Problem - Server wird genutzt für Scannvorgänge

Rund um die Sicherheit des Systems und die Applikationen
funkuch3n
Posts: 20
Joined: 2006-12-22 19:10

Problem - Server wird genutzt für Scannvorgänge

Post by funkuch3n » 2007-11-11 10:54

Hallo,

ich habe folgendes Problem, so wie es aussieht wird mein Server zum scannen von fremden Websites verwendet, jedoch habe ich akut keinerlei Ahnung von wo die Prozesse ausgehen und was es sein kann.

mein ps aux verrät mir nur, dass es sich um viele perl Prozesse handelt, der Traffic steigt ca. auf 50GB pro Tag.

Des weiteren habe ich von meinem Hoster folgende Logs bekommen:

Code: Select all

Logs with datetime and time zone :
81.169.128.26 - - [03/Nov/2007:21:49:09 +0100] www.europeanexperts.org 'GET /question/see.php?cutepath=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 200 -

81.169.128.26 - - [03/Nov/2007:21:49:10 +0100] www.europeanexperts.org 'GET /see.php?cutepath=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 404 2286

81.169.128.26 - - [05/Nov/2007:20:37:34 +0100] www.europeanexperts.org 'GET /question//index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 200 -

81.169.128.26 - - [05/Nov/2007:20:37:35 +0100] www.europeanexperts.org 'GET //index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 404 2285

81.169.128.26 - - [07/Nov/2007:09:14:42 +0100] www.europeanexperts.org 'GET /question/index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 200 -

81.169.128.26 - - [07/Nov/2007:09:14:42 +0100] www.europeanexperts.org 'GET /index.php?mode=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd HTTP/1.1' 404 2278

------------------------------------------------------------------------------------------------------------------------

TIMESTAMP: Wed Nov  7 21:16:01 CST 2007
SCRIPT_NAME:  /cgi-bin/auto_abuse.pl
SERVER_NAME:  www.bti.net
SERVER_ADMIN:  admin@bti.net
HTTP_CONNECTION:  TE, close
REQUEST_METHOD:  GET
SCRIPT_FILENAME:  /var/www/cgi-bin/auto_abuse.pl
SERVER_SOFTWARE:  Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8
HTTP_TE:  deflate,gzip;q=0.3
QUERY_STRING:  inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
REMOTE_PORT:  57036
HTTP_USER_AGENT:  libwww-perl/5.69
SERVER_PORT:  80
SERVER_SIGNATURE:  <address>Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8 Server at www.bti.net Port 80</address>

REMOTE_ADDR:  81.169.128.26
SERVER_PROTOCOL:  HTTP/1.1
PATH:  /sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin
REQUEST_URI:  //index.php?inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
GATEWAY_INTERFACE:  CGI/1.1
SERVER_ADDR:  205.238.131.195
REMOTE_HOST:  h57331.serverkompetenz.net
DOCUMENT_ROOT:  /var/www/html
HTTP_HOST:  www.bti.net
UNIQUE_ID:  SR6OsM3ug8MAADqfqXgAAAAC

------------------------------------------------------------------------------------------------------------------------

TIMESTAMP: Wed Nov  7 21:16:01 CST 2007
SCRIPT_NAME:  /cgi-bin/auto_abuse.pl
SERVER_NAME:  www.bti.net
SERVER_ADMIN:  admin@bti.net
HTTP_CONNECTION:  TE, close
REQUEST_METHOD:  GET
SCRIPT_FILENAME:  /var/www/cgi-bin/auto_abuse.pl
SERVER_SOFTWARE:  Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8
HTTP_TE:  deflate,gzip;q=0.3
QUERY_STRING:  inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
REMOTE_PORT:  57036
HTTP_USER_AGENT:  libwww-perl/5.69
SERVER_PORT:  80
SERVER_SIGNATURE:  <address>Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7e DAV/2 PHP/4.3.8 Server at www.bti.net Port 80</address>

REMOTE_ADDR:  81.169.128.26
SERVER_PROTOCOL:  HTTP/1.1
PATH:  /sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin
REQUEST_URI:  //index.php?inc=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
GATEWAY_INTERFACE:  CGI/1.1
SERVER_ADDR:  205.238.131.195
REMOTE_HOST:  h57331.serverkompetenz.net
DOCUMENT_ROOT:  /var/www/html
HTTP_HOST:  www.bti.net
UNIQUE_ID:  SR6OsM3ug8MAADqfqXgAAAAC


Wie könnte ich denn jetzt den Übeltäter Dingfest machen?
Die PID habe ich ja anhand des top's und der User ist wwwrun, scheint also ein Webscript zu sein oder?

Vielen Dank im Vorraus.

Sascha

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Problem - Server wird genutzt für Scannvorgänge

Post by Joe User » 2007-11-11 11:15

1.) Nutzdaten sichern
2.) Server runterfahren
3.) Sicherheitslöcher in den WebApps identifizieren und fixen
4.) Sicherheitskonzept überarbeiten
5.) Server reinitialisieren
6.) System vollständig updaten
7.) WebApps vollständig updaten
8.) Bugfixe aus 3.) einspielen
9.) Punkte 3.) 4.) 6.) 7.) 8.) regelmässig wiederholen

funkuch3n
Posts: 20
Joined: 2006-12-22 19:10

Re: Problem - Server wird genutzt für Scannvorgänge

Post by funkuch3n » 2007-11-11 11:19

Hmm, anders meinst du ist es nicht möglich? Weil so wäre es ziemlich umfangreich das alles zu machen zumal sich viele Nutzer aufm Server befinden.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Problem - Server wird genutzt für Scannvorgänge

Post by Roger Wilco » 2007-11-11 11:22

fUnKuCh3n wrote:Hmm, anders meinst du ist es nicht möglich?

Nein. Definitiv nicht.

funkuch3n
Posts: 20
Joined: 2006-12-22 19:10

Re: Problem - Server wird genutzt für Scannvorgänge

Post by funkuch3n » 2007-11-11 11:34

Gut, okay, dann dachte ich mir dass ich halt nen Confixx Backup Starte:

Code: Select all

h57331:~ # /root/confixx/backup.pl
MIME::Base64 object version 2.20 does not match bootstrap parameter 3.05 at /usr/lib/perl5/5.8.1/i586-linux-thread-multi/DynaLoader.pm line 249.
Compilation failed in require at /root/confixx/Modules/Backup/TableOperators.pm line 23.
BEGIN failed--compilation aborted at /root/confixx/Modules/Backup/TableOperators.pm line 23.
Compilation failed in require at /root/confixx/backup.pl line 48.
BEGIN failed--compilation aborted at /root/confixx/backup.pl line 48.
You have new mail in /var/mail/root
h57331:~ #


Womit kann das nun wieder zusammenhängen?

floogy
Posts: 150
Joined: 2007-10-23 22:00

Re: Problem - Server wird genutzt für Scannvorgänge

Post by floogy » 2007-11-11 13:24

Ich würde sagen, Du solltest erst mal MIME::Base64 object version 2.20 auf 3.05 upgraden?
Unter debian:

Code: Select all

$ apt-cache policy libmime-perl
$ apt-show-versions |egrep -v uptodate

Folgendes mal bei google eingeben:

Code: Select all

MIME::Base64 "object version"  "does not match bootstrap parameter" 

Wobei diese Anfrage eventuell noch ergiebiger sein könnte:
http://www.google.com/search?q=%2Fusr%2 ... m+line+249
http://search.cpan.org/dist/ExtUtils-Ma ... FAQ.pod#XS

base64 ist nicht uptodate, das steckt im perl-Paket, welches libmime-base64-perl ersetzt.

Code: Select all

$ apt-cache show perl |egrep base64

Das ist aber auf rpm basierten Distributionen bestimmt anders. Wichtig ist es zu wissen, wie Du ständig Deine Distribution aktuell hälst, weil sonst unweigerlich Sicherheitslücken entstehen, die wie Du ja nun selbst siehst dann auch ausgenutzt werden.
Am Besten also mal das Distributions-Handbuch lesen.
Last edited by floogy on 2007-11-11 13:53, edited 2 times in total.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Problem - Server wird genutzt für Scannvorgänge

Post by EdRoxter » 2007-11-11 13:30

Mindestens das Confixx-Backup solltest du übrigens auch täglich machen...

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Problem - Server wird genutzt für Scannvorgänge

Post by flo » 2007-11-11 13:32

fUnKuCh3n wrote:Weil so wäre es ziemlich umfangreich das alles zu machen zumal sich viele Nutzer aufm Server befinden.


Ein Server ist kein Selbstläufer - gerade wenn sich "fremde Daten" auf dem Rechner befinden, d.h. Du nicht alle Applikationen selber hochgeladen hast, ist es noch um einiges wichtiger, den Unterbau aktuell zu halten.

funkuch3n
Posts: 20
Joined: 2006-12-22 19:10

Re: Problem - Server wird genutzt für Scannvorgänge

Post by funkuch3n » 2007-11-11 18:19

EdRoxter wrote:Mindestens das Confixx-Backup solltest du übrigens auch täglich machen...


Mache ich auch täglich, jedoch werden dabei keine Confixx DB's und so gesichert ;-)

Und beim confixx Backup Script macht ers ja alles.


Im übrigen werd ich doch alles manuell sichern dann kann ichs auch wieder alles von Hand einspielen und joah sollte auch sicherlich klappen.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Problem - Server wird genutzt für Scannvorgänge

Post by timeless2 » 2007-11-12 08:49

fUnKuCh3n wrote:Und beim confixx Backup Script macht ers ja alles.

Solche Dinge solltest du prinzipiell überprüfen und dich nicht darauf verlassen. Aber du sagtest ja, du möchtest das zusätzlich manuell sichern.