Hallo Tol, hallo Leute, Am Mittwoch, 11. Februar 2004 09:38 schrieb Tol:
Sascha Teifke wrote:
Mein erster Gedanke war, sofort alles "platt" und neu machen! Aber muß das wirklich sein?
Nein, ... solange wirklich nur die index.* Seiten modifziert wurden ...
Hmm .. ich hab mal mit find alle Dateien gesucht, die am fraglichen Tag verändert wurden und da habe ich nur diese index.* Files gefunden. Aber das heisst jetzt bestimmt noch gar nix, oder??
Nicht zwingend - per touch kann man das Dateidatum nach Belieben setzen.
[...]
Ist PHP installiert?
Jup, in der Version 4.2.1
Ist der Safe-Mode aktiviert?
Nein. da gab es ein paar Punkte, die mich den wieder deaktivieren ließen ... weiß jetzt nicht mehr genau, was das war. Upload? MaxUploadSize? UploadPath? Irgendwas in der Richtung glaub ich ...
UploadPath wird eher von OpenBasedir beschränkt, ansonsten prüft der SafeMode z. B., ob der Eigentümer des Scripts zum Eigentümer des Upload-Verzeichnisses passt usw.
Welche Version hat der SSH-Server?
Ähmmm ... wie bekomm ich das raus? In der man-page steht etwas von 25.Sept.'99, aber das glaub ich nicht so recht ...
rpm -q openssh oder einfach ssh -V
Welche anderen Dienste laufen auf dem Rechner? Schonmal einene Portscan auf Deiner Maschine gemacht?
Weißt Du inzwischen, auf welchem Weg der Angriff erfolgte? Das wäre schonmal eine wichtige Info. Falls nicht, checke mal die Logfiles aller laufenden Dienste auf Auffälligkeiten.
21/tcp open ftp
Ist der evtl. löchrig? Irgendwelche "ungewöhnliche" Ansammlung von Logins in den Logfiles? Logins zu ungewöhnlichen Zeiten?
22/tcp open ssh
Auch hier: "Zu viele"/"ungewöhnliche" Logins in den Logfiles?
25/tcp open smtp 80/tcp open http
Auch wenn Du die Apache-Logs schon geprüft hast, frage ich nochmal: Irgendwelche komischen Querystrings oder POST-Einträge? Hast Du PHP-Scripte oder größere PHP-Applikationen laufen, die möglicherweise Sicherheitslücken enthalten?
110/tcp open pop3 113/tcp open auth 3306/tcp open mysql 7070/tcp open realserver 8009/tcp open ajp13 9090/tcp open zeus-admin
Die letzten 3 sagen mir jetzt recht wenig.
Bis auf den 113/Auth kann ich auch alles zuordnen ...
Der ist IMHO auch überflüssig, dürfte aber nicht das Problem sein.
Wäre dies nicht der geeignete Zeitpunkt um ein Update auf eine aktuelle Version zu machen? Sicherlich, wenn dieses 7.1er Release ordenlich gepflegt ist muss es ja nicht sein, dass die Versionen der einzelnen Applikationen "löchrig" sind, aber gerade Apache hat schon einige sicherheitsrelevante Updates erfahren seit 1.3.24 ( http://www.apacheweek.com/features/security-13 ).
Hmmm ... also, der totale Susefreak bin ich leider noch nicht und hab da ein paar Bedenken, dass das alles so glatt läuft. Ich hab zB qmail und vpopmail installiert und ich glaub unter Suse 8.x laufen die schon so ohne weiteres nicht mehr ... Will mir da, wenn es geht, nicht unbedingt selbst n Bein stellen :-/ Aber den Apache mal neu einzubinden wäre vermutlich wirklich n gute Idee - so oder so ;-) Und n neueres PHP kann sicher auch nicht schaden ;-)
Das Problem an der 7.1 ist, dass es seit längerer Zeit keine Updates mehr von SuSE gibt. Vermutlich (IMHO) ist ein Update auf eine aktuelle SuSE einfacher als alle Pakete, die in suse-security-announce genannt werden, selbst zu kompilieren. (David, Du darfst gern widersprechen ;-)
Also, was weiß ich nun alles? - chrootkit findet keine Rootkits - perlscripte sind bis auf eins keine online - die index-dateien sind die einzigen, die zu dieser fraglichen Uhrzeit verändert wurden
Was meinen Verdacht erstmal auf FTP lenkt (oder ein löchriges PHP-Script)
- über rpm hab ich keine Veränderungen feststellen können
Das ist schonmal gut (auch wenn man nie ausschließen kann, dass die RPM-DB gleich mit manipuliert wurde) [...]
Ach! Und noch was! Sollte eigentlich n eigener Thrad werden, aber bin noch nicht dazu gekommen. Vielleicht ist es ja trotzdem auch an dieser Stelle wichtig: Der Rechner schmiert manchmal komplett weg!! Kein Dienst ist dann mehr erreichbar - bis auf den Ping! Der lebt noch! Aber sonst sshd, httpd, mysqld, qmaild, ... alles weg. Da hilft dann nur noch der Anruf im Rechenzentrum und ein Reset per Button.
Hat jemand ne Idee dazu?
Findet sich dazu was in /var/log/messages? Gruß Christian Boltz --
Entwickelt mein Rechner ein Eigenleben? Klar, das machen doch alle Rechner. Kann er das nicht in _seiner_ Freizeit ausleben? [> Helga Fischer und Hans-Alexander Leukert in suse-linux]