|
server gehackt
hab hier einen linux server bei dem ein ftp zugang gehackt wurde in der .bash_history im home verzeichnis des ftp users fand ich nun folgende commands:
Zitat:
|
Eine einmal kompromittierte Box kannst Du eigentlich nur "from scratch" neu aufsetzen. Alles andere ist hoechstens zweifelhaft sauber.
(Und die verantwortliche Luecke fuer das erste Rooten solltest du natuerlich zumachen ;)) |
mich würd nur interessieren was genau da abgelaufen ist. Kann ich die gelöschten objekte zb. vuln.txt und vor allem, die verzeichnisse rai und sshscan wiederherstellen?
Das ganze scheint ja kein script gewesen zu sein weil da ja auch tippfehler drin sind. Wie der typ reingekommen ist kapier ich nicht werd ich vermutlich auch nie rausfinden. Hab aber mittlerweilen mal alle ip ranges aus rumänien gesperrt von denen eine ip adresse beteiligt war. Das erste programm (prost/shhscan) scannt scheinbar nach ssh servern und und das 2. (scani/rai) macht eine dicionary attacke, seh ich das richtig? Was aber macht w.tgz, das prog wird nur gesaugt aber nicht entpackt und installiert, checkt das wer? |
du solltest in Betracht ziehen, dass auch die bash_history manipuliert wurde.
Soweit ich das seh wurde der Root account nicht kompromittiert (vorausgesetzt, bash_history wurde nicht gefaked) - nach der Einsicht der heruntergeladenen Archive ist es sowohl ein scheinbar auf webmin abzielendes Exploit -> siehe http://securitydot.net/vuln/exploits...7885/vuln.html und ein bruteforce Gschichtl um andere ssh-Server zu knacken ---> scani.tgz. Was das Problem war wirst du aber wahrscheinlich nicht über die .bash_history rausfinden, sondern über den Zugang, den er für sich ausgenutzt hat. Also alle Logs durchsehen, Apache, SSH und FTP Server - und WWI was noch alles drauf rumläuft. Da wird höchstwahrscheinlich irgendeine Version eines Daemons kränkeln - oder sind alle Daemons up to date ? |
Bist du dir sicher das es über FTP war und nicht über http?
grep include /var/log/apache/access.log grep wget /var/log/apache/access.log ls -a /tmp wirst du sicher auch etwas finden :) Kontrollieren ob der User nicht Rootrechte hat und ob Prozesse versteckt sind. Meistens hilft aber nur eine Neuinstallation, weil du sicher irgendwo jetzt ein Backdoor hast. Sloter |
war das ein proftp ? da gibts eine aktuelle Sicherheitslücke die remote usern root Zugriff geben kann. :(
|
Das
hat nichts mit proftp oder ftp zu tun. Das war eine Vulnerability eines php scripts. Nachdem Apache als setuid apache, der Masterprozess aber als root läuft wurde dein Server mit einem Script gehackt. Danach segfaultet ein Childprozess und ...
a rootkit was born. Der Prozess wird übernommen. Schau mal nach "long lost child came home" in den apache logfiles. Schaue auch mal mit lsattr in den kompromitierten Directories nach. Auf jedem fall neu installieren. Php ohne register globals verwenden , oder noch besser mit mod-fastcgi als user laufen lassen. Such einfach nach php4 und php5 und mod_fastcgi. Lg. Fhmer |
Hmmm...also das ist hochwertiger Stoff!!!
Man sollte in Erwähgung ziehen das ein ADMIN diesen Beitrag zensieren soll.... |
Zitat:
|
Vermutlich meint er, dass es eine Anleitung ist, einem Server etwas böses anzutun.
Ein jeder weiß auch, dass es eine strafbare Handlung ist und meinerseits zivil- als auch strafrechtlich in Grund und Boden geklagt wird. Weiterhin es ein Muss für einen Serveradmin ist, zu wissen, wie, warum ein Server kompromittiert wurde. Das bedeutet auch, dass dies öffentlich geschehen kann um andere Admins zu sensibilisieren. Insbesonderen den Noobies im R00t-Geschäft, die auch hier posten und fragen ... Von daher sollte man diesen Beitrag als Sticky festpappen. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 01:58 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag