Page 1 of 1
Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-09-04 18:25
by bmp
Anscheinend wurde ich Opfer eines Hackers. Nach dem mein Server auf einmal 19000 Pakete pro Sekunde VErsendet hat, habe ich diesen erstmal vom Netzt genommen.
In der messages fand ich dieses mir merkwürdiges verhalten:
Code: Select all
Aug 29 19:02:47 h93906 sshd[504]: Accepted keyboard-interactive/pam for BMP from
::ffff:86.126.55.117 port 1219 ssh2
Aug 29 19:08:01 h93906 su: FAILED SU (to root) BMP on /dev/pts/1
Aug 29 19:10:19 h93906 crontab[965]: (BMP) REPLACE (BMP)
Aug 29 19:10:19 h93906 crontab[966]: (BMP) LIST (BMP)
Aug 29 19:11:00 h93906 /USR/SBIN/CRON[980]: (BMP) CMD (/dev/shm/. /y2kupdate >/d
ev/null 2>&1)
Aug 29 19:12:00 h93906 /USR/SBIN/CRON[1005]: (BMP) CMD (/dev/shm/. /y2kupdate >/
dev/null 2>&1)
Kenn den schon jemand ??
Der Cron lief jede Minute (bis ich es endeckt habe.).
Die Datei /dev/shm/. /y2kupdate war allerdings überhaupt nicht vorhanden. Auch ein Find brachte nichts.
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-09-04 18:37
by mattiass
BMP wrote:
Kenn den schon jemand ??
Der Cron lief jede Minute (bis ich es endeckt habe.).
Das war groß geschrieben /USR/SBIN/CRON. Findest Du was brauchbares, wenn Du "strings" drüberlaufen lässt?
Weitere Details zum System wären schön: welcher Kernel, welche Distri, wann zum letzten Mal Sicherheitsupdates?
Vergesst diesen Beitrag. Ich stehe grad neben mir.
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-09-04 18:45
by oxygen
Da hat sich wohl der user BMP per ssh eingeloggt und einen root exploit per cron gestartet. (vgl.
http://www.milw0rm.com/exploits/2006)
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-09-04 19:13
by bmp
MattiasS wrote:Vergesst diesen Beitrag. Ich stehe grad neben mir.
Darf ich erfahren warum ??
oxygen wrote:Da hat sich wohl der user BMP
BMP bin ich selber. Mit einem "sehr" sicheren Kennwort.
Der User BMP darf im System eigendlich nicht viel machen außer sich SU holen.
Anscheinend war ich aber wirklich zu schlampig geworden.
Das zähle ich dann wohl unter Erfahrung und lassen den Server neu aufsetzten.
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-01 22:18
by marquinhos
Hatte auch einen Angriff ...
in Messages ...
Code: Select all
Sep 29 06:34:00 pxxxxxx /USR/SBIN/CRON[12038]: (wwwrun) CMD (/home/htdocs/web5/html/4images/data/media/.psy/y2kupdate >/dev/null 2>&1)
Wie kam das drauf ???
Code: Select all
pxxxxxx:/home/htdocs/web5/html/4images/data/media/.psy # dir
total 296
drwxr-xr-x 7 wwwrun www 4096 Oct 1 19:58 .
drwxrwxrwx 107 web5 root 4096 Sep 28 18:58 ..
-rwxr-xr-x 1 wwwrun www 247 Nov 13 2003 config
-rw------- 1 wwwrun www 929 May 7 2002 config.h
-rw-r--r-- 1 wwwrun www 83 Sep 28 18:43 cron.d
-rwxr-xr-x 1 wwwrun www 341 Nov 13 2003 fuck
drwxr-xr-x 2 wwwrun www 4096 Nov 8 2002 help
drwxr-xr-x 2 wwwrun www 35 Nov 8 2002 lang
drwxr-xr-x 2 wwwrun www 87 Oct 1 21:56 log
drwxr-xr-x 2 wwwrun www 34 Sep 28 18:45 motd
-rwxr-xr-x 1 wwwrun www 14306 Nov 13 2003 proc
-rwxr-xr-x 1 wwwrun www 202544 Nov 8 2002 psybnc
-rw-r--r-- 1 wwwrun www 77 Nov 8 2002 psybnc.conf
-rw------- 1 wwwrun www 5 Oct 1 21:56 psybnc.pid
-rwxr-xr-x 1 wwwrun www 64 Nov 13 2003 run
drwxr-xr-x 3 wwwrun www 52 Feb 8 2005 scripts
-rw------- 1 wwwrun www 776 Oct 1 19:58 ssstt
-rw-r--r-- 1 wwwrun www 47 Sep 28 18:43 ssstt.dir
-rw------- 1 wwwrun www 806 Oct 1 19:42 ssstt.old
-rwxr--r-- 1 wwwrun www 21516 Sep 25 2002 xh
-rwxr--r-- 1 wwwrun www 278 Sep 28 18:43 y2kupdate
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-01 22:29
by aubergine
durch einen Bug in einer PHP Software.
Dies ist Fakt da der Eigentümer der Dateien dein WebServer ist.
Durchsuche deine Apache Logs nach diser Datei y2kupdate
Dadurch findest du dann auch die Lücke
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-01 22:50
by ryukia
Und anhand der Location würd ich auf 4images tippen...
Zumindest für <=1.71 gab es wohl ettliche Lücken wie man sieht, wenn man bei google mal 4images und bugtraq eingibt ;-)
Ciao
Ryu
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-01 23:00
by marquinhos
Eine Abt. des Sportvereins nutzt zwei Skripte
- Newswriter
-->
http://www.baumedia.net/news/article/Ba ... 37638.html
- 4images
Muss mal schauen.
Thanks
Markus
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-01 23:07
by marquinhos
Wie kann man herausbekommen, wie die Dateien auf den Server geladen worden sind ???
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-01 23:43
by rootsvr
cat apache.log|grep y2kupdate
alternative
cat apache.log|grep wget
oder
..
..
da sollte der Scriptname drinnen stehen (wenn die Logs noch exitieren)
Reinstall und bei neu installieren schauen welche Sachen man sich antut.. (bei Securityfocus o.ä. schauen ob es bekannte ungepatchte Lücken gibt usw.)
Wichtig jetzt: plattmachen!
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-02 08:24
by marquinhos
Kann in den Logs nicht wirklich etwas finden.
Hacker hat sich nur in 4images und newswriter ausgetobt.
Frage:
Wie kann der Hacker einen "Cronjob" anlegen, welche alle Minute aufgerufen wird ?? Und wie kann ich diesen löschen ? Finde in den Crontabs nichts ! Oder ruft er das Skript über einen externen Cronjob auf ???
Messages:
Code: Select all
Oct 1 22:44:00 p15161259 /USR/SBIN/CRON[2621]: (wwwrun) CMD (/home/htdocs/web5/html/4images/data/media/.psy/y2kupdate >/dev/null 2>&1)
Daten habe ich bereits gelöscht.
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-02 09:19
by sledge0303
Du wirst nicht um eine Neuinstallation rumkommen. Schon alleine deswegen, der Angreifer könnte irgendwelche Prozesse/Dienste manipuliert haben und so jederzeit wieder mit Rootrechten auf die Kiste kommen.
Wie kann man am besten seinen Server absichern?
Erstelle eine CHROOT Umgebung und lasse den Apachen darin laufen. So wird nur dieses chroot kompromitiert und nicht der ganze Server an Sich.
So kannst Ausfall für die anderen Hosts vermeiden und brauchst dich nur um das kompromitierte chroot zu kümmern.
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-02 09:32
by marquinhos
Auf dem Server liegen 32 Pakete .... das macht man nicht mal kurz ...
Ich denke nicht, dass er Rootrechte hat ... Daten wurden nur über 4images und den Newswriter hochgeladen ... OK, dann kann er auch mehr machen ...
Frage:
Wie kann ich feststellen, über das der Cronjob gestartet wird ... jede Minute, danke!
Re: Server gehackt: /dev/shm/. /y2kupdate
Posted: 2006-10-02 09:39
by mattiass
marquinhos wrote:
Ich denke nicht, dass er Rootrechte hat ... Daten wurden nur über 4images und den Newswriter hochgeladen ... OK, dann kann er auch mehr machen ...
Glauben und wissen sind in diesem Fall zwei verschiedene Dinge. Kerygmatische Wahrheiten sollten andernorts diskutiert werden.
Der Punkt ist einfach: je älter die Distribution und je länger die Updates zurückliegen, desto kritischer die Situation. Wenn es sich bspw. um Suse 9.1 handelt, ist eine Neuinstallation schon zwingend erforderlich, weil es für diese Distri seit zwei Monaten keine Sicherheitsupdates mehr gibt.
Ob Cronjobs installiert wurden, sagt Dir "crontab -l", ausgeführt mit den Rechten des jeweiligen Nutzers. In einem Unix kann man an vielen Stellen etwas verstecken -- ich weiss, dass ich nicht perfekt bin und würde schon deshalb neu installieren. Und beim Wiederaufbau kritische Kunden (die mit den suspekten Scripten) in je einen eigenen Jail oder wenigstens eine Chroot-Umgebung stecken, die anderen zusammen in einen.