Server gehackt: /dev/shm/. /y2kupdate

[bmp]

Anscheinend wurde ich Opfer eines Hackers. Nach dem mein Server auf einmal 19000 Pakete pro Sekunde VErsendet hat, habe ich diesen erstmal vom Netzt genommen.
In der messages fand ich dieses mir merkwürdiges verhalten:

Code: Select all

Aug 29 19:02:47 h93906 sshd[504]: Accepted keyboard-interactive/pam for BMP from
 ::ffff:86.126.55.117 port 1219 ssh2
Aug 29 19:08:01 h93906 su: FAILED SU (to root) BMP on /dev/pts/1
Aug 29 19:10:19 h93906 crontab[965]: (BMP) REPLACE (BMP)
Aug 29 19:10:19 h93906 crontab[966]: (BMP) LIST (BMP)
Aug 29 19:11:00 h93906 /USR/SBIN/CRON[980]: (BMP) CMD (/dev/shm/. /y2kupdate >/d
ev/null 2>&1)
Aug 29 19:12:00 h93906 /USR/SBIN/CRON[1005]: (BMP) CMD (/dev/shm/. /y2kupdate >/
dev/null 2>&1)

Kenn den schon jemand ??
Der Cron lief jede Minute (bis ich es endeckt habe.).
Die Datei /dev/shm/. /y2kupdate war allerdings überhaupt nicht vorhanden. Auch ein Find brachte nichts.

[mattiass]

Kenn den schon jemand ??
Der Cron lief jede Minute (bis ich es endeckt habe.).

Das war groß geschrieben /USR/SBIN/CRON. Findest Du was brauchbares, wenn Du "strings" drüberlaufen lässt?

Weitere Details zum System wären schön: welcher Kernel, welche Distri, wann zum letzten Mal Sicherheitsupdates?

Vergesst diesen Beitrag. Ich stehe grad neben mir.

[oxygen]

Da hat sich wohl der user BMP per ssh eingeloggt und einen root exploit per cron gestartet. (vgl. http://www.milw0rm.com/exploits/2006)

[bmp]

Vergesst diesen Beitrag. Ich stehe grad neben mir.

Darf ich erfahren warum ??

Da hat sich wohl der user BMP

BMP bin ich selber. Mit einem "sehr" sicheren Kennwort.
Der User BMP darf im System eigendlich nicht viel machen außer sich SU holen.

Anscheinend war ich aber wirklich zu schlampig geworden.
Das zähle ich dann wohl unter Erfahrung und lassen den Server neu aufsetzten.

[marquinhos]

Hatte auch einen Angriff ...

in Messages ...

Code: Select all

Sep 29 06:34:00 pxxxxxx /USR/SBIN/CRON[12038]: (wwwrun) CMD (/home/htdocs/web5/html/4images/data/media/.psy/y2kupdate >/dev/null 2>&1) 

Wie kam das drauf ???

Code: Select all

pxxxxxx:/home/htdocs/web5/html/4images/data/media/.psy # dir
total 296
drwxr-xr-x    7 wwwrun www    4096 Oct  1 19:58 .
drwxrwxrwx  107 web5   root   4096 Sep 28 18:58 ..
-rwxr-xr-x    1 wwwrun www     247 Nov 13  2003 config
-rw-------    1 wwwrun www     929 May  7  2002 config.h
-rw-r--r--    1 wwwrun www      83 Sep 28 18:43 cron.d
-rwxr-xr-x    1 wwwrun www     341 Nov 13  2003 fuck
drwxr-xr-x    2 wwwrun www    4096 Nov  8  2002 help
drwxr-xr-x    2 wwwrun www      35 Nov  8  2002 lang
drwxr-xr-x    2 wwwrun www      87 Oct  1 21:56 log
drwxr-xr-x    2 wwwrun www      34 Sep 28 18:45 motd
-rwxr-xr-x    1 wwwrun www   14306 Nov 13  2003 proc
-rwxr-xr-x    1 wwwrun www  202544 Nov  8  2002 psybnc
-rw-r--r--    1 wwwrun www      77 Nov  8  2002 psybnc.conf
-rw-------    1 wwwrun www       5 Oct  1 21:56 psybnc.pid
-rwxr-xr-x    1 wwwrun www      64 Nov 13  2003 run
drwxr-xr-x    3 wwwrun www      52 Feb  8  2005 scripts
-rw-------    1 wwwrun www     776 Oct  1 19:58 ssstt
-rw-r--r--    1 wwwrun www      47 Sep 28 18:43 ssstt.dir
-rw-------    1 wwwrun www     806 Oct  1 19:42 ssstt.old
-rwxr--r--    1 wwwrun www   21516 Sep 25  2002 xh
-rwxr--r--    1 wwwrun www     278 Sep 28 18:43 y2kupdate

[aubergine]

durch einen Bug in einer PHP Software.

Dies ist Fakt da der Eigentümer der Dateien dein WebServer ist.

Durchsuche deine Apache Logs nach diser Datei y2kupdate

Dadurch findest du dann auch die Lücke

[ryukia]

Und anhand der Location würd ich auf 4images tippen...
Zumindest für <=1.71 gab es wohl ettliche Lücken wie man sieht, wenn man bei google mal 4images und bugtraq eingibt ;-)

Ciao
Ryu

[marquinhos]

Eine Abt. des Sportvereins nutzt zwei Skripte

- Newswriter

-->

http://www.baumedia.net/news/article/Ba ... 37638.html

- 4images

Muss mal schauen.

Thanks

Markus

[marquinhos]

Wie kann man herausbekommen, wie die Dateien auf den Server geladen worden sind ???

[rootsvr]

cat apache.log|grep y2kupdate
alternative
cat apache.log|grep wget
oder
..
..
da sollte der Scriptname drinnen stehen (wenn die Logs noch exitieren)

Reinstall und bei neu installieren schauen welche Sachen man sich antut.. (bei Securityfocus o.ä. schauen ob es bekannte ungepatchte Lücken gibt usw.)

Wichtig jetzt: plattmachen!

[marquinhos]

Kann in den Logs nicht wirklich etwas finden.

Hacker hat sich nur in 4images und newswriter ausgetobt.

Frage:
Wie kann der Hacker einen "Cronjob" anlegen, welche alle Minute aufgerufen wird ?? Und wie kann ich diesen löschen ? Finde in den Crontabs nichts ! Oder ruft er das Skript über einen externen Cronjob auf ???

Messages:

Code: Select all

 
Oct  1 22:44:00 p15161259 /USR/SBIN/CRON[2621]: (wwwrun) CMD (/home/htdocs/web5/html/4images/data/media/.psy/y2kupdate >/dev/null 2>&1) 

Daten habe ich bereits gelöscht.

[sledge0303]

Du wirst nicht um eine Neuinstallation rumkommen. Schon alleine deswegen, der Angreifer könnte irgendwelche Prozesse/Dienste manipuliert haben und so jederzeit wieder mit Rootrechten auf die Kiste kommen.

Wie kann man am besten seinen Server absichern?

Erstelle eine CHROOT Umgebung und lasse den Apachen darin laufen. So wird nur dieses chroot kompromitiert und nicht der ganze Server an Sich.
So kannst Ausfall für die anderen Hosts vermeiden und brauchst dich nur um das kompromitierte chroot zu kümmern.

[marquinhos]

Auf dem Server liegen 32 Pakete .... das macht man nicht mal kurz ...

Ich denke nicht, dass er Rootrechte hat ... Daten wurden nur über 4images und den Newswriter hochgeladen ... OK, dann kann er auch mehr machen ...

Frage:
Wie kann ich feststellen, über das der Cronjob gestartet wird ... jede Minute, danke!

[mattiass]

Ich denke nicht, dass er Rootrechte hat ... Daten wurden nur über 4images und den Newswriter hochgeladen ... OK, dann kann er auch mehr machen ...

Glauben und wissen sind in diesem Fall zwei verschiedene Dinge. Kerygmatische Wahrheiten sollten andernorts diskutiert werden.

Der Punkt ist einfach: je älter die Distribution und je länger die Updates zurückliegen, desto kritischer die Situation. Wenn es sich bspw. um Suse 9.1 handelt, ist eine Neuinstallation schon zwingend erforderlich, weil es für diese Distri seit zwei Monaten keine Sicherheitsupdates mehr gibt.

Ob Cronjobs installiert wurden, sagt Dir "crontab -l", ausgeführt mit den Rechten des jeweiligen Nutzers. In einem Unix kann man an vielen Stellen etwas verstecken -- ich weiss, dass ich nicht perfekt bin und würde schon deshalb neu installieren. Und beim Wiederaufbau kritische Kunden (die mit den suspekten Scripten) in je einen eigenen Jail oder wenigstens eine Chroot-Umgebung stecken, die anderen zusammen in einen.