Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit unbekanntem backdoor :(
Also seit ein paar tagen find im im /tmp ordner immer wieder .txt files, die über sh aufgerufen :(
Einmal war mein Server kurzfristig ein OpenRelay.
Denk mal es wär ned gut, hier das script zu posten (hab auch die url zu der page, wo man es herkriegt - steht im file drinnen) würd ich jemanden suchen, der sich mit so nem mist gut auskennt.
Es handelt sich um einen Gentoo Server:
Qmail
Courier-Imap
Apache (Server Version: Apache/1.3.29 (Unix) (Gentoo/Linux) mod_perl/1.27
mod_gzip/1.3.19.1a PHP/4.3.0 mod_ssl/2.8.12 OpenSSL/0.9.6g)
ProftpD (möcht ich jetzt dur Glftpd ersetzen)
Leider viele möglichkeiten um da reinzukommen.
Und nun? Du wirst ja wohl nicht diesen Server weiterbetreiben wollen ?!?
Also alles plattmachen und neu aufsetzen, aber mit neuerer Software, da geht nichts dran vorbei.
Na sicher möcht ich den server weiterbetreiben - is ja mein produktiver mail/webserver *ggg*
Nur das mit dem neuinstallieren geht derzeit noch ned - kann man ned irgendwie das temporär anders lösen? :(
kann man ned irgendwie das temporär anders lösen?
shutdown -h now
Original geschrieben von Svenny
shutdown -h now
wow - danke das du mich mit deiner weisheit bedacht hast :ugly:
Original geschrieben von Tommy_20
wow - danke das du mich mit deiner weisheit bedacht hast :ugly:
Er hat aber recht. Mach einfach nen reboot und dein /tmp wird gereinigt.
/tmp hab ich schon bereinigt nur das backdoor bleibt ja :(
irgendwo kommt der in meine kiste rein über nen exploid warscheinlich
Benutz mal nmap um deinen Rechner nach offenen Ports zu scannen und schalte alles ab, was du nicht brauchst.
Mit den Angaben, die du machst, kommt keiner weit.
gateway root # nmap -sS -P0 -p1-65535 [meine ip *g*]
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on gateway ([meine ip *g*]):
(The 65529 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
143/tcp open imap2
3306/tcp open mysql
Nmap run completed -- 1 IP address (1 host up) scanned in 670 seconds
MySQL wird über iptables allerdings geblockt von aussen.
Hab die aktuellste Version von ssh, apache (1.3.29) und mysql installiert übrigens (also die bisherige version ausgenommen config-file komplett überschrieben).
ProftpD ist auch gelaufen, nur den hab ich mal deaktiviert.
Und wo steckt denn jetzt die Lücke? Oder hab ich was überlesen? Wäre sehr interessiert dran, hab 2 Gentoo Server am laufen...
das frag ich mich auch - eine möglichkeit könnte proftpd sein, der nicht der sicherste ist und auch nicht ganz aktuell war (wie apache leider auch).
ich schau mir mal glftpd an, der sehr sicher sein soll.
werd die kiste auf jeden fall neu installieren aber hoffe, ich kann den typen noch ne woche fernhalten, weil vorher wirds etwas stressig *g*
Hast du ssh in einer aktuellen Version?
Falls du es nicht brauchst, deaktivier es einfach. Wie gesagt, alles, was du nicht brauchst, deaktivieren.
PS: Irgendwie sehe ich bei dir keinen ftp Port...:confused:
ssh brauch ich sehr oft, von daher kann ich es leider nicht deaktivieren - das root passwort hab ich schon geändert und werds ab sofort täglich ändern nur ich glaub der kommt wo anders rein.
ssh hab ich vorgestern dann aktualisiert und ftp port siehst keinen, weil ich den proftpd erstmal abgedreht hab ;)
Original geschrieben von Tommy_20
ssh hab ich vorgestern dann aktualisiert und ftp port siehst keinen, weil ich den proftpd erstmal abgedreht hab ;)
Achso...;)
Haste schonmal mit last kontrolliert wie es mit Logins aussieht?
Eventuell solltest du dir auch mal deine Benutzerliste anschauen, wer weiß, wie dreißt der Typ ist.
Ansonsten: So schnell wie möglich plätten.
Matzetronic
09.03.04, 22:23
ähm,
es führen ja bekanntlich viele wege nach rom......aber
wie wäre es, wenn du mal nachsiehst, wem die dateien in /tmp gehören ?????
mfg,
matze
Original geschrieben von Matzetronic
wie wäre es, wenn du mal nachsiehst, wem die dateien in /tmp gehören ?????
Warum einfach, wenns auch kompliziert geht? ;):ugly:
Das file gehört dem User "apache" aus der gruppe "apache" - also kam er so rein.
Hab mod_perl deaktiviert und ca. die hälfte der webseiten (darunger phpBB Boards und sowas) - seit gestern abend kein angriff mehr - mal schauen, vielleicht is der über so ein ******* unsicheres board reingekommen *grml* und root rechte hatte er vielleicht nie - in tmp hat ja jeder vollzugriff
Original geschrieben von Tommy_20
Das file gehört dem User "apache" aus der gruppe "apache" - also kam er so rein.
Hab mod_perl deaktiviert und ca. die hälfte der webseiten (darunger phpBB Boards und sowas) - seit gestern abend kein angriff mehr - mal schauen, vielleicht is der über so ein ******* unsicheres board reingekommen *grml* und root rechte hatte er vielleicht nie - in tmp hat ja jeder vollzugriff
Ich hab gedacht du hättest einen Link gefunden worauf man das Exploit runterladen kann?
Denk mal es wär ned gut, hier das script zu posten (hab auch die url zu der page, wo man es herkriegt - steht im file drinnen) würd ich jemanden suchen, der sich mit so nem mist gut auskennt.
ich hab den link gefunden zu nem tool, dass ihm dann von innen erlaubt auf die kiste zuzugreifen.
das macht dann ein backdoor auf über das er reinkann
hast du sowas wie suExec oder suphp für deine Scriptsprachen laufen? ... wenn nein => installieren!
nö, hab ich ned laufen - wie richt ich das dann ein? :)
http://suphp.org/Documentation.en.html
http://httpd.apache.org/docs/suexec.html
... damit werden scripte mit den rechten des besitzers ausgeführt.
Original geschrieben von Tommy_20
... *grml* und root rechte hatte er vielleicht nie - in tmp hat ja jeder vollzugriff
Und wenn doch, wirst du es so nie erfahren. Wie schon erwähnt, ist die einzige, sichere Methode eine Neuinstallation. Wenn der Rechner unbedingt noch weiter laufen soll, dann bitte nicht ohne das System richtig zu checken.
Vorschlag: Packe dir chkrootkit inklusive sauberer Unix-Shell-Tools auf eine CD und check damit den Rechner. Wenn du nichts findest, boote den Rechner von einer Live-CD/Disk (Knoppix, Tomsrtb, Gentoo-Live-CD etc.) und wiederhole den Scan. Nutze diese Gelegenheit und checke auch nochmals von Hand, ob du was verdächtiges finden kannst: chkrootkit findet nur rootkits die es kennt, ausserdem schlägt es auch gerne mal Fehlalarm. Am besten du lässt auch gleich einen Virenchecker laufen.
Wenn du bis jetzt noch nichts gefunden hast, dann kannst du den Rechner wieder starten, aber mit äusserster Vorsicht, denn die Chance ist gross, dass du immernoch befallen bist. Starte in einem Runlevel, in dem keine Dienste laufen. Aktualisiere alle Dienste (Bei Gentoo nur ein Einzeiler) und deaktiviere alle Dienste, welche du nicht unbedingt benötigst.
Bete dass jetzt kein Rootkit läuft und installiere das System so schnell wie möglich neu!
Gruss, Andy
also aktueller stand ist:
alle server dienste sind nun auf dem aktuellsten stand - chkrootkit wurde komplett neu runtergeladen und gleich gescannt.
seit gestern früh keine verdächtigen aktivitäten, bei last nachgesehen und keine logins von unbekannten ip's (nur die von der firma und meine vom lan).
es laufen bereits auch nur dienste die ich wirklich brauche - leider etwas viel bei einem produktiven web/mail server - der ftp bleibt vorerst deaktiviert.
nächste woche find ich hoffentlich zeit zur neuinstallation - wobei der mailserver immer ne challenge is *G*
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.