hoi zäme, ich betreue "im nebenamt" einen rechner einer noprofit organisation. nun wurde einer ihrer backup rechner "gehackt" in einem verzeichnis gibt es eine reihe verdächtiger files. diese wurde offensichtlich aus dem archiv piata.tgz ausgepackt. boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt im archiv gibts noch eine datei mfu.txt mit ca 1000 ipaddressen, die aus einem b netz stammen. hat mir jemand einen hinweis, was hier wohl los war? der rechner wird ist eine virtuelle maschine, und kann gebügelt werden. gruss robert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo! Am 15.05.2010 08:46, schrieb robert rottermann:
hoi zäme, ich betreue "im nebenamt" einen rechner einer noprofit organisation. nun wurde einer ihrer backup rechner "gehackt"
in einem verzeichnis gibt es eine reihe verdächtiger files. diese wurde offensichtlich aus dem archiv piata.tgz ausgepackt.
boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt
im archiv gibts noch eine datei mfu.txt mit ca 1000 ipaddressen, die aus einem b netz stammen.
hat mir jemand einen hinweis, was hier wohl los war?
der rechner wird ist eine virtuelle maschine, und kann gebügelt werden.
Ich hatte das gleiche vor etwa 1 1/2 Monaten bei mir auf dem virtuellen Webserver unter openSUSE 11.1 Es Zeug war irrsinnig nervig, vor allem weil es ständig wieder gekommen ist. Selbst mit dem Einspielen von täglichen Online-Updates hatte nichts geholfen. Ich musste einen komplett neuen Server einrichten, gleich mit 11.2 Weiters habe ich bei der Gelegenheit SSH für diesen Server blockiert. Wähle mich nun über einen anderen, nicht so bekannten Host ein. -- LG Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 15.05.2010 09:06, schrieb Matthias Praunegger:
Hallo!
Am 15.05.2010 08:46, schrieb robert rottermann:
hoi zäme, ich betreue "im nebenamt" einen rechner einer noprofit organisation. nun wurde einer ihrer backup rechner "gehackt"
in einem verzeichnis gibt es eine reihe verdächtiger files. diese wurde offensichtlich aus dem archiv piata.tgz ausgepackt.
boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt
im archiv gibts noch eine datei mfu.txt mit ca 1000 ipaddressen, die aus einem b netz stammen.
hat mir jemand einen hinweis, was hier wohl los war?
der rechner wird ist eine virtuelle maschine, und kann gebügelt werden.
Ich hatte das gleiche vor etwa 1 1/2 Monaten bei mir auf dem virtuellen Webserver unter openSUSE 11.1 Es Zeug war irrsinnig nervig, vor allem weil es ständig wieder gekommen ist. Selbst mit dem Einspielen von täglichen Online-Updates hatte nichts geholfen. Ich musste einen komplett neuen Server einrichten, gleich mit 11.2 Weiters habe ich bei der Gelegenheit SSH für diesen Server blockiert. Wähle mich nun über einen anderen, nicht so bekannten Host ein.
da frag ich mich, wie kann denn einer überhaupt ein archiv uploaden und auspacken? dazu braucht er doch ein konto? wie kommt er an das? die maschine war sicher nicht auf sicherheit getrimmt, aber trotzdem.. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 15.05.2010 09:26, schrieb robert rottermann:
Am 15.05.2010 09:06, schrieb Matthias Praunegger:
Hallo!
Am 15.05.2010 08:46, schrieb robert rottermann:
hoi zäme, ich betreue "im nebenamt" einen rechner einer noprofit organisation. nun wurde einer ihrer backup rechner "gehackt"
in einem verzeichnis gibt es eine reihe verdächtiger files. diese wurde offensichtlich aus dem archiv piata.tgz ausgepackt.
boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt
im archiv gibts noch eine datei mfu.txt mit ca 1000 ipaddressen, die aus einem b netz stammen.
hat mir jemand einen hinweis, was hier wohl los war?
der rechner wird ist eine virtuelle maschine, und kann gebügelt werden.
Ich hatte das gleiche vor etwa 1 1/2 Monaten bei mir auf dem virtuellen Webserver unter openSUSE 11.1 Es Zeug war irrsinnig nervig, vor allem weil es ständig wieder gekommen ist. Selbst mit dem Einspielen von täglichen Online-Updates hatte nichts geholfen. Ich musste einen komplett neuen Server einrichten, gleich mit 11.2 Weiters habe ich bei der Gelegenheit SSH für diesen Server blockiert. Wähle mich nun über einen anderen, nicht so bekannten Host ein.
da frag ich mich, wie kann denn einer überhaupt ein archiv uploaden und auspacken? dazu braucht er doch ein konto? wie kommt er an das? die maschine war sicher nicht auf sicherheit getrimmt, aber trotzdem..
Mir ist es bis heute auch unklar. Damals habe ich vermutet, es liegt an den teilweise alten Joomla Installationen. /tmp und /var/tmp sind leider eventuell etwas "zu" offen was Dateirechte angeht. Aber du hast recht. Eigentlich darf so etwas überhaupt nicht vorkommen. In Wahrheit müssten ja sämtliche SUSE Installationen weltweit davon betroffen sein. Aber man hört und sieht nirgends etwas diesbezüglich. Hat der "Hacker" bei dir nicht dieses ssh-scan Skript (oder wie das geheißen hat) gestartet? Bei mir nämlich schon, und das führte dann immer zu 100% CPU Last. So etwas darf schon auf gar keinem Fall sein! -- LG Matthias desktop4education http://d4e.at/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag, 15. Mai 2010 09:26:20 schrieb robert rottermann: (...)
da frag ich mich, wie kann denn einer überhaupt ein archiv uploaden und auspacken? dazu braucht er doch ein konto? wie kommt er an das? die maschine war sicher nicht auf sicherheit getrimmt, aber trotzdem..
Ein beliebtes Einfallstor sind unsichere Anwendungen. Gästebücher, Forensoftware, CMS und so weiter. Alles, was interaktiv ist, kann im Prinzip missbraucht werden, wenn es Löcher hat. Es gibt regelrechte "Toolkits" für PHP, die eine komfortable Shell öffnen. Der Zugriff ist kein Problem - der Apache hat ja Zugriff, und damit auch alles, was der Apache im Huckepack mitbringt, also PHP, Perl und so weiter. Ich würde dir dringend empfehlen, die Kiste neu aufzusetzen. Nach so einem Einbruch kannst du dem, was dir die Maschine erzählt, nicht mehr trauen. Der nächste Schritt könnte darin bestehen, dass die Angreifer eine zweite Lücke im System ausnutzen, um ihre Rechte zu erweitern und möglicherweise sogar Root-Rechte zu bekommen. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 15.05.2010 09:38, schrieb Juergen Langowski:
Am Samstag, 15. Mai 2010 09:26:20 schrieb robert rottermann:
(...)
da frag ich mich, wie kann denn einer überhaupt ein archiv uploaden und auspacken? dazu braucht er doch ein konto? wie kommt er an das? die maschine war sicher nicht auf sicherheit getrimmt, aber trotzdem..
Ein beliebtes Einfallstor sind unsichere Anwendungen. Gästebücher, Forensoftware, CMS und so weiter. Alles, was interaktiv ist, kann im Prinzip missbraucht werden, wenn es Löcher hat.
Es gibt regelrechte "Toolkits" für PHP, die eine komfortable Shell öffnen. Der Zugriff ist kein Problem - der Apache hat ja Zugriff, und damit auch alles, was der Apache im Huckepack mitbringt, also PHP, Perl und so weiter.
Ich würde dir dringend empfehlen, die Kiste neu aufzusetzen. Nach so einem Einbruch kannst du dem, was dir die Maschine erzählt, nicht mehr trauen.
Der nächste Schritt könnte darin bestehen, dass die Angreifer eine zweite Lücke im System ausnutzen, um ihre Rechte zu erweitern und möglicherweise sogar Root-Rechte zu bekommen.
Jürgen
herzlichen dank der server steht in new york. aber das ganze ist eine VM die zu testzwecken erstellt wurde. offensichtlich waren die passworte nichts wert.. die VM bleibt nur so lange "am leben" bis wir herausgefunden haben, was passiert ist. dank der info aus diesem thread glaube ich zu verstehen was passiert ist. besten dank robert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 15.05.2010, robert rottermann wrote:
boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt
Was machen denn die Scripte, hast du sie dir mal angesehen? Wer hat uid/gid 1005 auf deinem Rechner?
der rechner wird ist eine virtuelle maschine, und kann gebügelt werden.
Bevor ich die Kiste plattmachen wuerde, wuerde ich versuchen herauszufinden, wie der Muell da reinkam. Ansonsten ist die Chance gross, das das gleiche auch wieder auf der neu eingerichteten Maschine passiert. Erste Ansatzpunkte sind die uid 1005 sowie die allgemeinen logfiles, und speziell die vom sshd und iptables. Ich wuerde dir auch vor dem ersten Online-Betrieb dringend raten, aide aufzusetzen und die Datenbank auf einen Stick zu sichern, bzw. gleich ein Sicherheitskonzept dafuer auszuarbeiten. http://www.cs.tut.fi/~rammer/aide.html -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 15.05.2010 10:38, schrieb Heinz Diehl:
On 15.05.2010, robert rottermann wrote:
boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt
Was machen denn die Scripte, hast du sie dir mal angesehen? Wer hat uid/gid 1005 auf deinem Rechner?
der rechner wird ist eine virtuelle maschine, und kann gebügelt werden.
Bevor ich die Kiste plattmachen wuerde, wuerde ich versuchen herauszufinden, wie der Muell da reinkam. Ansonsten ist die Chance gross, das das gleiche auch wieder auf der neu eingerichteten Maschine passiert.
Erste Ansatzpunkte sind die uid 1005 sowie die allgemeinen logfiles, und speziell die vom sshd und iptables. Ich wuerde dir auch vor dem ersten Online-Betrieb dringend raten, aide aufzusetzen und die Datenbank auf einen Stick zu sichern, bzw. gleich ein Sicherheitskonzept dafuer auszuarbeiten.
tja, der rechner steht in new york. schwierig mit dem stick und so.. mich wundert, woher die uid 1005 kommt., da auf dem rechner kein user angelegt ist gruss robert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Sat, May 15, 2010 at 01:11:21PM +0200, robert rottermann wrote:
Am 15.05.2010 10:38, schrieb Heinz Diehl:
On 15.05.2010, robert rottermann wrote:
boat:/mnt/wv/var/tmp/piata# ls -l total 1340 -rwxr-xr-x 1 1005 1005 659 Feb 1 2008 a -rwxr-xr-x 1 1005 1005 216 May 18 2005 auto -rwxr-xr-x 1 1005 1005 283 Nov 25 2004 gen-pass.sh -rwxr-xr-x 1 1005 1005 93 Apr 18 2005 go.sh -rwxr-xr-x 1 1005 1005 3253 Mar 5 2007 mass -rwxr-xr-x 1 1005 1005 13643 Apr 21 22:02 pass_file -rwxr-xr-x 1 1005 1005 21407 Jul 21 2004 pscan2 -rwxr-xr-x 1 1005 1005 453972 Jul 12 2004 ss -rwxr-xr-x 1 1005 1005 842736 Nov 24 2004 ssh-scan -rw-r--r-- 1 1005 1005 133 Apr 25 04:58 vuln.txt
Was machen denn die Scripte, hast du sie dir mal angesehen? Wer hat uid/gid 1005 auf deinem Rechner?
der rechner wird ist eine virtuelle maschine, und kann gebügelt werden.
Bevor ich die Kiste plattmachen wuerde, wuerde ich versuchen herauszufinden, wie der Muell da reinkam. Ansonsten ist die Chance gross, das das gleiche auch wieder auf der neu eingerichteten Maschine passiert.
Erste Ansatzpunkte sind die uid 1005 sowie die allgemeinen logfiles, und speziell die vom sshd und iptables. Ich wuerde dir auch vor dem ersten Online-Betrieb dringend raten, aide aufzusetzen und die Datenbank auf einen Stick zu sichern, bzw. gleich ein Sicherheitskonzept dafuer auszuarbeiten.
tja, der rechner steht in new york. schwierig mit dem stick und so.. mich wundert, woher die uid 1005 kommt., da auf dem rechner kein user angelegt ist
Ich vermute das ist ein SSH scanner und ein zu leichtes SSH Passwort war der Einbruchsvektor. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 15.05.2010, robert rottermann wrote:
tja, der rechner steht in new york. schwierig mit dem stick und so..
Maschine neu einrichten, aide einrichten und Datenbank erstellen, dann die Datenbank von N.Y. nach Hause laden und wegkopieren. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Noch was. Sieh dir mal das hier an: http://www.shellperson.net/hacked-ssh-bruteforce/ http://isp-lists.isp-planet.com/isp-linux/0507/msg00027.html Hier noch eine Erklärung, was die Dateien machen: gosh.tgz: a bunch of things we’ve seen already ssh-scan, ss: ssh brute-forcer & tool; based on libssh-0.1 pscan2: a port scanner a, go.sh: ssh-scan supporting scripts mfu.txt: a list of IPs serving SSH(?) vuln.txt: a file to hold successfully brute-forced hosts gen-pass.sh: combines a user list & password list into a single list secure.sh: checks if user is root, moves mail to s8 if user is root http://paulmakowski.wordpress.com/2009/09/30/from-pass_file-to-script- kiddies/ Möglicherweise wird dein Rechner benutzt, um weitere Maschinen zu knacken. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Heinz Diehl
-
Juergen Langowski
-
Marcus Meissner
-
Matthias Praunegger
-
robert rottermann