Botnetz Aktivitäten mit meinem Server

Rund um die Sicherheit des Systems und die Applikationen
kenny1980
Posts: 37
Joined: 2005-05-24 22:04

Botnetz Aktivitäten mit meinem Server

Post by kenny1980 » 2007-01-03 18:26

Hallo Leute,
habe hier im Forum leider nichts mit Botnetzen finden können, habe folgendes Problem und zwar hat mich mein Provider angeschrieben, das mein Server sich per Botnetz koordinieren soll.

Nun wird es lustig, habe schon eine weile nichts mehr bearbeitet oder sonst was neues installiert.

Habe eben mal den Rootkit Hunter durchlaufen lassen, das einzigste was kam, das bei

Application Version Scan
-GnuPs 1.2.4
-OpenSSL 0.9.7d
-PHP 4.3.4
angreifbare Stellen gefunden wurden.

Wobei ich kann mir jetzt weniger vorstellen, das hier die Fehler liegen, sondern eher bei einem Programm, was aber leider nicht gefunden wurde.
Weiss jemand von euch noch ein Tool oder sonstiges, das mal drüberlaufen lassen könnte?

Mein Sys ist mit Suse 9.1 und Plesk 7.5 am laufen und hatte schon lang keine Probleme mehr damit.. Musste ja wieder was kommen :-)

Ich hoffe mir kann jemand nen Tip geben.

Mfg
Kenny

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Botnetz Aktivitäten mit meinem Server

Post by daemotron » 2007-01-03 19:35

Kenny1980 wrote:Mein Sys ist mit Suse 9.1
für das es schon eine ganze Weile keine Sicherheitsupdates mehr gibt... :twisted:

Einen OotB-Security-Scanner gibt es AFAIK nicht, aber mit ein paar simplen Standard-Kommandos solltest Du eigentlich sehen, was auf dem System los ist:

Code: Select all

ps aux
netstat -tulpen
Ansonsten sollten Dir die Logs auch noch das ein oder andere verraten können (z. B. wie der Bot-Client draufkam...)

Am besten setzt Du die Kiste mit einer aktuellen (bzw. noch mit Sicherheitsupdates versorgten) Distribution neu auf und ergreifst die gängigen Sicherheitsmaßnahmen (/tmp noexec mounten, gute Passwörter wählen, Berechtigungskonzept für httpd prüfen und ggf. FastCGI in Erwägung ziehen, Dienste, die nicht benötigt werden, abklemmen und solche, die nur lokal benötigt werden an localhost binden oder gleich nur über Unix-Sockets verfügbar machen etc...)

kenny1980
Posts: 37
Joined: 2005-05-24 22:04

Re: Botnetz Aktivitäten mit meinem Server

Post by kenny1980 » 2007-01-03 20:04

Hmm,
neuinstallation ist im Moment sehr sehr aufwendig neben meinem Beruf. Das wäre die letzte möglichkeit.

ps aux
netstat -tulpen

habe ich schon rennen lassen, was aber keinen abnormalen Eintrag finden können, das ist ja das lustige. Na dann werd ich mich mal durch die Logs kämpfen müssen.

Mfg
Kenny

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Botnetz Aktivitäten mit meinem Server

Post by lord_pinhead » 2007-01-03 20:20

Dann logge mal den Traffic der auf den Port 6667/7000 geht, standard IRC Ports. Wenn was kommt, solltest du die Kiste doch offline setzen, du bedrohst ja auch andere im Netz. Schonmal nen Portscan von aussen gemacht?

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Botnetz Aktivitäten mit meinem Server

Post by mad cow » 2007-01-03 20:21

Schau mal, ob du etwas unter /tmp bzw. /var/tmp findest.

kenny1980
Posts: 37
Joined: 2005-05-24 22:04

Re: Botnetz Aktivitäten mit meinem Server

Post by kenny1980 » 2007-01-03 20:56

Also bei einem Portscan kommt in dem Bereich nix rein.
Ich werde jetzt mal schauen was in dem Portbereich los ist.

In dem /var/tmp ist nur 1 leerer Ordner
und bei /tmp folgendes:

http://img57.imageshack.us/my.php?image=tmprl4.jpg


Mfg
Kenny

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Botnetz Aktivitäten mit meinem Server

Post by lord_pinhead » 2007-01-03 22:20

Ich meinte das du alle 65535 Ports auf deinen Server abscannen solltest, nicht nur IRC. Sind ungewöhnliche Trafficspitzen im vergleich zu anderen Tagen da.

Protokollieren kannst du mal mit tcpdump (tcpdump -i bond0 dst port 6667 or dst port 7000 -xx) oder iptables (iptables -A OUTPUT -p tcp -m multiport --destination-ports 6667,7000 -j LOG --log-prefix "IRC "). Jedenfalls geh ich jetzt davon aus dass das angebliche Botnetzwerk über IRC gesteuert wird und auch nicht von einem anderen Port.

Sind vielleicht Logfiles verschwunden?

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Botnetz Aktivitäten mit meinem Server

Post by danu » 2007-01-03 22:37

Dieser Server ist selber Teil eines Botnetzes
hxxp://img57.imageshack.us/my.php?image=tmprl4.jpg
...wirklich hässlich und sollte gelöscht werden.

In mir keimt der Verdacht,dass das 1&1 Rechenzentrum langsam zu einem Superbotnetz mutiert. sshd und ftp Bruteforces und DoS häuften sich heute im laufe des Tages auf einem meiner Server um gute 500%. Dabei waren einige 212.227.xxx.xxx IP's. Als es zuviel wurde, schaltete ich den Server ab und wollte dann das Rescue System booten, funktioniert nicht mehr.Die serielle Konsole bleibt nach dem Login hängen. Ich bin ratlos
EDIT:
Ich wurde ohne mein Zutun von S&P zu 1&1 transferiert. Weiss da jemand eine nützliche Telefonnummer :?:

kenny1980
Posts: 37
Joined: 2005-05-24 22:04

Re: Botnetz Aktivitäten mit meinem Server

Post by kenny1980 » 2007-01-03 22:53

Also tmp gelöscht.

Ist aber nicht 1&1 sondern Host Europe.

Trafficspitzen hatte ich keine, denn die habe ich täglich im Blick. Das ist ja das komische.

Lord Pinhead, ich werde das gleich mal laufen lassen und schauen was sich tut.

Mich würde interessieren woher der mist kam. Habe doch nur 4images, Webmin, chkrootkit und rootkit hunter drauf, das ist alles. So ein Mist, echt.

Mfg
Kenny

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Botnetz Aktivitäten mit meinem Server

Post by Joe User » 2007-01-03 23:10

4images und Webmin hatten erst kürzlich (mehrere) Sicherheitslöcher...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

kenny1980
Posts: 37
Joined: 2005-05-24 22:04

Re: Botnetz Aktivitäten mit meinem Server

Post by kenny1980 » 2007-01-03 23:15

hmm. reicht es dann, wenn ich die gleich mal update? (wobei Webmin nicht allzu lang drauf ist) und dann die PW´s ändere?

Mfg
Kenny

P.S: Also webmin war es die Version 1.290. 4 Images aber aktuell.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Botnetz Aktivitäten mit meinem Server

Post by Joe User » 2007-01-03 23:24

Kenny1980 wrote:hmm. reicht es dann, wenn ich die gleich mal update? (wobei Webmin nicht allzu lang drauf ist) und dann die PW´s ändere?
Nein, reichen tut es nicht, allerdings ist es wie das Reinitialisieren, Updaten und Absichern des Servers (Software und Scripts) unumgänglich...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Botnetz Aktivitäten mit meinem Server

Post by danu » 2007-01-03 23:58

Habe eben mal den Rootkit Hunter durchlaufen lassen, das einzigste was kam, das bei
dazu noch eine Idee

Code: Select all

#rkithunter --update
ungefähr 5 x durchlaufen lassen, bis er alles "up to date" meldet.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Botnetz Aktivitäten mit meinem Server

Post by lord_pinhead » 2007-01-04 02:45

danu wrote:Dieser Server ist selber Teil eines Botnetzes
hxxp://img57.imageshack.us/my.php?image=tmprl4.jpg
...wirklich hässlich und sollte gelöscht werden.
Das mit dem tmp löschen ok, aber wo siehst du ein Perlscript o.ä. damit du sagen kannst das der Server in einem Botnetz ist?

1und1 sind nicht mal soooooo schlimm, S4Y ist da viel schlimmer, viel mehr Kiddies die meinen das interne Portscanns nicht auffallen :roll:

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Botnetz Aktivitäten mit meinem Server

Post by danu » 2007-01-04 05:52

Das mit dem tmp löschen ok, aber wo siehst du ein Perlscript o.ä. damit du sagen kannst das der Server in einem Botnetz ist?
Als ich um 21:00 auf den Link klickte, heulte der NAV, jetzt aber nicht mehr - falsche Schlussfolgerung ?

mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln

Re: Botnetz Aktivitäten mit meinem Server

Post by mc5000 » 2007-01-04 10:41

NAV wird überschätzt! :twisted:

@Kenny:
Was genau wurde Dir den mitgeteilt? Laut meiner Erfahrung sind die Beobachtungen des Providers meist berechtigt.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Botnetz Aktivitäten mit meinem Server

Post by Joe User » 2007-01-04 10:47

danu wrote:
Das mit dem tmp löschen ok, aber wo siehst du ein Perlscript o.ä. damit du sagen kannst das der Server in einem Botnetz ist?
Als ich um 21:00 auf den Link klickte, heulte der NAV, jetzt aber nicht mehr - falsche Schlussfolgerung ?
Ja, es ist ein Bild und zudem extern abgelegt. Desweiteren ist das auf dem Bild gezeigte /tmp unauffällig.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

kenny1980
Posts: 37
Joined: 2005-05-24 22:04

Re: Botnetz Aktivitäten mit meinem Server

Post by kenny1980 » 2007-01-04 12:17

Das hier ist die komplette Nachricht:

Code: Select all

Sehr geehrter Kunde,

wir haben eine Beschwerde erhalten, da Ihr Server anscheinend von einem Schadprogramm kompromittiert wurde, das sich mit anderen kompromittierten Servern per Botnetz koordiniert (http://de.wikipedia.org/wiki/Botnetz). Die uns vorliegenden Daten sind unten angegeben.




> bots Report
> 
> Many different types of malware use IRC (Internet Relay Chat) as a control
> mechanism for coordinating their activities. In some cases these IRC
> connections can be detected and used to identify infected hosts,
> sometimes even with the specific type of malware the host is infected with.
> 
> The bots report is based on the logs of botnet detectors located within
> several large IRC networks. The logs are processed daily, Monday though
> Friday. The file format is as follows:
> 
> OriginAS | IP | DATE(YYYY-MM-DD) TIME(HH:MM:SS) [srcport PORT] | AS-NAME
> 
> The SRCPORT field refers to the TCP source port used by the malware
> to connect to the IRC server. Unfortunately not all records forwarded to
> us have source port information available.
> 
> All dates and times are in GMT.
> 
> 20773 | Meine-IP | 2006-12-29 10:07:48 | HOSTEUROPE-AS AS of Hosteurope Germany / Cologne
> 20773 | Meine-IP | 2006-12-29 10:07:48 | HOSTEUROPE-AS AS of Hosteurope Germany / Cologne

Mit freundlichen Grüßen
Mfg
Kenny

bartman
Posts: 6
Joined: 2007-01-04 20:27
Location: Berlin

Re: Botnetz Aktivitäten mit meinem Server

Post by bartman » 2007-01-05 01:21

Irgendjemand hat Kontrolle ueber deinen Server, dass du all seine Eingriffe findest ist zwar moeglich, jedoch nicht wahrscheinlich und schon garnicht sicher. Setz dich abends hin und installier die Kiste neu & mach regelmaessig Sicherheitsupdates, es gibt keine Moeglichkeit sonst mit absoluter Sicherheit zu sagen, die Kiste ist sauber. Zumal ich keine persoenlichen Daten auf nem Server haben wollen wuerde, auf dem eingebrochen wurde...