Hallo zusammen Gleich vorweg, Dinge wie "wir haben es immer gewusst" oder "selber schuld" oder ähnlichkeiten bringen mir nichts und Helfen schon mal garnicht weiter. Ich "hatte" einen 9.3 Server der wie ich heute festellen musste nicht mehr mir gehorcht sindern sonst wem. Sobald eine Internetverbindung besteht funkt mein Server eine bestimmte IP(202.150.130.28) via ssh an und meine komplette Bandbreite ist voll belegt (datenübertragung) alle user auf der Maschine sind gelöscht und das root pw wurde geändert. Auf dem Webserver wurde eine Verzeichnis angelegt "ganzwirrezeichenmit256zeichen" .. sieht so aus "dsfglkwej5zt0249gjaeobinoeijz4095z4hgqnjrewu4zh" in diesem verzeichnis befinden sich einige php dateien und einige html dateien. der inhalt dieser datein lässt auf garnichst schliessen. Was mich nun wundert ist welche daten übertragen werden und wohin. Auf dem Server gefindet sich NICHTS ausser der Webserver mit ein paar völlig uninteresannten Dateien. Ich habe irgendwie aus intiution den Server letzte woche komplett auf eine andere Maschine kopiert und alle Daten gelöscht. Einloggen via ssh welches eigentlich nur von meinem Rechner aus funtionieren sollte (ssh Key) ist garnicht mehr möglich. Ich könnte theoretisch die Kiste neu installieren und gut wäre, da wie gesagt eh keine relevanten Daten drauf sind. Aber ich will es ja wissen. Wie komm ich wieder an meine Kiste rann und wie kann ich dem jenigen welchen auf die Spur kommen? Falls es jemanden Interessiert die angefunkte IP ist die 202.150.130.28 (steckt wohl auch eine Linux Kiste hinter) ein Trace ergibt von mir aus folgendes. traceroute to 202.150.130.28 (202.150.130.28), 30 hops max, 40 byte packets 1 bsn1.dui.qsc.de (213.148.133.84) 4.500 ms 4.432 ms 4.217 ms 2 core1.dui.qsc.de (213.148.138.225) 5.220 ms 4.011 ms 4.396 ms 3 core1.dus.qsc.de (213.148.139.33) 6.096 ms 5.285 ms 5.834 ms 4 core2.fra.qsc.de (213.148.139.37) 8.723 ms 8.631 ms 8.508 ms 5 core1.fra.qsc.de (213.148.134.106) 8.122 ms 8.147 ms 8.341 ms 6 cr02.frf02.pccwbtn.net (80.81.192.50) 8.431 ms 9.036 ms 8.251 ms 7 63-218-61-154.pccwbtn.net (63.218.61.154) 370.537 ms 415.559 ms 373.009 ms 8 202.155.7.252 (202.155.7.252) 368.559 ms 367.736 ms 365.971 ms 9 202.155.137.18 (202.155.137.18) 373.792 ms 380.080 ms 370.838 ms 10 202.155.27.27 (202.155.27.27) 366.560 ms 366.458 ms 366.475 ms 11 219.83.41.250 (219.83.41.250) 370.524 ms 380.746 ms 370.040 ms 12 219.83.37.82 (219.83.37.82) 377.469 ms 374.497 ms 376.341 ms 13 ro-int.comnet.net.id (202.150.128.37) 382.474 ms 376.252 ms 378.693 ms 14 ro-cimahi.comnet.net.id (202.150.128.108) 375.365 ms 373.728 ms * 15 202.150.130.28 (202.150.130.28) 383.165 ms 379.021 ms 382.135 ms Trace complete Komisch ist auch das im Router weder SSH noch sonst irgendwelche dienste vom Internet auf den server geleitet werden, ausser natürlich der http Dienst. Sicherheitshalber wurden alle Dienste die ein einloggen auf den Server ermöglichen im Router auf dropp gestellt. Kann mir jemand helfen? --- Viele Grüße aus Duisburg Berko Jantz
Berko schrieb:
Ich "hatte" einen 9.3 Server der wie ich heute festellen musste nicht mehr mir gehorcht sindern sonst wem.
Sobald eine Internetverbindung besteht funkt mein Server eine bestimmte IP(202.150.130.28) via ssh an und meine komplette Bandbreite ist voll belegt (datenübertragung) alle user auf der Maschine sind gelöscht und das root pw wurde geändert.
Auf dem Webserver wurde eine Verzeichnis angelegt "ganzwirrezeichenmit256zeichen" .. sieht so aus "dsfglkwej5zt0249gjaeobinoeijz4095z4hgqnjrewu4zh" in diesem verzeichnis befinden sich einige php dateien und einige html dateien. der inhalt dieser datein lässt auf garnichst schliessen. Was mich nun wundert ist welche daten übertragen werden und wohin.
Die letzte Frage ist leicht zu beantworten: Die Verbindung geht nach Bandung, Java - nicht die Programmierpsrache, sondern die Insel. Ich sehe mal in meine Glaskugel: Hast du möglicherweise PHP laufen, vielleicht sogar ein CMS wie Joomla oder Mambo? Es gab da gerade in der letzten Zeit einige Sicherheitslücken. Falls es eine dieser Lücken war, bleiben Spuren in den Apache-Logfiles zurück. Such mal nach Stellen, an denen Daten nach /tmp geschrieben wurden. Wenn du willst, schick mir mal direkt per Mail die html-und PHP Dateien, die da abgelegt worden sind, evtl. auch Logfiles. Wir hatten neulich so einen Fall hier, vielleicht erkenne ich was. Klar ist, dass die Kiste kompromittiert ist und neu aufgesetzt werden muss; wahrscheinlich arbeitet sie jetzt als Spamschleuder, aber es ist natürlich auch wichtig, die Ursache zu erkennen und beim Neueinrichten die Lücke zu schließen. Ein typischer Hinweis auf das oben angedeutete Szenario ist übrigens eine extrem hohe Last durch Perl-Prozesse (da laufen Skripte für Spam und DDos). Jürgen
Hallo und Danke für die einzig Sinvolle Antwort :)
Berko schrieb:
Ich "hatte" einen 9.3 Server der wie ich heute festellen musste nicht mehr mir gehorcht sindern sonst wem.
Sobald eine Internetverbindung besteht funkt mein Server eine bestimmte IP(202.150.130.28) via ssh an und meine komplette Bandbreite ist voll belegt (datenübertragung) alle user auf der Maschine sind gelöscht und das root pw wurde geändert.
Auf dem Webserver wurde eine Verzeichnis angelegt "ganzwirrezeichenmit256zeichen" .. sieht so aus "dsfglkwej5zt0249gjaeobinoeijz4095z4hgqnjrewu4zh" in diesem verzeichnis befinden sich einige php dateien und einige html dateien. der inhalt dieser datein lässt auf garnichst schliessen. Was mich nun wundert ist welche daten übertragen werden und wohin.
Die letzte Frage ist leicht zu beantworten: Die Verbindung geht nach Bandung, Java - nicht die Programmierpsrache, sondern die Insel.
Ich sehe mal in meine Glaskugel: Hast du möglicherweise PHP laufen, vielleicht sogar ein CMS wie Joomla oder Mambo? Es gab da gerade in der letzten Zeit einige Sicherheitslücken. Falls es eine dieser Lücken war, bleiben Spuren in den Apache-Logfiles zurück. Such mal nach Stellen, an denen Daten nach /tmp geschrieben wurden.
Wenn du willst, schick mir mal direkt per Mail die html-und PHP Dateien, die da abgelegt worden sind, evtl. auch Logfiles. Wir hatten neulich so einen Fall hier, vielleicht erkenne ich was.
Klar ist, dass die Kiste kompromittiert ist und neu aufgesetzt werden muss; wahrscheinlich arbeitet sie jetzt als Spamschleuder, aber es ist natürlich auch wichtig, die Ursache zu erkennen und beim Neueinrichten die Lücke zu schließen.
Ein typischer Hinweis auf das oben angedeutete Szenario ist übrigens eine extrem hohe Last durch Perl-Prozesse (da laufen Skripte für Spam und DDos).
Jürgen
Ich habe jetzt erstmal wieder zugriff zu meinem Server. Es wurde ein User Namens underc0vha eingerichtet. Was jetzt genau an schaden angerichtet wurde kann ich nicht einsehen da die logfiles so groß sind und im Sekundentakt einträge drinn stehen, da muss ich erstmal durcharbeiten Was ich allerdings feststellen konnte das der Server von alleine keine Verbindungen aufbauen will, er wartet also auf ein go von aussen. Der Hack war am 09.10.06 gegen 23 Uhr. Bemerkt habe ich ihn 10.10 gegen 3 Uhr morgens. Also war nicht allzu lang. Ja ich habe PHP laufen und ich habe ein CMS System, aber nicht Joomla und auch nicht Mambo. Gruß Berko
Berko schrieb:
Was ich allerdings feststellen konnte das der Server von alleine keine Verbindungen aufbauen will, er wartet also auf ein go von aussen.
Manchmal (nicht immer) aufschlussreich: ps aux (Prozesse checken) netstat -tulpen (Verbindungen checken) Eventuell auch mal von einem zweiten Rechner einen kompletten Portscan durchführen und sehen, ob da Hintertüren offen sind. Es klingt fast danach. Um das Neueinrichten kommst du wohl nicht herum, aber du solltest jedenfalls versuchen, die Lücke zu identifizieren und zu schließen. Solange das Loch noch da ist, kann das jederzeit noch mal passieren. Jürgen
participants (2)
-
Berko
-
Jürgen Langowski