Prozess ./a hört auf Port 60666 mit telnet shellzugang

L

lukewill

Mitglied
Hallo,

ich habe natürlich noch nicht alle entsprechenden Tutorials gelesen, von daher möge man mir etwas Unwissenheit verzeihen. Nun zu meinem Problem:

Ich habe auf meinem Server festgestellt das dort ein Prozess "./a" läuft. Dieser Prozess ist von wwwrun gestartet. Die Datei habe ich auch gefunden liegt im /tmp. Dieses Demon hört auf Port 60666, wenn ich nun auf dem Server ein telnet localhost 60666 machen, bekomme ich einen Shellzugang -ohne Passworteingabe natürlich- als wwwrun und kann freudig in Dateisystem umherschlendern.

Den Prozess habe ich natürlich beendet und die Datei kann ich natürlich auch löschen, mich würde aber viel mehr interessieren wie die Datei da hin gekommen ist und wie dieser Prozess gestartet wird.

Dann stelle ich noch fest, das in den letzten Tagen jemand versucht das rootpasswort bzw. eine passende User/passwort-kombi raus zu bekommen, im log sieht man auf jeden Fall über stunden fehl geschlagene Versuche. Dazu direkt noch ne Frage: Macht es Sinn die ip-adresse zu verfolgen und ggf. dem Provider ne Nachricht zu schicken?

Ein paar technische infos noch.

rootserver bei server4you
kernel 2.4.21
apache 2.0.48
suse 9.0

offene Ports http, pop3, imap, ssh, 10000, 389, 53

Vielen Dank schon mal
L
 
damit hast du das problem nicht gelöst der angreifer konnte einmal das programm installieren folglich kann er es auch ein 2tes mal...
also sei auf der hut den der angreifer weiß nun das du weißt das er da ist...
 
hi,

ich würde dir auch installation eines tools wie aide oder tripwire raten, damit du feststellen kannst ob programme auf dem server ausgetauscht wurden.
mfg
Mauser
 
also ich würde eine neu-installation vorschlagen...
fest steht ds sich wohl jemand zugang verschaft hat ,,, und weiter ausspioniert.
ich würde, aus neugier, mal diesen netz-verkehr tracen (ethereal, snoop, tcpdump...). einfach um zu sehen was und wohin das übertragen wird.
 
Also,

ich habe mal den rkhunter laufen lassen. Es werden nur 4 Programme als Vulnerable angezeigt:
  • GnuPG 1.2.2
  • OpenSSL 0.9.7b
  • PHP 4.3.3
  • Procmail MTA 3.15.1

ausser PHP nutze ich keinen der Verdächtigen. Dann wird noch eines als unkown angezeigt: OpenSSH 3.7.1p2

Alle anderen Ausgaben sind im grünen Bereich.

Ich habe das Programm im /tmp mal durch ein Schript ersetzt, sollte derjenige also noch mal vorbei kommen müsste ich das mit bekommen.

Gegen eine neuinstallation habe ich grundsätzlich nichts, ich möchte nur vorher wissen wie das ganze abgelaufen ist. Sonst nutzt die schönste neuinstallation nix. Vielleicht habe ich die Lücke aber auch durch das letzte update geschlossen, aber um das zu entscheiden muss ich ebenfalls wissen was abgegangen ist.

Übrigens, kann ich jemanden mit den programm "a" glücklich machen :sly: , ahhh bzw. hat da jemand interesse daran :D

Viele Grüße und Danke
L
 
error-log

Hallo nochmal,

hier ein paar info aus der apache errorlog:

Code:
[Wed Sep 22 15:33:56 2004] [error] [client 211.196.64.90] user database not found: /
[Wed Sep 22 15:34:01 2004] [error] [client 211.196.64.90] user database not found: /
--22:42:48--  http://membres.lycos.fr/hiddenseeker/telnetd
           => `telnetd'
Resolving membres.lycos.fr... done.
Connecting to membres.lycos.fr[212.78.204.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]

    0K .......... .......... .......... .......... .......... 30%  157.23 KB/s
   50K .......... .......... .......... .......... .......... 60%  292.40 KB/s
  100K .......... .......... .......... .......... .......... 90%  396.83 KB/s
  150K .......... ......                                     100%  519.20 KB/s

22:42:49 (257.52 KB/s) - `telnetd' saved [170613/170613]

script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
script not found or unable to stat
--16:50:42--  http://mystery.hostrocket.com/a.tgz
           => `a.tgz'
Resolving mystery.hostrocket.com... done.
Connecting to mystery.hostrocket.com[216.120.237.78]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8,086 [application/x-tar]

    0K .......                                               100%   78.18 KB/s

16:50:44 (78.18 KB/s) - `a.tgz' saved [8086/8086]

[Wed Sep 29 03:08:03 2004] [error] [client 218.72.115.62] user  not found: /
[Wed Sep 29 13:17:35 2004] [notice] caught SIGTERM, shutting down
[Wed Sep 29 13:18:49 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Sep 29 13:18:49 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Wed Sep 29 13:18:50 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
[Wed Sep 29 22:18:36 2004] [error] [client 80.230.24.63] user  not found: /
[Wed Sep 29 22:18:37 2004] [error] [client 80.230.24.63] user admin not found: /

......

[Fri Oct 01 12:47:28 2004] [error] [client 211.220.255.239] user wwwadmin not found: /
--15:34:39--  http://mystery.hostrocket.com/a.tgz
           => `a.tgz.1'
Auflösen des Hostnamen »mystery.hostrocket.com«.... fertig.
Verbindungsaufbau zu mystery.hostrocket.com[216.120.237.78]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 8,086 [application/x-tar]

    0K .......                                               100%   78.18 KB/s

15:34:40 (78.18 KB/s) - »a.tgz.1« gespeichert [8086/8086]

script not found or unable to stat
script not found or unable to stat
[Sat Oct 02 16:24:40 2004] [notice] caught SIGTERM, shutting down
[Sat Oct 02 16:25:38 2004] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Sat Oct 02 16:25:38 2004] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Sat Oct 02 16:25:38 2004] [notice] Apache/2.0.48 (Linux/SuSE) configured -- resuming normal operations
script not found or unable to stat
[Sat Oct 02 19:56:31 2004] [notice] caught SIGTERM, shutting down

Vielleicht sagt dies ja jemanden etwas, mir noch nicht. Die Datei kann man sich immer noch an der Stelle ziehen

Viele Grüße
L
 
mach ein whois und schreib dem besitzer des servers/domain eine mail...
das wenn nicht bald die backdoor verschwindet du rechtliche schritte einleiten wirst *G
das ganze könnet aber auch einfach eine leichtbearbeitete version von nc sein mehr braucht man nicht um eine remote shell zu bekommen.
aber eins steht fest es war kein profi sonst hätte er seine prozesse besser getarnt...
 
stimmt, eine prozess nur "a" zu nennen ... ist schon sehr stümperhaft.
trotzdem werd ich mir das teil mal selber saugen :D ... und mal genauer angucken.
 
ch-b schrieb:
a: Linux.RST.B FOUND <- Gratulation du hast nen Virus :(

Ich habe mich auch schon den ganzen Tag soo schlecht gefühlt.

qmasterrr schrieb:
In letztertzeit fragwürdige/rechtunbekannte software installiert?

Nicht wirklich. Wenn ich spielen oder was ausprobieren will mache ich das zuhause.

Hier (http://vil.nai.com/vil/content/v_99978.htm ) steht dann auch noch:

Note that the virus doesn't make use of a vulnerability to gain higher permissions like root rights so the infection will not be successfull for regular users


Die anderen Auswirkungen geänderte files in /bin kann ich auch nicht entdecken. Es sieht also erst mal so aus als ob nix passiert ist. Ich habe mir dann noch überlegt:

Das Teil hat auf port 60666 gelauscht, der Port ist aber in der Firewall gesperrt bzw. Verbindungsaufbau auf diesem Port ist nicht erlaubt. Damit kann doch über diesen Port keiner in das System eingedrungen sein. Dann hört der noch auf Port 80, den dürfte er doch als wwwrun gar nicht belegen und da liegt ja auch der Apache. Damit dürfte aus dieser Richtung auch keine Gefahr drohen. Ich habe mir dann noch die logfiles angeschaut und stelle auch da nix verdächtiges fest.

Ich will mir das jetzt nicht schön reden, aber es sieht nach noch mal Glück gehabt aus :bounce:

Wie seht Ihr das?

Viele Grüße
L
 
ich pers. hätte dabei ein schlechtes bauch-gefühl aber das muss jeder selbst wissen :-)
 
qmasterrr schrieb:
scan dein system doch wie ch-b schon gesagt hat mit http://www.clamav.net/ dann weißt du wie es um dein sys steht...

Erledigt. Kein Befund.

Ich bin allerdings immer noch neugierig wie denn die Datei da hin gekommen ist und wie derjenige es geschafft hat das Teil auszupacken und zu starten. hat jemand vielleicht noch ne idee?

Viele Grüße
und vielen Dank an alle die sich Gedanken über das Problem gemacht haben.

L
 
also ich tippe immernoch auf fragwürdige software...
btw: schon alle pws geändert?
 
Du hast doch geschrieben, dass Du php benutzt. Hast Du irgendwo ein FORM drinne, mit dem man uploads machen kann? Evtl. hat hierueber jemand was einschleusen koennen.
 
qmasterrr schrieb:
also ich tippe immernoch auf fragwürdige software...
btw: schon alle pws geändert?

Jo, passwords sind geändert.

Zuletzt installiert wurde: postfix und openldap ansonsten ist das ein Standard Suse 9.0.

Mein Tip geht eher in die Richtung lasche php - Konfiguration, das ist allerdings jetzt vorbei. Es könnte natürlich auch ein apache-bug sein. Ich denke ich komme um umfangreiche Forschungsaktivitäten nicht rum.

Installierte phpscripte sind phpmyadmin und Mambo (OS CMS, da ist mir aber kein Problem bekannt)

Cybermarc schrieb:
Du hast doch geschrieben, dass Du php benutzt. Hast Du irgendwo ein FORM drinne, mit dem man uploads machen kann? Evtl. hat hierueber jemand was einschleusen koennen.

Meines Wissens keines das einfach so zugänglich ist.

Viele Grüße
L
 
Zurück
Oben