Cracker - was nun ?

Willibold

Grünschnabel
Beiträge
5
Ich habe einen Server (Apache, Mysql, ssh, Samba, Mythtv, mediathomb, tftp, dhcp und bind) mit 2 Netzwerkkarten und ne 16000er DSL
-eine im internen Netz mit XXX.XXX.128.XXX
-eine für den Internetzugriff xxx.xxx.178.xxx

Das Interne Netz geht über Masquerading über diesen Server online
Die Karte für extern ist an den WLAN Router angeschlossen
Die interne an einen Switch
zusätzlich hat der WLAN Router einen LAN Verbindung zum Schwitch (Damit WLAN auch ins Interne Netz kommt)

Hat bisher immer gut funktioniert seit kurzen stürtz mir oft (8-10 Mal) der WLAN Router ab - dabei bootet dieser komplett neu und ist erst wieder einsetzbar wenn ich das Kabel zur Externen Karte entfernen und den Stecker ziehe
Danach lag mir die Vermutung eines Angriffs von außen nahe (susefirewall on)

Nun habe ich folgendes herausgefunden:

cron macht minütlich dies hier : /tmp/.,/update >/dev/null 2>&1

anschließend gibt es einen neuen Prozess crond als wwrun gestartet

und jetzt die ausgabe von ss
ESTAB 0 21 [Meine externe IP]:35477 61.153.224.178:afs3-fileserver

Die Ziel IP (61.153.224.178) liegt in China (lt. UTRACE.de)

wenn ich den Prozess crond kille ist die Verbindung wieder weg. Seit dem schon 18h Ruhe alles funkt. wie vorher)

ein Eintrag in HOST.deny ALL: 61.153.224.178 bringt keine Ergebnisse (vermute die Verbindung wird durch meinen server aufgebaut)


Habe mittlerweile eindeutig festgestellt das sich jemand mit www rechten Zugriff verschafft hat

Dabei hat er (der jemand) im /tmp Ordner 2 Verzeichnisse angelegt ./ und ../ in diesem liegen diverse Dateien unter anderem ein crond binary (gh mal davon aus das dies der afs3 fileserver ist) da mir irgendein befehl angezeigt hat das dieser den Port 35477 offen hält

Leider hilft das Abschießen des crond aus dem tmp Ordner nicht - hatt in der nacht doch noch besuch, (Anderung in ner datei in tmp)

1. und wichtigste Frage - was hat er gesehen ? Ich denke mal als wwwrun kann er nicht viel machen oder hat er sich durch den afs3 Server höhere Rechte verschafft ?

2. Was kann ich unternehmen ? Liege ich mit meiner Vermutung richtig das er wahrscheinlich über den http-server rein ist ? (da wwwrun)

3. hilft es jetzt noch ein indru... ich meine snort oder sowas zu installieren ?

HILFE
 
Zuletzt bearbeitet:

HeadCrash

Routinier
Beiträge
496
Abend,

das Probleme dürfte sein, dass du dir nie 100% sicher sein kannst, ob die Maschine wirklich wieder sauber bekommen hast.

Da hier Dienste alls wwwrun laufen, liegt die Vermutung nahe, dass es irgendwie über den Apachen gelaufen ist. Das muss nicht zwangsweise ein Problem des Apachen selbst sein, sondern kann eventuell auch durch eine darauf laufende Applikation (typo3, wordpress, what-ever) geschehen sein.

Intrusion Detection Systeme, ala snrot, alamieren dich nur wenn sie etwas entdecken, dazu müssen sie aber gepflegt und ihre Logfiles ausgewertet werden, im Nachhinein dürfte das recht wenig helfen.

mfg
HeadCrash
 

saeckereier

Graue Eminenz
Beiträge
1.920
Grundregel: Sobald in ein System eingebrochen wurde, wird das System gesichert um Beweise zu sichern und den Einbruch nachvollziehen zu können und dann komplett neu eingerichtet.
 

Willibold

Grünschnabel
Beiträge
5
Abend,

das Probleme dürfte sein, dass du dir nie 100% sicher sein kannst, ob die Maschine wirklich wieder sauber bekommen hast.

Genau das ist meine Befüchtung

im Nachhinein dürfte das recht wenig helfen.

Das habe ich mir auch dedacht - aber gibt es eine Soft, die mir im Nachhinein hilft herauszufinden wo er genau rein kam ?

Hab zwar ne Vermutung (phpMyAdmin - Setup Script) - bin mir aber gar nicht sicher
 

Willibold

Grünschnabel
Beiträge
5
Grundregel: Sobald in ein System eingebrochen wurde, wird das System gesichert um Beweise zu sichern und den Einbruch nachvollziehen zu können und dann komplett neu eingerichtet.

Das werde ich tun, der Server ist erstmal vom Netz und off .

- was ist für die Neueinrichtung zu empfehlen also z.b. eine Soft alla snort (was einfacheres wäre mir natürlich lieber)

- ist opensuse generell eher ungeeignet ? Lieber eine andere Distri. ?

- bringt die Installation von squid mehr Sicherheit in Bezug au den o.g. Fall


Vielen Dank an alle die helfen
 

doc

Kaffeetrinker
Beiträge
586
die distri (wenn aktuell) ist in der regel das geringste problem, schon eher, das du nicht rechtzeitig updatest, oder irgendwelche (fremd)software installiert hast und diese nicht pflegst. phpmyadmin sollteste nur ausm lokalen netz erlauben, von aussen generell nur zulassen was wirklich nötig ist.

was intrusion detection angeht macht http://www.ossec.net/ nen netten eindruck, auch gerne in verbindung mit snort.
 

Willibold

Grünschnabel
Beiträge
5
Ich habe gelesen, dass der af2s Server unabhäning von den System Benutzerrechten arbeitet, heist das dass er auch aus den rechten mit den er gestartet wurde (wwrun) "ausbrechen" kann und so auf die Dateien andere Nutzer zugreifen kann ?
 

Ähnliche Themen

Keine Zugriff von Windows 10 auf Sambafreigaben

dhcp, arpwatch, flip-flop, iPhone

serverinfrastruktur für öffentliches Netz einrichten, Brauche Informationen

Squid als RPCoHTTPS Proxy für Outlook Anywhere

Routerproblem !! Ping in anders NEtz möglich, jedoch kein PING zu öffentlichen IP's

Oben