Tomcat: Was ist das ? /usr/share/tomcat6/webapps/ApacheLoader
Hi, ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr ! Weiss einer von Euch was das ist ? Gleichzeitig hat dieser Prozess eine offene Verbindung auf eine IP in Luxemburg, auf der ca. alle 90 Sekunden kleine Datenpakete hin und her fliegen, in denen entweder "PING" oder "PONG" drin steht, je nach Richtung der Pakete. Die Verbindung geht auch auf einen ungewöhnlichen Port: 13122. Das gefällt mir alles gar nicht ... Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik Gebäude 35.34 - Raum 208 HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 2294 http://www.helmholtz-muenchen.de/idg Leute, versauft's nit Euer ganzes Geld. Kauft lieber Bier davon ! Karl Valentin Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 1 Mar 2013 22:09:08 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Da stimmt einiges nicht zusammen. Die Verzeichnisstruktur entspricht der einer Webapplikation von Tomcat, nur dass die jars normalerweise in einem Unterverzeichnis libs/ statt webapps/ liegen. Die cataline.jar klingt nur ähnlich (!) wie die catalina.jar, welches mehr oder minder die zentrale Lib eines Tomcat ist, dann aber unter tomcat6/libs/ liegt (IIRC, jedenfalls nicht unterhalb webapps/). Insbesondere sieht der Aufruf von Tomcat6 im "ps ax" ganz anders aus, weil da der JVM (java) jede Menge Parameter übergeben werden. Außerdem braucht Tomcat normalerweise mehr Arbeitsspeicher. Es gibt zwar spezialisierte Tomcat-Installationen, aber die verwenden keine Standard-Verzeichnisse und -Dateinamen von Tomcat6.
Das gefällt mir alles gar nicht ...
Will keine Panic nicht verbreiten, aber wie mir scheint: Zu recht! Sieht so aus, als hätte da jemand einen Weg auf Dein System gefunden und eine Java-Applikation gestartet. Um ein reverse engineering zu verhindern, ist es bei Java sicher eine gute Idee, die Datei nach erfolgreichem Start vom Dateisystem wieder zu entfernen. War auf dem Server früher mal ein Tomcat6 installiert? -- Gruß, Tobias. xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Tobias schrieb:
Am Fri, 1 Mar 2013 22:09:08 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Da stimmt einiges nicht zusammen. Die Verzeichnisstruktur entspricht der einer Webapplikation von Tomcat, nur dass die jars normalerweise in einem Unterverzeichnis libs/ statt webapps/ liegen. Die cataline.jar klingt nur ähnlich (!) wie die catalina.jar, welches mehr oder minder die zentrale Lib eines Tomcat ist, dann aber unter tomcat6/libs/ liegt (IIRC, jedenfalls nicht unterhalb webapps/). Insbesondere sieht der Aufruf von Tomcat6 im "ps ax" ganz anders aus, weil da der JVM (java) jede Menge Parameter übergeben werden. Außerdem braucht Tomcat normalerweise mehr Arbeitsspeicher. Es gibt zwar spezialisierte Tomcat-Installationen, aber die verwenden keine Standard-Verzeichnisse und -Dateinamen von Tomcat6.
Das gefällt mir alles gar nicht ...
Will keine Panic nicht verbreiten, aber wie mir scheint: Zu recht!
Sieht so aus, als hätte da jemand einen Weg auf Dein System gefunden und eine Java-Applikation gestartet. Um ein reverse engineering zu verhindern, ist es bei Java sicher eine gute Idee, die Datei nach erfolgreichem Start vom Dateisystem wieder zu entfernen.
War auf dem Server früher mal ein Tomcat6 installiert?
Hallo, da ist z.Zt. ein tomcat 6 installiert: vm53200-12:/var/log/apache2 # rpm -qa|grep -i tomcat tomcat6-docs-webapp-6.0.18-20.35.40.1 tomcat6-webapps-6.0.18-20.35.40.1 jakarta-commons-pool-tomcat5-1.3-1.29.2 tomcat6-servlet-2_5-api-6.0.18-20.35.40.1 tomcat6-jsp-2_1-api-6.0.18-20.35.40.1 jakarta-commons-collections-tomcat5-3.2-88.34.2 tomcat6-6.0.18-20.35.40.1 tomcat6-admin-webapps-6.0.18-20.35.40.1 jakarta-commons-dbcp-tomcat5-1.2.2-88.34.4 tomcat6-lib-6.0.18-20.35.40.1 Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sat, 2 Mar 2013 01:24:37 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
Sieht so aus, als hätte da jemand einen Weg auf Dein System gefunden und eine Java-Applikation gestartet. Um ein reverse engineering zu verhindern, ist es bei Java sicher eine gute Idee, die Datei nach erfolgreichem Start vom Dateisystem wieder zu entfernen.
War auf dem Server früher mal ein Tomcat6 installiert?
Wenn da ein Tomcat läuft, dann könnte jemand Zugriff aufs Management-Interface erlangen und darüber eine Webapp hochladen und starten. Was steht denn im Tomcat-Verzeichnis in der conf/tomcat-users.xml drin? Es gab früher Tomcat-Versionen, deren vorinstallierte tomcat-users.xml die nötigen Rechte enthielt, um aufs Management-Interface Zugriff zu erlangen. Im Zweifel ist es sicher eine gute Idee, etwaige <user>-Einträge zu entfernen oder zumindest mit geänderten Passwörtern zu versehen. Danach muss Tomcat neu gestartet werden. -- Gruß, Tobias. xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Tobias schrieb:
Am Sat, 2 Mar 2013 01:24:37 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
Sieht so aus, als hätte da jemand einen Weg auf Dein System gefunden und eine Java-Applikation gestartet. Um ein reverse engineering zu verhindern, ist es bei Java sicher eine gute Idee, die Datei nach erfolgreichem Start vom Dateisystem wieder zu entfernen.
War auf dem Server früher mal ein Tomcat6 installiert?
Wenn da ein Tomcat läuft, dann könnte jemand Zugriff aufs Management-Interface erlangen und darüber eine Webapp hochladen und starten. Was steht denn im Tomcat-Verzeichnis in der conf/tomcat-users.xml drin? Es gab früher Tomcat-Versionen, deren vorinstallierte tomcat-users.xml die nötigen Rechte enthielt, um aufs Management-Interface Zugriff zu erlangen. Im Zweifel ist es sicher eine gute Idee, etwaige <user>-Einträge zu entfernen oder zumindest mit geänderten Passwörtern zu versehen. Danach muss Tomcat neu gestartet werden.
Von außen ist auf den host nur Port 80 freigegeben. Vor dem Tomcat läuft ein Apache httpd. Ist eine Zeit lang her, daß ich das konfiguriert habe, aber sollte die folgende Konfiguration nicht dafür sorgen, daß alles auf unsere Webapp umgeleitet wird (und damit z.B. /manager oder /host-manager nicht zugänglich ist) ? JKWorkerProperty worker.appl01.type=ajp13 JKWorkerProperty worker.appl01.host=localhost JKWorkerProperty worker.appl01.port=8009 JKWorkerProperty worker.list=appl01 # Send servlet for context /mouseidgenes to worker named appl01 # JkMount /mouseidgenes/* appl01 # JkMount /MouseIDGenes/* appl01 # JkMount /mouseidgenes appl01 # JkMount /MouseIDGenes appl01 # JkMount / appl01 Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mon, 4 Mar 2013 01:36:07 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
Von außen ist auf den host nur Port 80 freigegeben. Vor dem Tomcat läuft ein Apache httpd. Ist eine Zeit lang her, daß ich das
Das ist egal, solange der httpd nicht entsprechend restriktiv konfiguriert ist.
konfiguriert habe, aber sollte die folgende Konfiguration nicht dafür sorgen, daß alles auf unsere Webapp umgeleitet wird (und damit z.B. /manager oder /host-manager nicht zugänglich ist) ?
JKWorkerProperty worker.appl01.type=ajp13 JKWorkerProperty worker.appl01.host=localhost JKWorkerProperty worker.appl01.port=8009 JKWorkerProperty worker.list=appl01
# Send servlet for context /mouseidgenes to worker named appl01 # JkMount /mouseidgenes/* appl01 # JkMount /MouseIDGenes/* appl01 # JkMount /mouseidgenes appl01 # JkMount /MouseIDGenes appl01 # JkMount / appl01
Probier's aus, aber AFAIK: Nein, dafür müsste neben der letzten Zeile (die vorhergehenden sind eh darin mitdefiniert, also überflüssig) noch je ein JkUnmount für "/manager", etc. eingestellt sein. Aber das eigentlich nur unter der Voraussetzung, dass die "#" nur in Deiner Mail und nicht in der echten Konfiguration drin sind, weil hinter "#" stehen nur Kommentare und was ohne jedweden JkMount passiert, habe ich noch nie ausprobiert. Mitunter gibt es an anderer Stelle ein globales JkMount "/* ajp13", das dann zum Tragen kommt, keine Ahnung. BTW: Wenn nicht zwingende Gründe wie spezielle Parametrierung für mod_jk sprechen, würde ich immer mod_proxy_ajp verwenden. Da muss man meist nur ein einfaches ProxyPass eintragen und kann sich den ganze JKWorker-Schlonz schenken. (siehe http://httpd.apache.org/docs/2.2/mod/mod_proxy_ajp.html ) Was Apache nicht weiterreichen soll, wird dann a la "ProxyPass /manager !" ausgeblendet. (siehe Doku zu mod_proxy ). -- Gruß, Tobias. Email: crefeld@gmx.net xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Tobias Crefeld schrieb:
Am Mon, 4 Mar 2013 01:36:07 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
Von außen ist auf den host nur Port 80 freigegeben. Vor dem Tomcat läuft ein Apache httpd. Ist eine Zeit lang her, daß ich das
Das ist egal, solange der httpd nicht entsprechend restriktiv konfiguriert ist.
konfiguriert habe, aber sollte die folgende Konfiguration nicht dafür sorgen, daß alles auf unsere Webapp umgeleitet wird (und damit z.B. /manager oder /host-manager nicht zugänglich ist) ?
JKWorkerProperty worker.appl01.type=ajp13 JKWorkerProperty worker.appl01.host=localhost JKWorkerProperty worker.appl01.port=8009 JKWorkerProperty worker.list=appl01
# Send servlet for context /mouseidgenes to worker named appl01 # JkMount /mouseidgenes/* appl01 # JkMount /MouseIDGenes/* appl01 # JkMount /mouseidgenes appl01 # JkMount /MouseIDGenes appl01 # JkMount / appl01
Probier's aus, aber AFAIK: Nein, dafür müsste neben der letzten Zeile (die vorhergehenden sind eh darin mitdefiniert, also überflüssig) noch je ein JkUnmount für "/manager", etc. eingestellt sein. Aber das eigentlich nur unter der Voraussetzung, dass die "#" nur in Deiner Mail und nicht in der echten Konfiguration drin sind, weil hinter "#" stehen nur Kommentare und was ohne jedweden JkMount passiert, habe ich noch nie ausprobiert. Mitunter gibt es an anderer Stelle ein globales JkMount "/* ajp13", das dann zum Tragen kommt, keine Ahnung.
Die # stehen tatsächlich da drin. Hab mich auch schon gewundert. Seltsamerweise klappt's aber: 46.4.48.149 - - [04/Mar/2013:00:37:03 +0100] "GET /manager HTTP/1.1" 302 - "-" 46.4.48.149 - - [04/Mar/2013:00:37:04 +0100] "GET /MouseIDGenes/ HTTP/1.1" 304 - 46.4.48.149 - - [04/Mar/2013:00:37:04 +0100] "GET /MouseIDGenes/IDGenesStyle.css HTTP/1.1" 304 - 46.4.48.149 - - [04/Mar/2013:00:37:18 +0100] "GET /host-manager HTTP/1.1" 302 - "-" 46.4.48.149 - - [04/Mar/2013:00:37:18 +0100] "GET /MouseIDGenes/ HTTP/1.1" 304 - 46.4.48.149 - - [04/Mar/2013:00:37:18 +0100] "GET /MouseIDGenes/IDGenesStyle.css HTTP/1.1" 304 - 46.4.48.149 - - [04/Mar/2013:00:37:36 +0100] "GET /manager/status HTTP/1.1" 302 - "-" 46.4.48.149 - - [04/Mar/2013:00:37:36 +0100] "GET /MouseIDGenes/ HTTP/1.1" 304 - 46.4.48.149 - - [04/Mar/2013:00:37:36 +0100] "GET /MouseIDGenes/IDGenesStyle.css HTTP/1.1" 304 - 201.221.128.134 - - [04/Mar/2013:05:27:59 +0100] "HEAD /manager/status HTTP/1.1" 302 - "-" 201.221.128.134 - - [04/Mar/2013:05:27:59 +0100] "HEAD /MouseIDGenes/ HTTP/1.1" 200 - "-" Alle unpassenden Adressen werden auf die gewünschte Applikation umgeleitet. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01.03.2013 22:09, schrieb Lentes, Bernd:
Hi,
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr ! Weiss einer von Euch was das ist ? Gleichzeitig hat dieser Prozess eine offene Verbindung auf eine IP in Luxemburg, auf der ca. alle 90 Sekunden kleine Datenpakete hin und her fliegen, in denen entweder "PING" oder "PONG" drin steht, je nach Richtung der Pakete. Die Verbindung geht auch auf einen ungewöhnlichen Port: 13122.
Das gefällt mir alles gar nicht ...
Hallo Bernd, starte Tomcat neu und schau, ob die o.g. Java-Datei in irgendeiner Form wieder geladen wird. Nach dem was ich so gegooglet habe, gefällt mir das auch nicht so wirklich, wenn der Dateiname "cataline.jar" so stimmt. Es gibt noch eine andere Java-Datei. Sie nennt sich "catalina.jar" und ist in Tomcat enthalten. Das einzige Software-Produkt, in der die o.g. Java-Datei "cataline.jar" ausgeliefert wird, ist Adobe Version Cue 1.0/1.0.1. Kann es vielleicht sein, dass diese Java-Datei dem Tomcat irgendwann mal untergeschoben wurde? Nach weiterem googlen ist mir außerdem aufgefallen, dass im Zusammenhang von Adobe Version Cue mehrere Local Root Exploits existieren. <http://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-5286/version_id-25241/Adobe-Version-Cue-1.0.1.html> <http://www.exploit-db.com/exploits/1185/> <http://www.exploit-db.com/exploits/1186/> HTH, -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: <http://www.sebastian-siebert.de> Wichtiger Hinweis zur openSUSE Mailing Liste: <http://de.opensuse.org/openSUSE:Mailinglisten_Netiquette> -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Sebastian schrieb:
Am 01.03.2013 22:09, schrieb Lentes, Bernd:
Hi,
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr ! Weiss einer von Euch was das ist ? Gleichzeitig hat dieser Prozess eine offene Verbindung auf eine IP in Luxemburg, auf der ca. alle 90 Sekunden kleine Datenpakete hin und her fliegen, in denen entweder "PING" oder "PONG" drin steht, je nach Richtung der Pakete. Die Verbindung geht auch auf einen ungewöhnlichen Port: 13122.
Das gefällt mir alles gar nicht ...
Hallo Bernd,
starte Tomcat neu und schau, ob die o.g. Java-Datei in irgendeiner Form wieder geladen wird.
Nach dem was ich so gegooglet habe, gefällt mir das auch nicht so wirklich, wenn der Dateiname "cataline.jar" so stimmt. Es gibt noch eine andere Java-Datei. Sie nennt sich "catalina.jar" und ist in Tomcat enthalten.
Das einzige Software-Produkt, in der die o.g. Java-Datei "cataline.jar" ausgeliefert wird, ist Adobe Version Cue 1.0/1.0.1. Kann es vielleicht sein, dass diese Java-Datei dem Tomcat irgendwann mal untergeschoben wurde?
Hi, ich habe den Tomcat runter gefahren, nach einiger Zeit war die gleiche IP wieder da. Solange ich nicht weiß, wie der reingekommen ist, wird mir das wohl immer so passieren. Nur, wie kriege ich das raus ? Ich dachte mir, mal tcpdump permanent laufen zu lassen, um zu sehen, was er so macht. Das seltsame ist, daß wenn er auf dem System ist, immer scheinbar nur diese ping und pong Pakete hin und her fliegen. Habt Ihr da noch eine andere Idee ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 03.03.2013 um 13:02 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
ich habe den Tomcat runter gefahren, nach einiger Zeit war die gleiche IP wieder da. Solange ich nicht weiß, wie der reingekommen ist, wird mir das wohl immer so passieren. Nur, wie kriege ich das raus ? Ich dachte mir, mal tcpdump permanent laufen zu lassen, um zu sehen, was er so macht. Das seltsame ist, daß wenn er auf dem System ist, immer scheinbar nur diese ping und pong Pakete hin und her fliegen. Habt Ihr da noch eine andere Idee ?
Nur damit wir uns richtig verstehen: Die Verbindung ist auch bei runtergefahrenem Tomcat aktiv? Ist ein netstat -tulpen | grep 13122 gesprächig (vermutlich aber nicht)? Welches Protokoll wird verwendet (TCP oder UDP)? Falls TCP: Was sagt ein telnet <luxemburger IP> 13122 denn so? Rainer-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Rainer schrieb:
Am 03.03.2013 um 13:02 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
ich habe den Tomcat runter gefahren, nach einiger Zeit war die gleiche IP wieder da. Solange ich nicht weiß, wie der reingekommen ist, wird mir das wohl immer so passieren. Nur, wie kriege ich das raus ? Ich dachte mir, mal tcpdump permanent laufen zu lassen, um zu sehen, was er so macht. Das seltsame ist, daß wenn er auf dem System ist, immer scheinbar nur diese ping und pong Pakete hin und her fliegen. Habt Ihr da noch eine andere Idee ?
Nur damit wir uns richtig verstehen: Die Verbindung ist auch bei runtergefahrenem Tomcat aktiv?
Nein
Ist ein
netstat -tulpen | grep 13122
gesprächig (vermutlich aber nicht)?
tcp 0 0 146.107.xxx.xxx:45063 94.242.251.57:13122 ESTABLISHED 107 407245 19076/java Anm.: User 107 ist tomcat
Welches Protokoll wird verwendet (TCP oder UDP)?
TCP
Falls TCP: Was sagt ein
telnet <luxemburger IP> 13122
vm53200-12:~ # telnet 94.242.251.57 13122 Trying 94.242.251.57... Connected to 94.242.251.57. Escape character is '^]'. :luxgate.toutnet.de NOTICE AUTH :*** Looking up your hostname... :luxgate.toutnet.de NOTICE AUTH :*** Found your hostname Das ist ein IRC Server. Was auch die ping/pong Pakete erklärt. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sonntag, 3. März 2013 schrieb Lentes, Bernd:
Rainer schrieb:
Am 03.03.2013 um 13:02 schrieb "Lentes, Bernd"
<bernd.lentes@helmholtz-muenchen.de>:
ich habe den Tomcat runter gefahren, nach einiger Zeit war
die gleiche IP wieder da. Solange ich nicht weiß, wie der reingekommen ist, wird mir das wohl immer so passieren. Nur, wie kriege ich das raus ? Ich dachte mir, mal tcpdump permanent laufen zu lassen, um zu sehen, was er so macht. Das seltsame ist, daß wenn er auf dem System ist, immer scheinbar nur diese ping und pong Pakete hin und her fliegen. Habt Ihr da noch eine andere Idee ?
Nur damit wir uns richtig verstehen: Die Verbindung ist auch bei runtergefahrenem Tomcat aktiv?
Nein
Ist ein
netstat -tulpen | grep 13122
gesprächig (vermutlich aber nicht)?
tcp 0 0 146.107.xxx.xxx:45063 94.242.251.57:13122 ESTABLISHED 107 407245 19076/java
Anm.: User 107 ist tomcat
Welches Protokoll wird verwendet (TCP oder UDP)?
TCP
Falls TCP: Was sagt ein
telnet <luxemburger IP> 13122
vm53200-12:~ # telnet 94.242.251.57 13122 Trying 94.242.251.57... Connected to 94.242.251.57. Escape character is '^]'.
:luxgate.toutnet.de NOTICE AUTH :*** Looking up your hostname... :luxgate.toutnet.de NOTICE AUTH :*** Found your hostname
Das ist ein IRC Server. Was auch die ping/pong Pakete erklärt.
Bernd
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671
Bingo :-( You're busted ... IRC Server sind ja gerne die C&C-Server diverser MalWare. Siehe hier: http://www.urlvoid.com/scan/luxgate.toutnet.de/ und hier: http://www.scumware.org/search.scumware Letzteres erklärt mir das dort evtl. zwei (ältere) Malwares schlummern: 2012-07-11 06:30:19 http://luxgate.toutnet.de/avkill.bat C0F3323634D45D0288D17226B03D07E5 94.242.251.57 LU BAT/KillAV.NBG trojan 2012-04-26 05:34:10 http://luxgate.toutnet.de/isr.exe C13F72481A1C046DE65BC4360DD470ED 94.242.251.57 LU Worm.Win32.VBNA.b Was ich nicht sehe ist, ob der Rechner infiziert ist. Oder ob das nur für Windosen ansteckend ist. ... Aber irgendwie muß ja diese cataline-Datei auf das System gekommen sein ... :-\ Du machst keine regelmäßigen Updates, oder? Wenn das meine Maschine wäre, würde ich Sie von einem ReadOnly-Medium starten und alles an Scannern drüberlaufen lassen was geht. Es hilft hier z.B. die VirenScan CD der c't. (Oder gleich neu installieren wenn der Aufwand vertretbar ist. Linux ist ja schnell drauf und wenn die nötigen Anpassungen gut dokumentiert sind ...) Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Bernd Nachtigall schrieb:
Falls TCP: Was sagt ein
telnet <luxemburger IP> 13122
vm53200-12:~ # telnet 94.242.251.57 13122 Trying 94.242.251.57... Connected to 94.242.251.57. Escape character is '^]'.
:luxgate.toutnet.de NOTICE AUTH :*** Looking up your hostname... :luxgate.toutnet.de NOTICE AUTH :*** Found your hostname
Das ist ein IRC Server. Was auch die ping/pong Pakete erklärt.
Bingo :-( You're busted ...
IRC Server sind ja gerne die C&C-Server diverser MalWare.
Siehe hier: http://www.urlvoid.com/scan/luxgate.toutnet.de/
und hier: http://www.scumware.org/search.scumware
Letzteres erklärt mir das dort evtl. zwei (ältere) Malwares schlummern:
2012-07-11 06:30:19 http://luxgate.toutnet.de/avkill.bat C0F3323634D45D0288D17226B03D07E5 94.242.251.57 LU BAT/KillAV.NBG trojan
2012-04-26 05:34:10 http://luxgate.toutnet.de/isr.exe C13F72481A1C046DE65BC4360DD470ED 94.242.251.57 LU Worm.Win32.VBNA.b
Was ich nicht sehe ist, ob der Rechner infiziert ist. Oder ob das nur für Windosen ansteckend ist. ... Aber irgendwie muß ja diese cataline-Datei auf das System gekommen sein ... :-\ Du machst keine regelmäßigen Updates, oder?
Alle Systeme die von außen erreichbar sind, werden 2x/Woche automatich gepatcht.
Wenn das meine Maschine wäre, würde ich Sie von einem ReadOnly-Medium starten und alles an Scannern drüberlaufen lassen was geht. Es hilft hier z.B. die VirenScan CD der c't. (Oder gleich neu installieren wenn der Aufwand vertretbar ist. Linux ist ja schnell drauf und wenn die nötigen Anpassungen gut dokumentiert sind ...)
Wenn ich den einfach nur neu aufsetze ohne zu wissen wie der reingekommen ist werde ich sicher bald wieder Besuch haben. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 04.03.13 14:59, schrieb Lentes, Bernd:
Bernd Nachtigall schrieb:
[...] Hast Du denn mal geprüft welche Anwendungen auf dem Tomcat laufen und welche Ports er sonst noch offen hat (8080, JMX)? -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Andreas Ernst schrieb:
Am 04.03.13 14:59, schrieb Lentes, Bernd:
Bernd Nachtigall schrieb:
[...]
Hast Du denn mal geprüft welche Anwendungen auf dem Tomcat laufen und welche Ports er sonst noch offen hat (8080, JMX)?
netstat -anpe|grep 107 [...] tcp 0 0 127.0.0.1:8005 :::* LISTEN 107 9114 3829/java tcp 0 0 :::8009 :::* LISTEN 107 9107 3829/java tcp 0 0 :::8080 :::* LISTEN 107 9043 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:57690 ESTABLISHED 107 2002401 3829/java tcp 0 0 146.107.xxx.xxx:47531 10.35.xxx.xxx:5432 ESTABLISHED 107 2002494 3829/java ============================================== tcp 0 0 146.107.xxx.xxx:59951 94.242.251.57:13122 ESTABLISHED 107 3000950 32417/java ============================================== tcp 0 0 127.0.0.1:8009 127.0.0.1:41688 ESTABLISHED 107 13298 3829/java tcp 0 0 146.107.xxx.xxx:59729 10.35.xxx.xxx:5432 ESTABLISHED 107 199551 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41693 ESTABLISHED 107 13310 3829/java tcp 0 0 146.107.xxx.xxx:8080 146.107.xxx.xxx:2749 TIME_WAIT 0 0 - tcp 0 0 127.0.0.1:8009 127.0.0.1:41811 ESTABLISHED 107 199020 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:57856 ESTABLISHED 107 2002489 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:54949 ESTABLISHED 107 2242508 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41692 ESTABLISHED 107 13308 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41684 ESTABLISHED 107 10027 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:54963 ESTABLISHED 107 2242517 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41691 ESTABLISHED 107 13306 3829/java [...] Die eingerahmte ist diejenige welche. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hast Du denn mal geprüft welche Anwendungen auf dem Tomcat
laufen und
welche Ports er sonst noch offen hat (8080, JMX)?
netstat -anpe|grep 107 [...] tcp 0 0 127.0.0.1:8005 :::* LISTEN 107 9114 3829/java tcp 0 0 :::8009 :::* LISTEN 107 9107 3829/java tcp 0 0 :::8080 :::* LISTEN 107 9043 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:57690 ESTABLISHED 107 2002401 3829/java tcp 0 0 146.107.xxx.xxx:47531 10.35.xxx.xxx:5432 ESTABLISHED 107 2002494 3829/java ============================================== tcp 0 0 146.107.xxx.xxx:59951 94.242.251.57:13122 ESTABLISHED 107 3000950 32417/java ============================================== tcp 0 0 127.0.0.1:8009 127.0.0.1:41688 ESTABLISHED 107 13298 3829/java tcp 0 0 146.107.xxx.xxx:59729 10.35.xxx.xxx:5432 ESTABLISHED 107 199551 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41693 ESTABLISHED 107 13310 3829/java tcp 0 0 146.107.xxx.xxx:8080 146.107.xxx.xxx:2749 TIME_WAIT 0 0 - tcp 0 0 127.0.0.1:8009 127.0.0.1:41811 ESTABLISHED 107 199020 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:57856 ESTABLISHED 107 2002489 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:54949 ESTABLISHED 107 2242508 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41692 ESTABLISHED 107 13308 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41684 ESTABLISHED 107 10027 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:54963 ESTABLISHED 107 2242517 3829/java tcp 0 0 127.0.0.1:8009 127.0.0.1:41691 ESTABLISHED 107 13306 3829/java [...]
Die eingerahmte ist diejenige welche.
Hi, es ist für mich vor allem wichtig, wie derjenige reingekommen ist. Ich habe dazu folgende Idee: ich starte die Maschine neu, dann ist der Eindringling erst mal weg. Sofort nach dem Neustart sniffe ich den gesamten Verkehr von/zu der IP mit. Dann müsste ich in den ersten Paketen, wenn die Verbindung zustande kommt, mehr rauskriegen. Sofern sie nicht binär kodiert sind. Außerdem möchte ich versuchen, event-gesteuert (http://www.linux-magazin.de/Ausgaben/2007/02/Event-gesteuert/%28language%29/...) raus zu bekommen, wann diese cataline.jar auftaucht und diese dann kopieren, in der Hoffnung, daß mir der Inhalt dieser Datei weiterhilft. Was haltet Ihr davon ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 04.03.2013 um 16:07 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
es ist für mich vor allem wichtig, wie derjenige reingekommen ist.
Das ist sicherlich eine gute Idee.
Ich habe dazu folgende Idee: ich starte die Maschine neu, dann ist der Eindringling erst mal weg. Sofort nach dem Neustart sniffe ich den gesamten Verkehr von/zu der IP mit. Dann müsste ich in den ersten Paketen, wenn die Verbindung zustande kommt, mehr rauskriegen. Sofern sie nicht binär kodiert sind. Außerdem möchte ich versuchen, event-gesteuert (http://www.linux-magazin.de/Ausgaben/2007/02/Event-gesteuert/%28language%29/...) raus zu bekommen, wann diese cataline.jar auftaucht und diese dann kopieren, in der Hoffnung, daß mir der Inhalt dieser Datei weiterhilft.
Ich würde zuallererst ein Image von der Platte ziehen. Dann einen Sniffer laufen lassen, aber an einem Mirrorport direkt am Switch oder einen Hub (falls es sowas noch gibt) dazwischenschalten. Also auf einer anderen Maschine sniffen.
Was haltet Ihr davon ?
Der Ansatz ist sicherlich richtig. Lies mal (falls noch nicht getan) Clifford Stoll, Das Kuckucksei. Das motiviert :-) Rainer-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Mon, 04 Mar 2013, Rainer Sokoll schrieb:
Der Ansatz ist sicherlich richtig. Lies mal (falls noch nicht getan) Clifford Stoll, Das Kuckucksei. Das motiviert :-)
Yay! Hab das vor Jahren (>=15 IIRC) mal im Original ("The Cuckoo's Egg", was ich _dringend_ empfehle wenn das Englisch reicht[1]) zufällig als "liegengeblieben" mitgebracht bekommen. Klasse Buch! Da es sowohl bei amzn.{de,co.uk} derbe teuer ist, mal in den andern online- und besonders auch lokalen Händlern kruschteln. Ich hab's wie gesagt damals bekommen weil "liegengelassen" und "englisch", evtl. findet man's ja günstig (i.e. <5 EUR). Gibt übrigens noch mehr solche Klassiker[2], deren Paperbacks (gebraucht) einerseits zu Preisen locker jenseits der 30 EUR liegen, andererseits aber gelegentlich als Schnäppchen zu <<? 3 EUR zu haben sind ;) -dnh [1] sprachlich ist das Englisch eher einfach, normales Schulenglisch sollte reichen, und beim Technikkrams, tja, da ist die Sprache eher egal, wobei, inzwischen etwas angestaubt ;) Ggfs. hilft Pikiwedia. [2] z.B. "House of God" von Samuel Shem -- "I'm so thucking frilled." -- Mike Andrews -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Rainer schrieb:
Am 04.03.2013 um 16:07 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
es ist für mich vor allem wichtig, wie derjenige reingekommen ist.
Das ist sicherlich eine gute Idee.
Ich habe dazu folgende Idee: ich starte die Maschine neu, dann ist der Eindringling erst mal weg. Sofort nach dem Neustart sniffe ich den gesamten Verkehr von/zu der IP mit. Dann müsste ich in den ersten Paketen, wenn die Verbindung zustande kommt, mehr rauskriegen. Sofern sie nicht binär kodiert sind. Außerdem möchte ich versuchen, event-gesteuert (http://www.linux-magazin.de/Ausgaben/2007/02/Event-gesteuert/ %28language%29/ger-DE) raus zu bekommen, wann diese cataline.jar auftaucht und diese dann kopieren, in der Hoffnung, daß mir der Inhalt dieser Datei weiterhilft.
Ich würde zuallererst ein Image von der Platte ziehen. Dann einen Sniffer laufen lassen, aber an einem Mirrorport direkt am Switch oder einen Hub (falls es sowas noch gibt) dazwischenschalten. Also auf einer anderen Maschine sniffen.
Image ist eine gute Idee. Der betroffene Rechner ist eine VM, ich sniffe am host.
Was haltet Ihr davon ?
Der Ansatz ist sicherlich richtig. Lies mal (falls noch nicht getan) Clifford Stoll, Das Kuckucksei. Das motiviert :-)
Kenn ich. Super spannendes Buch, komm mir im Moment vor wie der Autor. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Mon, 04 Mar 2013, Lentes, Bernd schrieb:
Andreas Ernst schrieb:
Hast Du denn mal geprüft welche Anwendungen auf dem Tomcat laufen und welche Ports er sonst noch offen hat (8080, JMX)?
netstat -anpe|grep 107 [...] ==== tcp 0 0 :::8009 :::* LISTEN 107 9107 3829/java tcp 0 0 :::8080 :::* LISTEN 107 9043 3829/java ==== [..] ============================================== tcp 0 0 146.107.xxx.xxx:59951 94.242.251.57:13122 ESTABLISHED 107 3000950 32417/java ============================================== [..]
Die eingerahmte ist diejenige welche.
Und die "all" "all"??? in '===='??? IMO: Kiste sofort vom Netz, forensisches Image für weitere Analysen in ner VM ziehen (gibt ne Sonderversion von dd dafür, ansonsten einfach per dd) und die Kiste von Grund auf[0] neu aufsetzen. Deine Kiste wird vermutlich als CnC o.ä. mißbraucht. Und beim Neuaufsetzen darauf achten, daß das ganze Javageraffel nur auf den richtigen IPs lauscht und nur die richtigen IPs reinläßt, oder gleich nur in ner VM läuft und penibel abgeschottet wird. Fragt ggfs. jemanden, der sich damit auskennt (nicht ich, aber ich kenn glaub welche vom lesen ;) Dein Kollege Werner sollte die gleichen Verdächtigen kennen und benennen können ;) BTW: bzgl. Java/Flash/IE usw. sind tägliche Update-Checks Pflicht, besser noch öfter. Es heißt nicht umsonst "*Zero*-day-exploit"! -dnh [0] d.h. einmal 'dd if=/dev/zero of=/dev/sdX bs=8M' über alle Platten laufen lassen ... Von nem OS von CD wohlgemerkt! (Knoppix, Grml, etc., SuSE-Inst-DVD tut's auch). --
Welches ist die gescheiteste Methode, die führende Null wegzubekommen? -- N.K Revolution bzw. Umsturz. Oder du wartest bis zur naechsten Wahl. -- J. P. Meier Nur die Rrrrrevolution hilft! Wahl ist maximal ein Vorzeichenwechsel. -- W.Flamme Was meinst Du, woher Begriffe wie "rote Null" und "schwarze Null" kommen? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
David Haller schrieb:
Hallo,
Am Mon, 04 Mar 2013, Lentes, Bernd schrieb:
Andreas Ernst schrieb:
Hast Du denn mal geprüft welche Anwendungen auf dem Tomcat laufen und welche Ports er sonst noch offen hat (8080, JMX)?
netstat -anpe|grep 107 [...] ==== tcp 0 0 :::8009 :::* LISTEN 107 9107 3829/java tcp 0 0 :::8080 :::* LISTEN 107 9043 3829/java ==== [..] ============================================== tcp 0 0 146.107.xxx.xxx:59951 94.242.251.57:13122 ESTABLISHED 107 3000950 32417/java ============================================== [..]
Die eingerahmte ist diejenige welche.
Und die "all" "all"??? in '===='???
Was meinst Du damit ? Das versteh ich nicht. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Rainer schrieb:
Am 03.03.2013 um 13:02 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
ich habe den Tomcat runter gefahren, nach einiger Zeit war die gleiche IP wieder da. Solange ich nicht weiß, wie der reingekommen ist, wird mir das wohl immer so passieren. Nur, wie kriege ich das raus ? Ich dachte mir, mal tcpdump permanent laufen zu lassen, um zu sehen, was er so macht. Das seltsame ist, daß wenn er auf dem System ist, immer scheinbar nur diese ping und pong Pakete hin und her fliegen. Habt Ihr da noch eine andere Idee ?
Nur damit wir uns richtig verstehen: Die Verbindung ist auch bei runtergefahrenem Tomcat aktiv?
Hi, da habe ich mich getäuscht. Die Verbindung ist bei runter gefahrenem Tomcat immer noch aktiv ! Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----Original Message----- From: Lentes, Bernd [mailto:bernd.lentes@helmholtz-muenchen.de] Sent: Friday, March 01, 2013 10:09 PM To: opensuse-de@opensuse.org Subject: Tomcat: Was ist das ? /usr/share/tomcat6/webapps/ApacheLoader
Hi,
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr ! Weiss einer von Euch was das ist ? Gleichzeitig hat dieser Prozess eine offene Verbindung auf eine IP in Luxemburg, auf der ca. alle 90 Sekunden kleine Datenpakete hin und her fliegen, in denen entweder "PING" oder "PONG" drin steht, je nach Richtung der Pakete. Die Verbindung geht auch auf einen ungewöhnlichen Port: 13122.
Das gefällt mir alles gar nicht ...
Hi, ich glaub ich hab's: Anscheinend war der Port 8080 in unserer Firewall von außen auf ! Damit konnte man sich nat. von außen am httpd vorbei direkt auf den Tomcat konnektieren. Wie das passiert konnte, weiß ich nicht. Die Firewall gehört nicht zu meiner Zuständigkeit. Und das Passwort - Asche auf mein Haupt - war nicht wirklich kompliziert. Damit war es nat. ein leichtes rein zu kommen: 201.221.128.134 - - [04/Mar/2013:05:27:59 +0100] "HEAD /MouseIDGenes/ HTTP/1.1" 200 - 201.221.128.134 - - [04/Mar/2013:05:27:59 +0100] "HEAD /manager/status HTTP/1.1" 401 2588 201.221.128.134 - - [04/Mar/2013:05:27:59 +0100] "HEAD /manager/status HTTP/1.1" 401 2588 201.221.128.134 - tomcat [04/Mar/2013:05:27:59 +0100] "HEAD /manager/status HTTP/1.1" 200 - 201.221.128.134 - tomcat [04/Mar/2013:05:28:19 +0100] "PUT /manager/deploy?path=/ApacheLoader HTTP/1.1" 200 57 201.221.128.134 - tomcat [04/Mar/2013:05:28:21 +0100] "GET /manager/undeploy?path=/ApacheLoader HTTP/1.1" 200 59 Die IP ist aus Kolumbien (ich dachte, da kommen nur Drogen her) Ich fahr die Maschine runter und werde sie neu aufsetzen. Vielen Dank für alle Tipps. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 5 Mar 2013 00:49:58 +0100 schrieb "Lentes, Bernd" <bernd.lentes@helmholtz-muenchen.de>:
Anscheinend war der Port 8080 in unserer Firewall von außen auf ! Damit konnte man sich nat. von außen am httpd vorbei direkt auf den Tomcat konnektieren. Wie das passiert konnte, weiß ich nicht. Die Firewall gehört nicht zu meiner Zuständigkeit.
Grundsätzlich ist es im ISP-Umfeld durchaus üblich, ohne spezielle Aufforderung jeden Traffic von und zu "offiziell" registrierten Adressen zuzulassen. Im übrigen: nmap und iptables existieren.... ;)
Und das Passwort - Asche auf mein Haupt - war nicht wirklich kompliziert.
BTW: Dieses Scheunentor kann auch via Port 80 zur Verfügung stehen, wenn Apache2 per funktionsfähiger mod_proxy_ajp- oder mod_jk-Konfiguration auf den tomcat weiterreicht, solange dort nicht die Sub-URIs manager/, host-manager/ , etc. explizit ausgenommen werden. -- Gruß, Tobias. xmpp: crefeld@xabber.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Bernd schrieb:
Hi,
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr
Hätte ich eigentlich eine Möglichkeit gehabt, diese Datei wieder zu "undeleten" ? Z.b. mit Autospy. FS ist ein ext3. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Mon, 11 Mar 2013, Lentes, Bernd schrieb:
Bernd schrieb:
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr
Hätte ich eigentlich eine Möglichkeit gehabt, diese Datei wieder zu "undeleten" ? Z.b. mit Autospy. FS ist ein ext3.
Ja. Ein einfaches 'link' (vlg. 'ln' ohne '-s') per debugfs hätte auch gereicht solange der Prozess die Datei noch offen hatte. -dnh -- They backflip over bullets and grab onto helicopters falling from the sky in an apparent effort to inspire Isaac Newton's enraged corpse to reanimate and hunt them down. -- Mr. Cranky on "Charlie's Angels: Full Throttle" -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
David schrieb:
Hallo,
Am Mon, 11 Mar 2013, Lentes, Bernd schrieb:
Bernd schrieb:
ich habe hier einen Javaprozess laufen, der mit der o.g. Webanwendung zusammenhängt: tomcat 19076 0.0 2.1 585404 20812 ? Sl 09:44 0:07 java -jar /usr/share/tomcat6/webapps/ApacheLoader/WEB-INF/cataline.jar
Die habe ich noch nie gesehen, und der o.g. Ordner existiert auch nicht mehr
Hätte ich eigentlich eine Möglichkeit gehabt, diese Datei wieder zu "undeleten" ? Z.b. mit Autospy. FS ist ein ext3.
Ja. Ein einfaches 'link' (vlg. 'ln' ohne '-s') per debugfs hätte auch gereicht solange der Prozess die Datei noch offen hatte.
Hi, klappt. Danke. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (7)
-
Andreas Ernst -
Bernd Nachtigall -
David Haller -
Lentes, Bernd -
Rainer Sokoll -
Sebastian Siebert -
Tobias Crefeld