Ärger mit Netscans

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

Ärger mit Netscans

Post by Anonymous » 2007-10-23 20:52

Hallo liebes Forum,

unser Problem ist, das in unserem Rootserver bei Hetzner eingebrochen wurde und man unseren Server dazu mißbraucht hatte Netscans auf andere Hosts zu machen. Der Server wurde dann vom Netz genommen und wir bekamen einen Mail mit der Auflistung der Netscans etwa wie folgt:

###################################################################
> > # Netscan detected from host 111.222.33.44 #
> > ###################################################################
> >
> >
> > time src_ip dest_ip:dest_port
> > -------------------------------------------------------------------
> > Sat Oct 20 11:43:31 2007: 111.222.33.44 => 3.35.140.32: 3072
> > Sat Oct 20 11:43:31 2007: 111.222.33.44 => 2.73.42.35: 3072
> > Sat Oct 20 11:43:31 2007: 111.222.33.44 => 2.143.30.105: 3072
> > Sat Oct 20 11:43:31 2007: 111.222.33.44 => 2.205.214.8: 3072
> > Sat Oct 20 11:43:31 2007: 111.222.33.44 => 7.203.0.81: 3072
> > Sat Oct 20 11:43:31 2007: 111.222.33.44 => 9.98.243.110: 3072


Die Befragung der Logfiles ergab wenig. Daher meine Frage, ob jemand (Leute mit ähnlichen Erfahrungen) mir helfen, zu lokalisieren , wo die Schwachstelle liegt.

Zwei Problemansatzpunkte würden mich zwecks Lösung interessiern.
... hoffe es geht in Ordnung, daß ich sie hier poste

1.) In der /var/log/auth.log finden sich viele Einträge root sessions in der Nähe von Sessions für den User nagios. Wahrscheinlich unkritisch ?
Oct 21 07:16:29 localhost CRON[440]: (pam_unix) session closed for user nagios
Oct 21 07:17:01 localhost CRON[456]: (pam_unix) session opened for user root by (uid=0)
Oct 21 07:17:01 localhost CRON[458]: (pam_unix) session opened for user nagios by (uid=0)
Oct 21 07:17:01 localhost CRON[460]: (pam_unix) session opened for user nagios by (uid=0)
Oct 21 07:17:01 localhost CRON[456]: (pam_unix) session closed for user root
Oct 21 07:17:29 localhost CRON[460]: (pam_unix) session closed for user nagios
Oct 21 07:17:29 localhost CRON[458]: (pam_unix) session closed for user nagios


2.) der user nobody hat laut /etc/passwd eine Shell.
less /etc/passwd| grep nobody
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh


Darf ich dem User auch /dev/null zuweisen ?

Falls ihr Antworten oder andere Ansatzpunkte habt (wahrscheinlich bin auf dem falschen Weg), wär es nett wenn ihr mir auf die Sprünge helfen könntet. Wichtig wäre mir den Einbruch nachzuvollziehen und insbesondere Vorkehrungen zur ABwehr zu treffen.

rkhunter und chkrootkit haben keine Anomalien angezeigt.

Danke im voraus für eure Antworten.

Gruß

Michael

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Ärger mit Netscans

Post by daemotron » 2007-10-24 11:44

nobody sollte eigentlich keine interaktive Shell haben, aber ich meine mich zu erinnern, dass wir hier schon mal einen Thread hatten, in dem festgestellt wurde, dass manche Distributionen das per default anders sehen. /dev/null als Shell ist keine gute Idee, es sei denn, Du hättest /dev/null in der /etc/shells als gültige Shell eingetragen. Üblicher sind /bin/false oder /sbin/nologin als Rausschmeißer.

Was die Cron-Jobs angeht: Steht denn in der Crontab von root irgendwas drin, was um 17:17 hätte ausgeführt werden sollen? Wenn nein, würde ich mir den Nagios-Job mal genauer anschauen, der müsste dann ja su oder sudo verwenden. Oder ein Programm mit SUID-Bit aufrufen... (alle drei Möglichkeiten sind sicherheitstechnisch betrachtet natürlich ein gewisses Risiko).

Wenn Dein Rechner wirklich fremdgesteuert wird, solltest Du zuallererst eine 100%-Sicherung machen (Platten per dd sichern, wenn möglich Inhalt des Arbeitsspeichers dumpen und mitsichern) und dann die Kiste erst mal vom Netz nehmen. Am wahrscheinlichsten ist ein Einbrecher über eine Lücke (bekannt oder Zero Day) in einer Webanwendung reingekommen - möglicherweise sogar über das Nagios-Frontend. Wenn es ihm gelungen ist, eine (primitive) PHP- oder CGI-Shell einzuschmuggeln, reicht das schon, um Deinen Server für Portscans zu mißbrauchen.

Allerdings wurde wohl gezielt nach Port 3072 gesucht, der lt. IANA-Liste als "ContinuStor Monitor Port" registriert ist - offenbar also von NAS-Geräten verwendet wird. Ich würde nicht drauf wetten, aber könnte es sein, dass Dein Nagios da versucht, im Hetzner-Netz gar nicht vorhandene Storage-Devices zu überwachen?

Anonymous

Re: Ärger mit Netscans

Post by Anonymous » 2007-10-24 17:02

Dank Dir für die hilfreichen Hinweise. "nobody" tut es jetzt erst mal auch mit "/bin/false"...
interessant fand ich, daß man den Port 3072 NAS zuordnen kann. Das bringt mich wiederum auf Filesharing, aber ist vielleicht die falsche Fährte...

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Ärger mit Netscans

Post by daemotron » 2007-10-24 17:39

michael_wagner wrote:interessant fand ich, daß man den Port 3072 NAS zuordnen kann.
Schau mal in Deine /etc/services, ob er da definiert ist. Falls nicht => http://www.iana.org/assignments/port-numbers Allerdings ist diese Liste keine Garantie dafür, dass die Ports auch nur so verwendet werden. Zum Teil sind die Einträge auch ganz schön veraltet und nicht mehr gepflegt, aber einen groben Anhaltspunkt bietet sie IMHO dennoch...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ärger mit Netscans

Post by Joe User » 2007-10-24 18:01

http://www.mirchelp.us/article/howto.htm gepaart mit den letzten URI-Bugs diverser Windows-Applikationen würde Sinn machen...