyphil » 2006-06-12 21:57

Tach zusammen,

So der Server steht wieder, ist schon ein Elend wenn man mit Halbwissen einen Root Server betreibt :-(.
Das Problem war ein Wurm der eine Sicherheitslücke in meinem Forum ausnutzte. Nun sind alle Seiten erst mal online und auf meiner ist das Forum (UBB) nicht installiert.
Aktuell mache ich mir Gedanken wie das Board gesichert wird und es zusätzlich in einem Sandkasten (Chroot) laufen zu lassen.
Danke für eure Tipps
Phil

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Secure scan von watchdog

Post by lord_pinhead » 2006-06-13 01:34

Wie wäre es einfach das Board zu wechseln zu etwas wo sicherer ist? PunBB hat schon seit über 1 Jahr keine schlimmen Sicherheitsmeldungen mehr (nur ein DoS auf das Forum und das ist schon gefixed). Oder legst du Wert das ein Forum super aussehen soll, dann musst du VBulletin nehmen.

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Secure scan von watchdog

Post by elch_mg » 2006-06-13 01:42

übrigens heißen die Viecher Cräcker.. SCNR

landyphil
Posts: 22
Joined: 2006-03-24 00:03

Re: Secure scan von watchdog

Post by landyphil » 2006-06-13 15:52

Lord_Pinhead wrote:Wie wäre es einfach das Board zu wechseln zu etwas wo sicherer ist? PunBB hat schon seit über 1 Jahr keine schlimmen Sicherheitsmeldungen mehr (nur ein DoS auf das Forum und das ist schon gefixed). Oder legst du Wert das ein Forum super aussehen soll, dann musst du VBulletin nehmen.
Board wechseln mit 500.000 gespeicherten Beiträgen möchte ich nicht sofern es kein importscript gibt. Ich habe meine Fehler gefunden, mit register_globals on und fehlerhafte Rechte auf einem Verzeichniss wird wahrscheinlich jedes Board bei einer Atake in die Knie gehen.
Thanks 4 Help
Phil

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Secure scan von watchdog

Post by lord_pinhead » 2006-06-13 17:34

Herrje, sowas sollte doch schon von der PHP Installation ab ausgeschalten sein. Aber naja, wars halt nicht. Zum Forum, für VBulletin gibt es das Tool Impex das dir alles Importiert und dank dem neuen Modulsystem ist sogar das Forenupdaten mit massenhaft Hacks ein kinderspiel. Ist sein Geld schon wert das VBull ;)

landyphil
Posts: 22
Joined: 2006-03-24 00:03

Re: Secure scan von watchdog

Post by landyphil » 2006-06-13 17:42

Lord_Pinhead wrote:Herrje, sowas sollte doch schon von der PHP Installation ab ausgeschalten sein. Aber naja, wars halt nicht. Zum Forum, für VBulletin gibt es das Tool Impex das dir alles Importiert und dank dem neuen Modulsystem ist sogar das Forenupdaten mit massenhaft Hacks ein kinderspiel. Ist sein Geld schon wert das VBull ;)
Mea culpa :cry:
Mein vorheriger Server lief 5 Jahre mit RG ON ohne 1 Hack (auf free BSD 4.8)... wohl glück gehabt.
:-D