Secure scan von watchdog

[landyphil]

Hallo Forum,

von meinem Server (neu aufgesetzt am 01 Mai Plesk 8.0 und Suse 9.3 - 64 Bit) gingen Heute Morgen Dos Ataken aus und der Provider hat den Stöpsel gezogen (zurecht).
Nach start in rescuesystem, xfs_repair -v /dev/sda5 bis 8, mounten von dev 5 bis 8 und starten von mysql und plesk via schroot konnte ich den securescan von watchdog laufen lassen. Zu einige Abschnitte des Logfiles habe ich Fragen:

Code: Select all

* Filesystem checks
   Checking /dev for suspicious files...   [ OK ]
   Scanning for hidden files...  [ Warning! ]
---------------
 /dev/.udevdb /etc/.pwd.lock
---------------
Please inspect:  /dev/.udevdb (directory) 

Ja schön ich soll in /dev/.udevdb und /etc/.pwd.lock nachschauen, finde zwar files und nun? Wie sehe ich ob Sie da sein müssen oder ob diese badware sind?

Code: Select all

* Application version scan
   - GnuPG 1.4.0   [ Vulnerable ]
   - Bind DNS 9.3.1   [ OK ]
   - OpenSSL 0.9.7e   [ Vulnerable ]
   - PHP 4.3.10   [ Vulnerable ]
   - Procmail MTA 3.22   [ OK ]
   - ProFTPd 1.2.10   [ OK ]
   - OpenSSH 3.9p1   [ OK ]

Wie finde ich heraus wo die Elemente angreifbar sind?
Gibt es Testscripte oder ähnliches damit ich einen Ansatz habe?

Code: Select all

* Check: SSH
   Searching for sshd_config... 
   Found /etc/ssh/sshd_config
   Checking for allowed root login...  Watch out.  Root login possible. Possible risk!
     info: PermitRootLogin yes
     Hint: See logfile for more information about this issue
    Checking for allowed protocols...   [  OK ( Only SSH2 allowed) ]

Ist root login + passwort wirklich bah?
Wenn ich root login abschalte komme ich dana noch in Plesk rein (gleicher Login)

Thamks 4 Answer(s)
Phil

[Roger Wilco]

... und starten von mysql und plesk via schroot konnte ich den securescan von watchdog laufen lassen.

Das war ein Fehler, damit hast du vielleicht einige Spuren zerstört. Bei einem kompromittierten System darfst du nichts von diesem System starten. Nichts ist vertrauenswürdig.

Code: Select all

* Filesystem checks
   Checking /dev for suspicious files...   [ OK ]
   Scanning for hidden files...  [ Warning! ]
---------------
 /dev/.udevdb /etc/.pwd.lock
---------------
Please inspect:  /dev/.udevdb (directory) 

Fehleralarm, man udev.

Code: Select all

* Application version scan
   - GnuPG 1.4.0   [ Vulnerable ]
   - Bind DNS 9.3.1   [ OK ]
   - OpenSSL 0.9.7e   [ Vulnerable ]
   - PHP 4.3.10   [ Vulnerable ]
   - Procmail MTA 3.22   [ OK ]
   - ProFTPd 1.2.10   [ OK ]
   - OpenSSH 3.9p1   [ OK ]

Vermutlich Fehlalarm. Dein toller Scanner schaut sich nur stupide die Versionsnummern an, nicht aber das Patchlevel der einzelnen Applikationen. SuSE/Novell portiert sicherheitskritische Patches recht fix zurück auf die verwendeten Pakete.

Wie finde ich heraus wo die Elemente angreifbar sind?

$Suchmaschine. Die Kombination "<Programmname> Exploit" bringt meist schon genügend Hinweise.

Ist root login + passwort wirklich bah?

Wenn das Passwort "bah" ist, dann ja.

Wenn ich root login abschalte komme ich dana noch in Plesk rein (gleicher Login)

Ja. Das ist unabhängig voneinander. Davon abgesehen kannst du mit su oder sudo immer noch zum Superuser wechseln.

[landyphil]

Hi Roger,

danke für die Antwort.
Nun seit gestern ist der server gerade ein zweites mal gehäckt, ich kotze gerade bringt mich aber auch nicht weiter. Verstehen kann ich die Ambitionen nicht von Häckern, kann sie nur bemitleiden.

Wenn das Passwort "bah" ist, dann ja.

Grinz das Passwort ist selbstverständlich nicht BAH ;-)

[Joe User]

Server reinitialisieren lassen und anschliessend sofort ALLE verfügbaren Updates einspielen, insesondere der installierten WebApps.

[lord_pinhead]

*räusper* Schonmal im Forum gesucht nach der vorgehensweiße? Also neuaufsetzen, die Dienste abgeschalten lassen, System nach den Infos im Forum einrichten, Hash anfertigen, Dienste starten und überwachen. Sofern du daheim eine Linuxkiste hast, schalt mal für Syslog, wtmp etc. ein Syslogserver an damit du ein anhaltspunkt hast woher das ganze kommt. Schuss ins Blaue: grep -e "[wget|curl|0-9|tmp]" /pfad/zu/apache/access_log

Edit: Hab dir mal ein etwas größeren Regexp rausgesucht den ich in einem Script hatte

Code: Select all

grep -e '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}|(wget|curl|system|tmp|puf|exec)' /var/log/apache/access.log | | grep -e "[404|304|500]" > ausgabedatei

Recht ungenau und war eigentlich für die mod_security Logs gedacht und jetzt leicht modifiziert, aber vielleicht hilft es dir ja weiter.

[landyphil]

Tach zusammen,

So der Server steht wieder, ist schon ein Elend wenn man mit Halbwissen einen Root Server betreibt :-(.
Das Problem war ein Wurm der eine Sicherheitslücke in meinem Forum ausnutzte. Nun sind alle Seiten erst mal online und auf meiner ist das Forum (UBB) nicht installiert.
Aktuell mache ich mir Gedanken wie das Board gesichert wird und es zusätzlich in einem Sandkasten (Chroot) laufen zu lassen.
Danke für eure Tipps
Phil

[lord_pinhead]

Wie wäre es einfach das Board zu wechseln zu etwas wo sicherer ist? PunBB hat schon seit über 1 Jahr keine schlimmen Sicherheitsmeldungen mehr (nur ein DoS auf das Forum und das ist schon gefixed). Oder legst du Wert das ein Forum super aussehen soll, dann musst du VBulletin nehmen.

[elch_mg]

übrigens heißen die Viecher Cräcker.. SCNR

[landyphil]

Wie wäre es einfach das Board zu wechseln zu etwas wo sicherer ist? PunBB hat schon seit über 1 Jahr keine schlimmen Sicherheitsmeldungen mehr (nur ein DoS auf das Forum und das ist schon gefixed). Oder legst du Wert das ein Forum super aussehen soll, dann musst du VBulletin nehmen.

Board wechseln mit 500.000 gespeicherten Beiträgen möchte ich nicht sofern es kein importscript gibt. Ich habe meine Fehler gefunden, mit register_globals on und fehlerhafte Rechte auf einem Verzeichniss wird wahrscheinlich jedes Board bei einer Atake in die Knie gehen.
Thanks 4 Help
Phil

[lord_pinhead]

Herrje, sowas sollte doch schon von der PHP Installation ab ausgeschalten sein. Aber naja, wars halt nicht. Zum Forum, für VBulletin gibt es das Tool Impex das dir alles Importiert und dank dem neuen Modulsystem ist sogar das Forenupdaten mit massenhaft Hacks ein kinderspiel. Ist sein Geld schon wert das VBull ;)

[landyphil]

Herrje, sowas sollte doch schon von der PHP Installation ab ausgeschalten sein. Aber naja, wars halt nicht. Zum Forum, für VBulletin gibt es das Tool Impex das dir alles Importiert und dank dem neuen Modulsystem ist sogar das Forenupdaten mit massenhaft Hacks ein kinderspiel. Ist sein Geld schon wert das VBull ;)

Mea culpa
Mein vorheriger Server lief 5 Jahre mit RG ON ohne 1 Hack (auf free BSD 4.8)... wohl glück gehabt.
:-D