apache Logs - Server gehackt ???

[pelowi]

Hat jmd. ne Idee, was diese Logdaten bedeuten????
Der Server scheint gehäckt worden zu sein... aber kann ich da jmd. belangen???

Code: Select all

[Wed Sep 13 00:45:37 2006] [error] [client 72.30.132.104] File does not exist: /srv/www/htdocs/confixx/html/gesperrt/robots.txt
[Wed Sep 13 00:54:17 2006] [error] [client 193.252.118.101] File does not exist: /srv/www/htdocs/web19/html/robots.txt
--00:56:19--  http://88.84.140.109/b.txt
           => `b.txt'
Resolving 88.84.140.109... done.
Connecting to 88.84.140.109:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,105 [text/plain]

    0K .......... .....                                      100%  194.17 KB/s

[...] weggelassen [...]

00:56:19 (194.17 KB/s) - `b.txt' saved [16105/16105]

--01:40:05--  http://excalibur.go.ro/1666
  (try:12) => `1666'
Connecting to excalibur.go.ro[81.196.20.134]:80... --01:42:47--  http://88.84.140.109/b.txt
           => `b.txt'
Resolving 88.84.140.109... done.
Connecting to 88.84.140.109:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,105 [text/plain]

    0K .......... .....                                      100%   84.56 KB/s

01:42:47 (84.56 KB/s) - `b.txt' saved [16105/16105]

[sledge0303]

Hat jmd. ne Idee, was diese Logdaten bedeuten????
Der Server scheint gehäckt worden zu sein... aber kann ich da jmd. belangen???

Da hat dir jemand etwas auf die Pladde geschickt, schau mal in /tmp nach was sich da so alles befindet.
Ursache: falsche Berechtigung gesetzt und/oder ein buggy PHP Skript wird eingesetzt.
Bevor du jemanden belangen kannst musst erstmal was brauchbares in den Händen haben. Zur Zeit sehe ich nothing!

[mattiass]

Hat jmd. ne Idee, was diese Logdaten bedeuten????
Der Server scheint gehäckt worden zu sein... aber kann ich da jmd. belangen???

Erstmal solltest Du die Kiste wieder in Ordnung bringen. Erste Hinweise bringt es, sich die heruntergeladene Datei mal anzuschauen. In diesem Fall ist es ein Binary, lass also mal "strings" drüberlaufen, das liefert u.A.:

Code: Select all

PsychoPhobia Backdoor is starting...

Du hast also jetzt eine Backdoor auf dem System, die wahrscheinlich mit Rechten des WWW-Daemons läuft. Womöglich hat sie auch schon Root-Rechte.

Hast Du das System immer brav aktuell gehalten? Welche Distribution läuft? Laufen irgendwelche CMS wie Joomla oder Bulletin-Boards, die in letzter Zeit mit Sicherheitslücken aufgefallen sind?

[pelowi]

ziemlich viel joomla, benutzen viele auf dem Server, ja...

aktuell, naja ein bisschen geschlurt habe ich schon mit dem aktualisieren... Nu hab ich den Salat...

Distribution: Suse Linux 9.0

Wie krieg ich raus... wo das Problem liegt... (mein erster gehackter Server)

[wgot]

Hallo,

ziemlich viel joomla

scheint als Einbruchswerkzeug zur Zeit modern zu sein. :roll:

Distribution: Suse Linux 9.0

Dafür gibt's schon seit ca. einem Jahr keine Updates mehr.
Wurde wenigstens der Kernel regelmäßig aktualisiert? Welche Kernelversion läuft aktuell?

Code: Select all

uname -a

Wenn der Kernel veraltet ist muß man damit rechnen, daß Rootrechte erlangt wurden, und wenn Rootrechte erlangt wurden muß man damit rechnen, daß Logfiles manipuliert wurden (z.B. so hingetrimmt, daß es aussieht als ob der Einbrecher reingekommen ist, aber keine Rootrechte erlangt hat.)

Wie krieg ich raus... wo das Problem liegt...

Das hast Du oben schon geschrieben: Joomla und Suse 9.0.

aber kann ich da jmd. belangen?

Den schludrigen Admin! :oops:

Gruß, Wolfgang

[traced]

Darf ich fragen wie Du auf die Log Einträge aufmerksam geworden bist?

vg
Basti

[mattiass]

aktuell, naja ein bisschen geschlurt habe ich schon mit dem aktualisieren... Nu hab ich den Salat...

Distribution: Suse Linux 9.0

Wie krieg ich raus... wo das Problem liegt... (mein erster gehackter Server)

Kennst Du Deine Nutzer und deren eingesetzte Joomla-Versionen? Kennst Du die eingesetzten Erweiterungen? Wenn die Nutzer einfach nach Belieben CMS und Erweiterungen installieren können, die dann immer mit den gleichen Serverrechten ausgeführt werden, wirst Du viel Arbeit mit der Suche zubringen können. Ein erster Ansatz wäre, die AccesLogs nach verdächtigen Strings durchzugreppen und insbesondere auf die zeitlichen Übereinstimmungen mit den wgets in der ErrorLog zu vergleichen. Möglicherweise findest Du bereits so die kritischen virtuellen Hosts.

Da Suse 9.0 seit über einem halben Jahr nicht mehr mit Patches versorgt wird musst Du eh neu installieren -- Deine Wahl ob Suse, Ubuntu oder Debian, alle lassen sich problemlos auf Rooties ausrollen. Um bei künftigen Attacken einer Übernahme des gesamten Rechners vorzubeugen, solltest Du wenigstens RBSAC-Jails oder Chroot-Käfige einsetzen. Erfolgreiche Angriffe bleiben damit auf einen Jail beschränkt und den kann man dann auch mal runterfahren ohne Dutzende Kunden zu verärgern...

[pelowi]

:schäm:

tja, neuinstallation vorprogramiert... schnief....

uname -a
Linux hxxxx 2.4.25 #3 SMP Sun Apr 4 19:32:54 CEST 2004 i686 i686 i386 GNU/Linux

hmm, ok neuinstall...

ähm, habe die Daten aus

/var/lib/mysql/

und

/srv/www/

gesichert... sollte doch reichen oder???

[mattiass]

:schäm:

tja, neuinstallation vorprogramiert... schnief....

uname -a
Linux hxxxx 2.4.25 #3 SMP Sun Apr 4 19:32:54 CEST 2004 i686 i686 i386 GNU/Linux

hmm, ok neuinstall...

ähm, habe die Daten aus

/var/lib/mysql/

und

/srv/www/

gesichert... sollte doch reichen oder???

Mach die Datenbanksicherungen lieber mit "mysqldump". So erzeugte Sicherungen lassen sich mit sanfter Gewalt auch bei großen Versionssprüngen der Datenbank leicht einspielen -- bei den MYI-Dateien ist das nicht garantiert.

Zudem solltest Du wenigstens alle Logfiles und alles in /etc sichern um bei Bedarf mal eine Einstellung nachschlagen zu können. Ich würde sogar soweit gehen, das Rettungssystem zu booten und das gesamte System mit "rsync" zu sichern -- jede einzelne Datei. Ein so gesichertes System ist schnell in einer VMware ausgerollt, wenn weitere Forensik betrieben werden soll oder doch ein paar Dateien und Einstellungen vergessen wurden.

Richte Dich auf eine lange Nacht und einen langen Tag morgen ein. Von Suse 9.0 auf 10.0 oder 10.1 (ich würde bei Suse zu 10.1 greifen) ist es ein großer Sprung und Du wirst viele Konfigurationen (bspw. die des Apache) von Hand übertragen müssen.

Jails/Chroot-Käfige machen übrigens künftige Updates leichter! Du solltest Dir deshalb vor der Neuinstallation ein schlüssiges Sicherheitskonzept einfallen lassen!

Nachtrag: Einfach nur neu zu installieren, bringt wenig, bevor die Ursache nicht gefunden ist! Wenn Du wieder ein Setup wie bisher fährst, genügt wieder ein kaputtes Joomla, um den Server zu übernehmen. Wenn Du für jeden Joomla-Kunden einen Jail ausrollst, bleiben die Probleme immerhin auf diesen Kunden beschränkt. Das ist besser, aber nicht voll befriedigend...

[wgot]

Hallo,

Du solltest unbedingt einen Komplettbackup machen, u.a. um nachher den Fehler in Ruhe analysieren zu können und um alle Konfigurationsdateien zu haben die Du nochmal brauchen könntest.

/var/lib/mysql/

Das direkte Übertragen der Datenbankdateien wird schiefgehen weil Du nach der Neuinstallation eine andere Mysql(sub)version haben wirst.

Die Datenbankinhalte müssen mit einem Mysqldump gesichert werden.
Vor dem Zurückspielen wohl oder übel den Dump durchsehen, falls sich der Einbrecher einen Acoount für ein Forum o.ä. eingerichtet hat wird der sonst mit übernommen.

Kernel 2.4.25 wurde am 18.2.2004 freigegeben. Ich hab die 2.4-Reihe nicht mehr verfolgt, aber bei einem über 2 Jahre alten Kernel kann man sich praktisch sicher sein, daß dicke Löcher gefunden wurden und Exploits dafür existieren.