ausgehende DoS-angriffe / komische .tgz-dateien

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

ausgehende DoS-angriffe / komische .tgz-dateien

Post by Anonymous » 2007-12-30 14:40

Hallo

wünsche euch erstmal einen wunderschönen (erholsamen) Nachmittag, den ich momentan leider nicht genießen kann :(

Habe folgendes Problem: vor zwei Tagen wurden von meinem Server DoS-Attacken losgeschickt... habe soweit alles gesichert, rkhunter durchlaufen lassen, scripte überprüft und verzeichnisse gecheckt...

nun ist mir dabei im verzeichnis /tmp folgendes aufgefallen... dateien von einem benutzer "30" (der irgendwie gar nicht existiert)

die dateien lauten wie folgt:

xk.tgz
aaa.tgz
mech.tgz
ircstealth.tgz

die dateien gibts hier im anhang (da waren noch ein paar komische vbuploadXXXX dabei)

http://www.file-upload.net/download-583213/tmp.rar.html

habe aber selber in den letzten tagen nichts gemacht also gehe ich davon aus dass dies die "bösen" dateien sind, aber nun meine fragen

was richten die an? aber woher kommen die dateien?

habe schon gegoogelt, aber außer dass es was mit SSH-scanning zu tun hat?


root-zugang ist bei mir auf dem server erlaubt, er steht ja auch in einem rechenzentrum, also wäre das quatsch wenn ich den root zugang unterbinde oder?

freue mich auf eure antworten

danke

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: ausgehende DoS-angriffe / komische .tgz-dateien

Post by Roger Wilco » 2007-12-30 15:43

Der Benutzer mit der UID 30 ist bspw. in SuSE Linux wwwrun, also der Benutzer, unter dem der Apache httpd ausgeführt wird. Das lässt darauf schließen, dass der Angreifer über ein unsicheres Perl/PHP/$Whatever-Skript auf dein System gekommen ist.
Auf jeden Fall solltest du jetzt deine Nutzdaten und wenn möglich ein Image des kompromittierten Systems sichern, deine Skripte auf Lücken überprüfen und anschließend das System neu aufsetzen.

Bezüglich SSH und Login als root benutzt du bitte die Suchfunktion.

Anonymous

Re: ausgehende DoS-angriffe / komische .tgz-dateien

Post by Anonymous » 2007-12-30 16:42

ok, danke soweit!

habe gerade ein paar log-dateien durchgeschaut und da sind folgende komische einträge zu finden:


Code: Select all

[Fri Dec 28 04:28:25 2007] [notice] Apache/2.0.50 (Linux/SUSE) configured -- resuming normal operations
[Fri Dec 28 04:28:25 2007] [warn] long lost child came home! (pid 12015)
[Sat Dec 29 04:17:19 2007] [notice] Graceful restart requested, doing restart
[Sat Dec 29 04:17:19 2007] [error] VirtualHost xx.xx.xx.xx:80 -- mixing * ports and non-* ports with a NameVirtualHost address is not supported, proceeding with undefined results


aber was mich am meisten stutzig macht:

Code: Select all

sh: /srv/www/htdocs/empty/cd: Permission denied


was hat dies zu bedeuten?

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: ausgehende DoS-angriffe / komische .tgz-dateien

Post by flo » 2007-12-30 17:07

Roger Wilco wrote:Auf jeden Fall solltest du jetzt deine Nutzdaten und wenn möglich ein Image des kompromittierten Systems sichern, deine Skripte auf Lücken überprüfen und anschließend das System neu aufsetzen.