On Fri, 18 Jan 2008 10:29:34 +0100, Ralf Schneider <ml@tapfere-schneiderleins.de> wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Beliebte Einfallstore sind unsichere PHP-Skripte, z.B. Content-Management-Systeme, Gästebücher, Formulare. Wir hatten mal eine Lücke in Joomla (facileforms, falls sich jemand erinnert), durch die uns ein Angreifer sein Zeugs installiert hat. Zum Glück zwar nicht mit Root-Rechten, aber es war auch so schon schlimm genug. Du müsstest die gesamte Software auf den neuesten Stand bringen und weiterhin dafür sorgen, dass nur die Dienste nach außen angeboten werden, die auch wirklich nötig sind. Wenn du die Domain z.B. nur für Email benutzt, kannst du den Webserver abschalten = ein Einfallstor weniger. Was nicht da ist, kann nicht missbraucht werden. Auch wichtig: Root-Login in der SSH-Konfiguration unterbinden, Anmelden nur mit Keys erlauben. Allerweltspasswörter beim Root-Account sind ebenfalls ein Einfallstor für Brute-Force-Angriffe. Weitere Informationen zur Serversicherheit gibt es z.B. hier: http://www.rootforum.de/forum/ Auf jeden Fall musst du den Server vom Netz nehmen und neu aufsetzen. Da der Eindringling Root-Rechte hat, könnte dein Server inzwischen schon zu allen möglichen unerfreulichen Dingen benutzt werden, die ein geschickter Angreifer außerdem vor dir verbergen könnte. Massenhafter Versand von Spam-Mails, Denial-of-Service-Angriffe auf kommerzielle Websites samt Erpressung, nicht zuletzt auch Filesharing und natürlich die Verbreitung von Kinderpornos kämen da infrage. Dies sind die häufigsten Motive, warum die Virenhersteller Botnetze aufbauen und vermieten, und in einem Botnetz aus privaten PCs ist ein gahackter Rootserver so was wie ein kleiner Hauptgewinn. Da es dein Server ist, hältst du auch erst mal den Kopf für alles hin, was die Maschine macht, und damit ist nicht zu spaßen (auch strafrechtlich). Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org