Woher kommt der Traffic?

[t-eddie]

Hallo Root-Forum Gemeinde,

gestern Nacht hat mein Server angefangen unmengen an Traffic zu verbrauchen oder zu produzieren....innerhalb von 6h mehr als 5-6GB. Nach dem der Provider den Server bgeschalten hatte, hab ich ihn vorhin über das Rescue System wieder aktiviert - die LOG´s durchkämmt, aber nichts gefunden.
Keine Anzeichen auf einen LOGIN, Connect von ftp oder via POP3...aber irgendwo muss der Traffic doch hergekommen sein.

Bin ich einfach zu doof, oder habe etwas offensichtliches übersehen???

RKHunter hat nichts gefunden, und nen SPAM-Relay Test war auch erfolgreich -> also kein Offenens Relay entdeckt.

Hat also wer einen Tipp für mich?? Vielen Dank im vorraus.

[dtdesign]

Abgesehen davon, dass ich dir angesichts der paar GB die da über die Leitung gehen schon fast einen Providerwechsel anrate, würde ich nach anderen Quellen suchen.

Gibt es eventuell Auffälligkeiten im tmp-Verzeichnis, irgendeine Partition die auf einmal Gigabyte an Daten dazu bekommen hat? Wurde der Server eventuell als Downloadserver / Bittorrent misbraucht?

Gruß
dtdesign

[t-eddie]

Hallo,

also ich glaube ich bin in der Kommastelle verrutscht oder mittlerweile völlig durch den Wind.

IP / Subnet | Trafficlimit in MB | Traffic MB

88.198:XX.XX | 2000 | 55861.3777

Das sind dann nicht 5-6GB , sonder 55GB 8o oder guck ich schon falsch???

Auf dem Server sind ein paar Domains gehostet die mit SysCP verwaltet werden - jeder Domain hat somit ihr eigenes LOG File....also in den Apache Logs findet sich "nur" etwas von GoogleBot, MSN Crawler und Yahoo´s Slurp!...

Aber ein Crawler kann doch nicht soviel Traffic erzeugen, oder etwa doch??

Ansonsten ist es ein Debian Etch System, mit 2.6.18-4-686 Kernel - und es läuft neben dem Apache2, noch MySQL, php5, postfix...die Websiten sind "fast" alle mit Joomla und Virtuemart erstellt worden, beziehungsweise laufen darauf.

Ich würde sagen er hat den Traffic erzeugt - aber sicher bin ich mir nicht wirklich. Wie kann ich das verfizieren?

Auffälligkeiten im Dateisystem gibt es keine (oder ich sehe sie nicht) - tmp ist leer -> und es sind nur gerade mal 12GB Speicherplatz belegt.

[Joe User]

Wenn Joomla und Virtuemart nicht aktuell/gepatched sind...
http://secunia.com/search/?search=Joomla&sort_by=date
http://secunia.com/search/?search=Virtu ... rt_by=date

[lord_pinhead]

In /tmp liegt nicht zufällig noch was rum? Oder ist das etwa verloren gegangen? Such mal nach rar|avi|mpg|mp3|ogg|zip Dateien im Dateisystem, 55 GB in den paar Stunden kann kein Spam sein, höchstens ein DDoS, aber eher das deine Kiste für FXP missbraucht wird bzw. in Chatnetzwerken rumgammelt und Dateien verschickt.

Code: Select all

# find . -type f  | egrep "(rar|avi|mp3|mpg|zip|ogg)"

Ginge sicherlich noch einfacher mit dem regexp aufruf von find, hab das aber jetzt auf die schnelle nicht hinbekommen.

[t-eddie]

Joomla + Virtuemart ist auf dem aktuellsten Stand, leider ist es die Testumgebung (noch) nicht - die habe ich jetzt ersteinmal Offline geschalten.

Ausserdem lag auf eine Subdomain noch eine alte Postnuke-Version mit Uralt MyeGallery - die habe ich jetzt auch erstmal deaktiviert.

Der Webalizer hat mir keinen erhöhten Traffic auf einzelnen Domains angezeigt - da sieht alles normal aus. Munin setze ich als Serverüberwachungstool ein, und das zeigt beim eth0 Traffic

http://images7.pictiger.com/thumbs/02/2278c2993bb280cb8da9757afe98f402.th.png

die Apache AccessLogs der einezelnen Domains hab ich mal durchforstet - also seit gestern Abend 23Uhr gab es ca 300 Anfragen von Bot´s - ist jetzt nicht wirklich hoch oder`?

RKHunter hat folgenden Warnings ausgegeben:

* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ Warning! ]
---------------
/etc/.pwd.lock /dev/.static
/dev/.udev
/dev/.initramfs
/dev/.initramfs-tools

Soviel kann ich damit aber jetzt nicht anfangen...

Ich vermute fast, das Postfix den Traffic erzeugt hat,

mail.info vor 0UHR

Code: Select all

1:
Jul  4 23:20:49 localhost postfix/smtpd[27148]: connect from localhost[127.0.0.1]
Jul  4 23:20:49 localhost postfix/smtpd[27148]: lost connection after CONNECT from localhost[127.0.0.1]
Jul  4 23:20:49 localhost postfix/smtpd[27148]: disconnect from localhost[127.0.0.1]
Jul  4 23:21:52 localhost postfix/smtpd[27148]: connect from MTLXPQAK-1177867810.sdsl.bell.ca[70.52.214.34]
Jul  4 23:22:21 localhost postfix/smtpd[27148]: warning: 34.214.52.70.opm.blitzed.org: RBL lookup error: Host or domain name not found. Nam
e service error for name=34.214.52.70.opm.blitzed.org type=A: Host not found, try again
Jul  4 23:22:22 localhost postfix/smtpd[27148]: B4DF673405D: client=MTLXPQAK-1177867810.sdsl.bell.ca[70.52.214.34]
Jul  4 23:22:22 localhost postfix/smtpd[27148]: lost connection after DATA from MTLXPQAK-1177867810.sdsl.bell.ca[70.52.214.34]
Jul  4 23:22:22 localhost postfix/smtpd[27148]: disconnect from MTLXPQAK-1177867810.sdsl.bell.ca[70.52.214.34]
Jul  4 23:25:42 localhost postfix/anvil[27156]: statistics: max connection rate 1/60s for (smtp:70.52.214.34) at Jul  4 23:21:52
Jul  4 23:25:42 localhost postfix/anvil[27156]: statistics: max connection count 1 for (smtp:70.52.214.34) at Jul  4 23:21:52
Jul  4 23:25:42 localhost postfix/anvil[27156]: statistics: max cache size 1 at Jul  4 23:21:52
Jul  4 23:30:01 localhost postfix/pickup[21311]: 89A8F73409E: uid=2000 from=<vmail>
Jul  4 23:30:01 localhost postfix/cleanup[27513]: 89A8F73409E: message-id=<20070704213001.89A8F73409E@static.88-198-XXX.clients.your-serve
r.de>
Jul  4 23:30:01 localhost postfix/qmgr[32186]: 89A8F73409E: from=<vmail@static.88-198-1XXX.clients.your-server.de>, size=765, nrcpt=1 (queu
e active)
Jul  4 23:30:01 localhost postfix/local[27518]: 89A8F73409E: to=<vmail@static.88-198-1XXX.clients.your-server.de>, orig_to=<vmail>, relay=l
ocal, delay=0.25, delays=0.23/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Jul  4 23:30:01 localhost postfix/qmgr[32186]: 89A8F73409E: removed
Jul  4 23:42:19 localhost postfix/smtpd[28449]: connect from camppool07.emailebay.com[216.33.244.106]
Jul  4 23:42:20 localhost postfix/smtpd[28449]: NOQUEUE: reject: RCPT from camppool07.emailebay.com[216.33.244.106]: 450 4.7.1 <sjcitemap04
.sjc.ebay.com>: Helo command rejected: Host not found; from=<eBay-INTL.239904249.612576.0@reply.ebay.com> to=<jochen@vorturner.de> proto=ES
MTP helo=<sjcitemap04.sjc.ebay.com>
Jul  4 23:42:25 localhost postfix/smtpd[28449]: disconnect from camppool07.emailebay.com[216.33.244.106]
Jul  4 23:45:45 localhost postfix/anvil[28451]: statistics: max connection rate 1/60s for (smtp:216.33.244.106) at Jul  4 23:42:19
Jul  4 23:45:45 localhost postfix/anvil[28451]: statistics: max connection count 1 for (smtp:216.33.244.106) at Jul  4 23:42:19
Jul  4 23:45:45 localhost postfix/anvil[28451]: statistics: max cache size 1 at Jul  4 23:42:19
Jul  5 00:00:11 localhost postfix/pickup[27800]: 56BED73409E: uid=0 from=<root>

mail.info in der Traffic Lastzeit

Code: Select all

Jul  5 01:30:02 localhost postfix/qmgr[32186]: 1B46773409E: from=<vmail@static.88-198-X-XX.clients.your-server.de>, size=765, nrcpt=1 (queu
e active)
Jul  5 01:30:02 localhost postfix/local[2763]: 1B46773409E: to=<vmail@static.88-198-1-XXclients.your-server.de>, orig_to=<vmail>, relay=lo
cal, delay=0.65, delays=0.63/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Jul  5 01:30:02 localhost postfix/qmgr[32186]: 1B46773409E: removed
Jul  5 02:30:02 localhost postfix/pickup[1437]: 6B1D473409E: uid=2000 from=<vmail>
Jul  5 02:30:02 localhost postfix/cleanup[6533]: 6B1D473409E: message-id=<20070705003002.6B1D473409E@static.88-198-1XX.clients.your-server
.de>
Jul  5 02:30:02 localhost postfix/qmgr[32186]: 6B1D473409E: from=<vmail@static.88-198-1-XX.clients.your-server.de>, size=765, nrcpt=1 (queu
e active)
Jul  5 02:30:02 localhost postfix/local[6543]: 6B1D473409E: to=<vmail@static.88-198-1-XX.clients.your-server.de>, orig_to=<vmail>, relay=lo
cal, delay=0.41, delays=0.39/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Jul  5 02:30:02 localhost postfix/qmgr[32186]: 6B1D473409E: removed
Jul  5 03:30:01 localhost postfix/pickup[7771]: C20C373409E: uid=2000 from=<vmail>
Jul  5 03:30:01 localhost postfix/cleanup[10307]: C20C373409E: message-id=<20070705013001.C20C373409E@static.88-198-1-XX.clients.your-serve
r.de>
Jul  5 03:30:01 localhost postfix/qmgr[32186]: C20C373409E: from=<vmail@static.88-198-1-XX.clients.your-server.de>, size=765, nrcpt=1 (queu
e active)
Jul  5 03:30:01 localhost postfix/local[10311]: C20C373409E: to=<vmail@static.88-198-1-XX.clients.your-server.de>, orig_to=<vmail>, relay=l
ocal, delay=0.43, delays=0.41/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Jul  5 03:30:01 localhost postfix/qmgr[32186]: C20C373409E: removed
Jul  5 04:30:01 localhost postfix/pickup[14045]: DDA0273409E: uid=2000 from=<vmail>
Jul  5 04:30:02 localhost postfix/cleanup[14079]: DDA0273409E: message-id=<20070705023001.DDA0273409E@static.88-198-1-XX.clients.your-serve
r.de>

Also so langsam versteh ich die Welt nicht mehr, hab ich mich beim Traffic verrechnet?? Wo soll der nur herkommen?? Wenn ich mir die mail.info so anschaue, kann es postfix eigentlich auch nicht gewesen sein, dafür ist das zuwenig los, oder?

[kase]

Kann Munin nicht nach INCOMING und OUTGOING Traffic aufschlüsseln? Es wäre wirklich wichtig zu wissen, ob der Traffic rein oder raus ist.

[Joe User]

Laut dem geposteten Graphen war es Outgoing-Traffic.

Dem Zeitfenster und Traffic nach, würde ich auf ein (temporäres) Zwischenlager für illegale Inhalte tippen. Als weiteres Vorgehen würde ich daher das Anlegen eines HDD-Images zur späteren Analyse und anschliessende Neuinstallation des Systems als notwendig Erachten. Zudem darf die Kiste erst wieder ans Netz, sobald das Einfallstor gefunden und gestopft, sowie das Sicherheitskonzept überarbeitet ist...

EDIT: Und selbstverständlich müssen die Kunden der Shops umgehend(!) über den möglichen Diebstahl ihrer gespeicherten Daten informiert werden.

[t-eddie]

Ja soweit so klar, nur wie finde ich das Einfallstor, in den Logs die ich bis jetzt durchgekramt habe, ist ja nichts zu finden.

Irgendwie trete ich auf der Stelle...hab jetzt noch mal in der syslog nach geschaut und bin über folgenden Eintrag gestolpert:

Code: Select all

Jul  5 18:33:01 localhost /USR/SBIN/CRON[17953]: (www-data) CMD (/tmp/.n/update >/dev/null 2>&1)

Kann mir wer sagen was das soll?? Unter /tmp liegt nichts und in der Crontab steht davon auch nichts. Hab den Crondameon schon mal gestoppt und gestartet, die meldung kommt aber weiterhin...

EDIT: Den Cron habe ich gefunden - war für den User www-data eingerichtet - die Dateien unter tmp dazu aber nicht....

[Roger Wilco]

Was sagt `ls -la /tmp`?

Du wurdest offenbar über den Apache httpd bzw. ein entsprechendes Skript kompromittiert.

[daemotron]

Der Cron-Eintrag muss nicht unbedingt in der Crontab von root stehen... könnte auch ein weniger privilegierter User sein (sogar wahrscheinlich) oder irgendwo in /etc/cron.d/ rumfliegen.

Btw. Dein Provider (schließe jetzt mal aus dem Netzsegment auf einen Nürnberger Anbieter) bietet im Kundeninterface ("Robot") eine Traffic-Auswertung pro IP-Adresse, getrennt nach Incoming und Outgoing - damit hättest Du die erste Frage blitzschnell beantwortet gehabt... Leider lässt sich daraus aber nicht ableiten, auf welchen Ports oder gar mit welchen Protokollen kommuniziert wurde...

Wenn es ausgehender Traffic war, würde ich ebenfalls auf unerwünschte Downloads tippen - selbst wenn jemand lokal einen Spam-Generator eingesetzt hat, sind 55GB in so kurzer Zeit 'n bisschen viel. Der glatte Graph lässt eher vermuten, dass Deine Leitung gleichmäßig voll ausgelastet wurde, was typisch für große Datentransfers ist. Allerdings müsste das Zeugs irgendwo auf den Server raufgekommen sein, d. h. Du müsstest irgendwo einen Peak bei eingehendem Traffic haben (vermutlich mehrere GB in kurzer Zeit).

Als Einfallstor würde ich momentan auf einen Exploit für eine der PHP-Anwendungen tippen. Möglicherweise findet sich was in den Logs, aber das kann auch schon ne Weile her sein (wenn der Cracker clever und geduldig war) und verhältnismäßig unverdächtig aussehen. Außerdem könnte der Angreifer je nach erlangten Rechten die entsprechenden Spuren auch getilgt haben...

Postfix als Einfallstor für illegales File-Sharing (vermutlich über einen IRC-Bot o. ä.) wäre mir jedenfalls neu. Theoretisch könnte auch jemand einfach zur Vordertür reinspaziert sein (wie paranoid ist Dein sshd konfiguriert, wie sicher Deine Passwörter gewählt?) => auth.log prüfen und erfolgreiche Logins rausfiltern. Dann mal die Zeitstempel abgleichen, ob das wirklich Du warst.

[Joe User]

Wann taucht der Cron das erste Mal im Log auf?

[t-eddie]

Mhmmm,

also der Tipp war gut - der CRON taucht das erste mal am 3.Juli (Dienstag) in der LOG auf...

Code: Select all

Jul  3 16:25:36 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
error setting IPV6_V6ONLY: Protocol not available
Jul  3 16:25:36 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
FTP session opened.
Jul  3 16:25:37 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
mod_delay/0.5: delaying for 53 usecs
Jul  3 16:25:41 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
PAM(ftp): Authentication failure.
Jul  3 16:25:48 localhost postfix/anvil[3761]: statistics: max connection rate 1/60s for (smtp:80.237.194.123) at Jul  3 16:21:59
Jul  3 16:25:48 localhost postfix/anvil[3761]: statistics: max connection count 1 for (smtp:80.237.194.123) at Jul  3 16:21:59
Jul  3 16:25:48 localhost postfix/anvil[3761]: statistics: max cache size 2 at Jul  3 16:22:16
Jul  3 16:26:16 localhost crontab[4096]: (www-data) REPLACE (www-data)
Jul  3 16:26:16 localhost crontab[4097]: (www-data) LIST (www-data)
Jul  3 16:26:17 localhost identd[4105]: started
Jul  3 16:27:01 localhost /USR/SBIN/CRON[4137]: (www-data) CMD (/tmp/.n/update >/dev/null 2>&1)

aber in wo liegt der Cronjob nun genau - oder wie ist er dahin gekommen?

in der auth.log hab ich nun auch noch mal nen bisschen geforscht.

Code: Select all

Jul  2 06:25:01 localhost CRON[10687]: (pam_unix) session closed for user root
Jul  2 06:25:15 localhost su[11118]: Successful su for nobody by root
Jul  2 06:25:15 localhost su[11118]: + ??? root:nobody
Jul  2 06:25:15 localhost su[11118]: (pam_unix) session opened for user nobody by (uid=0)
Jul  2 06:25:15 localhost su[11118]: (pam_unix) session closed for user nobody
Jul  2 06:25:15 localhost su[11122]: Successful su for nobody by root
Jul  2 06:25:15 localhost su[11122]: + ??? root:nobody
Jul  2 06:25:15 localhost su[11122]: (pam_unix) session opened for user nobody by (uid=0)

Code: Select all

Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - USER .: no such user found from dicio
.org [::ffff:213.239.221.112] to ::ffff:88.198.1.50:21
Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - mod_delay/0.5: delaying for 2139 usec
s
Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - mod_delay/0.5: delaying for 1594 usec
s
Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - no such user '.'
Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - USER .: no such user found from dicio
.org [::ffff:213.239.221.112] to ::ffff:88.198.1.50:21
Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - mod_delay/0.5: delaying for 2557 usec
s
Jul  2 09:21:00 localhost proftpd[21785]: localhost.localdomain (dicio.org[::ffff:213.239.221.112]) - mod_delay/0.5: delaying for 1437 usec
s

Dann immer wieder erfolglose Login Versuche von der IP

Code: Select all

Jul  2 12:05:45 localhost sshd[31895]: Invalid user lucy from 211.157.109.58

Versuche auf den FTP zu kommen

Code: Select all

Jul  3 08:29:17 localhost proftpd[8156]: localhost.localdomain (ns.uwantu.com[::ffff:87.118.100.47]) - mod_delay/0.5: delaying for 1245 use
cs
Jul  3 08:29:17 localhost proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=ns.uwantu.com  user=ftp
Jul  3 08:29:20 localhost proftpd[8156]: localhost.localdomain (ns.uwantu.com[::ffff:87.118.100.47]) - PAM(ftp): Authentication failure.
Jul  3 08:29:20 localhost proftpd[8156]: localhost.localdomain (ns.uwantu.com[::ffff:87.118.100.47]) - USER ftp: Login successful.
Jul  3 08:29:20 localhost proftpd[8156]: localhost.localdomain (ns.uwantu.com[::ffff:87.118.100.47]) - Preparing to chroot to directory '/h
ome/ftp'
Jul  3 08:29:20 localhost proftpd[8156]: localhost.localdomain (ns.uwantu.com[::ffff:87.118.100.47]) - FTP session closed.

Code: Select all

Jul  3 16:25:38 localhost proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=host20-175-dynamic.59-82-r.re
tail.telecomitalia.it  user=ftp
Jul  3 16:25:41 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
USER ftp: Login successful.
Jul  3 16:25:41 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
Preparing to chroot to directory '/home/ftp'
Jul  3 16:25:42 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
error setting IPV6_V6ONLY: Protocol not available
Jul  3 16:25:53 localhost last message repeated 4 times
Jul  3 16:27:01 localhost CRON[4136]: (pam_unix) session opened for user www-data by (uid=0)
Jul  3 16:27:01 localhost CRON[4136]: (pam_unix) session closed for user www-data
Jul  3 16:27:15 localhost proftpd[4065]: localhost.localdomain (host20-175-dynamic.59-82-r.retail.telecomitalia.it[::ffff:82.59.175.20]) -
FTP session closed.
Jul  3 16:28:01 localhost CRON[4141]: (pam_unix) session opened for user www-data by (uid=0)
Jul  3 16:28:01 localhost CRON[4141]: (pam_unix) session closed for user www-data
Jul  3 16:29:01 localhost CRON[4149]: (pam_unix) session opened for user www-data by (uid=0)
Jul  3 16:29:01 localhost CRON[4149]: (pam_unix) session closed for user www-data

Zum Thema Traffic - im Robot sind heute "nur" die 54GB outgoging traffic zusehen, einen Peak kann ich irgendwie nicht finden - komischerweise fehlt aber die Auswertung von gestern im Robot.

[Roger Wilco]

Code: Select all

crontab -u www-data -l

[t-eddie]

Ja danke, hab ich nach dem Post entdeckt, gesichert und gelöscht...steht aber nur

Code: Select all

/tmp/.n/update >/dev/null 2>&1

drin

Wobei ich die Dateien unter /tmp nicht finden kann...weiß jemand wieso? Und wie ist er nun direkt reingekommen? Via Script oder doch mittels FTP??

[dtdesign]

Start mit dem rescue System neu, mach einmal gnadenlos rm -rf /tmp und hau den cron aus dem rc raus. Dann beobachte das ganze nochmal, ob in der Zeit wieder soetwas auftritt. Wenn nichts passiert, liegt irgendwo noch eine Leiche begraben.

Ein cat auf /etc/passwd enthüllt dir eventuell Benutzer, die a) dort nicht sein sollten und b) irgendwelche cronjobs besitzen.

So könntest du die Möglichkeiten eingrenzen.

Gruß
dtdesign

[Roger Wilco]

Wobei ich die Dateien unter /tmp nicht finden kann...weiß jemand wieso? Und wie ist er nun direkt reingekommen? Via Script oder doch mittels FTP??

Schön zu wissen, dass alle meine Beiträge gelesen werden. :roll:

Da es die benutzerspezifische crontab von www-run ist, wurde dein System vermutlich über den Webserver bzw. ein mit dessen Rechten ausgeführtes (PHP?) Skript kompromittiert. Das Verzeichnis siehst du mit `ls -la /tmp`.

[lord_pinhead]

@Roger
Naja, mit dem find hätte er jetzt wenigstens mal sagen können ob solche Dateien vorliegen, also liest er nicht nur deine Posts nicht richtig :roll:

Spam fällt 100% flach, gehen wir nur mal von rund 10KB pro Spammail aus (was wirklich viel ist), dann wären das ungefähr 5,66 Millionen Spammails. Etwas viel für nur einen Server in der kurzen Zeit oder nicht?

Es könnte ein ausgehender DDoS sein, ngrep oder tcpdump laufen lassen im kompromitierten System, oder eben Filesharing. Letzteres ist oft einfach rauszufinden, such mal die Binary zu deinem FTP Deamon, also z.b. proftpd -> whereis proftpd, und dann lass dir mal anzeigen wann diese erstellt wurde -> ls -la `whereis proftpd`, der wird oft ausgewechselt und ohne Logging gestartet. Aber mit dem find Befehl weiter oben findest du dann auch oft schon was da geshared wird, würde ich direkt mal in den FTP Logs danach suchen (wenn noch welche vorhanden sind). Anzeige bringt dann nur was bei Inländischen Übeltätern, alles im Ausland kannst du vergessen.

Mach jetzt auchmal eine extra Datensicherung, weil neuinstallieren musst du sowisso.
Wenn du die Ursache aber mal kennst, kannst du reagieren. Aber zu 99% hat ein Kind über ein PHP Script ein Backdoor eingeschleust (möglicherweise wieder gelöscht) und nutzt den jetzt eben. In Zukunft solltest du da mal über Mod Security nachdenken.

p.s. Diesmal habe ich extra mal ein bisschen was Fett geschrieben das du es nicht überliest ;)

[t-eddie]

Also danke erstmal für die schnelle sofort Hilfestellung, und auch Entschuldigung an Lord_Pinhead & Roger Wilco das ich gestern im Eifer des Gefechts eure Posts nicht richtig gelesen, bzw. etwas überlesen habe.

Den Cron Job hab ich gestern bereits entfernt. Und ein 'ls -la /tmp' hat
folgendes ergeben:

Code: Select all

ingesamt 8
drwxrwxrwx root:root .
drwxr-xr-x root:root ..

Müsste bei . nicht für das letzte "x" eigentlich ein "t" stehen?

Nach den Dateien werde ich heute nachmittag noch mal mittels

Code: Select all

# find . -type f  | egrep "(rar|avi|mp3|mpg|zip|ogg)" 

fahnden. Irgendwas muss sich ja finden....Die Proftpd Binarys schaue ich mir auch mal an, ebenso die Logs.

Neu aufsetzten muss ich ja eh - aber bevor ich es neu mache, muss ich ja erstmal das genaue Leck finden....

[lord_pinhead]

Also danke erstmal für die schnelle sofort Hilfestellung, und auch Entschuldigung an Lord_Pinhead & Roger Wilco das ich gestern im Eifer des Gefechts eure Posts nicht richtig gelesen, bzw. etwas überlesen habe.

Den Cron Job hab ich gestern bereits entfernt. Und ein 'ls -la /tmp' hat
folgendes ergeben:

Code: Select all

ingesamt 8
drwxrwxrwx root:root .
drwxr-xr-x root:root ..

Müsste bei . nicht für das letzte "x" eigentlich ein "t" stehen?

Bei mir ist auch das Sticky Bit gesetzt. Vielleicht einfach nur falsche berechtigung (chmod +t /tmp).

[t-eddie]

"er" ist per FTP reingekommen - wie er an den User gelangt ist weiß ich wirklich nicht...im /home/ftp hab ich dann folgendes Script gefunden

Code: Select all

<?php 

/*
*****************************************************************************************
*                           PHPSHELL.PHP  Editado    Junio th 2005                *
***************************************************************************************** 
*                                                                                       *  
*   PHP Shell by PetriHacK                                              * 
*   This script will allow you to browse webservers etc...                              * 
*   Just copy the file to your directory and open it in your Internet Browser.          * 
*                                                                                       * 
*   The webserver should support PHP...                                                 * 
*                                                                                       * 
*   You can modify the script if you want, but please send me a copy to:                *  
*                               PetriHacK@yahoo.com                                     * 
***************************************************************************************** 

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!   PLEASE NOTE: You should use this script at own risk, it should do damage to the   !! 
!!                Sites or even the server... You are responsible for your own deeds.  !! 
!!                The admin of your webserver should always know you are using this    !!
!!                script.                                                              !! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
*/ 


/*Setting some envirionment variables...*/ 

/* I added this to ensure the script will run correctly...
   Please enter the Script's filename in this variable. */   
$SFileName=$PHP_SELF;

/* uncomment the two following variables if you want to use http
   authentication. This will password protect your PHPShell */
//$http_auth_user = "PetriHacK";	/* HTTP Authorisation username, uncomment if you want to use this */
//$http_auth_pass = "petrihack";	/* HTTP Authorisation password, uncomment if you want to use this */	    
----abgeschnippt----

Die Suche nach den Datei hat nichts ergeben - und tmp ist ja leer...also die größten Spuren wurden wohl verwischt. Ich bin gerade dabei den Server neu aufzusetzen...und diesmal versuche ich es besser zu machen

Also danke noch mal an die, die mir geholfen haben.

[lord_pinhead]

@matzewe01
Das Problem mit dem Sniffen kenne ich, wir reden aber nicht beide vom selben Hoster oder?

[dtdesign]

@matzewe01: Sieht so ähnlich aus wie die C99-Shell... typisch Equipment von Script-Kiddies...

@t-eddie: Verzichte auf FTP und nutze SCP.

Gruß
dtdesign

[t-eddie]

Hier ist die Antwort, wie der Angreifer reingekommen ist....

http://blog.syscp.org/archives/58-Secur ... eEtch.html

Gestern wurde bei meinem Provider ca.20-25 andere Server Opfer dieser Schwachstelle....meiner war aber gott sei dank nicht mit dabei.

[rootsvr]

Der Angreifer ist so reingekommen, aber Du warst nicht dabei? Wie kam er dann bei Dir rein?