PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit unbekanntem backdoor :(



Tommy_20
09.03.04, 19:44
Also seit ein paar tagen find im im /tmp ordner immer wieder .txt files, die über sh aufgerufen :(

Einmal war mein Server kurzfristig ein OpenRelay.

Denk mal es wär ned gut, hier das script zu posten (hab auch die url zu der page, wo man es herkriegt - steht im file drinnen) würd ich jemanden suchen, der sich mit so nem mist gut auskennt.

Es handelt sich um einen Gentoo Server:
Qmail
Courier-Imap
Apache (Server Version: Apache/1.3.29 (Unix) (Gentoo/Linux) mod_perl/1.27
mod_gzip/1.3.19.1a PHP/4.3.0 mod_ssl/2.8.12 OpenSSL/0.9.6g)
ProftpD (möcht ich jetzt dur Glftpd ersetzen)

Leider viele möglichkeiten um da reinzukommen.

geronet
09.03.04, 20:03
Und nun? Du wirst ja wohl nicht diesen Server weiterbetreiben wollen ?!?

Also alles plattmachen und neu aufsetzen, aber mit neuerer Software, da geht nichts dran vorbei.

Tommy_20
09.03.04, 20:07
Na sicher möcht ich den server weiterbetreiben - is ja mein produktiver mail/webserver *ggg*

Nur das mit dem neuinstallieren geht derzeit noch ned - kann man ned irgendwie das temporär anders lösen? :(

Svenny
09.03.04, 20:32
kann man ned irgendwie das temporär anders lösen?


shutdown -h now

Tommy_20
09.03.04, 20:34
Original geschrieben von Svenny
shutdown -h now

wow - danke das du mich mit deiner weisheit bedacht hast :ugly:

sirmoloch
09.03.04, 20:41
Original geschrieben von Tommy_20
wow - danke das du mich mit deiner weisheit bedacht hast :ugly:

Er hat aber recht. Mach einfach nen reboot und dein /tmp wird gereinigt.

Tommy_20
09.03.04, 20:42
/tmp hab ich schon bereinigt nur das backdoor bleibt ja :(

irgendwo kommt der in meine kiste rein über nen exploid warscheinlich

sirmoloch
09.03.04, 20:47
Benutz mal nmap um deinen Rechner nach offenen Ports zu scannen und schalte alles ab, was du nicht brauchst.

Mit den Angaben, die du machst, kommt keiner weit.

Tommy_20
09.03.04, 21:09
gateway root # nmap -sS -P0 -p1-65535 [meine ip *g*]

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on gateway ([meine ip *g*]):
(The 65529 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
143/tcp open imap2
3306/tcp open mysql

Nmap run completed -- 1 IP address (1 host up) scanned in 670 seconds


MySQL wird über iptables allerdings geblockt von aussen.

Hab die aktuellste Version von ssh, apache (1.3.29) und mysql installiert übrigens (also die bisherige version ausgenommen config-file komplett überschrieben).

ProftpD ist auch gelaufen, nur den hab ich mal deaktiviert.

giga
09.03.04, 21:33
Und wo steckt denn jetzt die Lücke? Oder hab ich was überlesen? Wäre sehr interessiert dran, hab 2 Gentoo Server am laufen...

Tommy_20
09.03.04, 21:45
das frag ich mich auch - eine möglichkeit könnte proftpd sein, der nicht der sicherste ist und auch nicht ganz aktuell war (wie apache leider auch).

ich schau mir mal glftpd an, der sehr sicher sein soll.

werd die kiste auf jeden fall neu installieren aber hoffe, ich kann den typen noch ne woche fernhalten, weil vorher wirds etwas stressig *g*

sirmoloch
09.03.04, 21:56
Hast du ssh in einer aktuellen Version?
Falls du es nicht brauchst, deaktivier es einfach. Wie gesagt, alles, was du nicht brauchst, deaktivieren.

PS: Irgendwie sehe ich bei dir keinen ftp Port...:confused:

Tommy_20
09.03.04, 21:58
ssh brauch ich sehr oft, von daher kann ich es leider nicht deaktivieren - das root passwort hab ich schon geändert und werds ab sofort täglich ändern nur ich glaub der kommt wo anders rein.

ssh hab ich vorgestern dann aktualisiert und ftp port siehst keinen, weil ich den proftpd erstmal abgedreht hab ;)

sirmoloch
09.03.04, 22:03
Original geschrieben von Tommy_20
ssh hab ich vorgestern dann aktualisiert und ftp port siehst keinen, weil ich den proftpd erstmal abgedreht hab ;)

Achso...;)

Haste schonmal mit last kontrolliert wie es mit Logins aussieht?
Eventuell solltest du dir auch mal deine Benutzerliste anschauen, wer weiß, wie dreißt der Typ ist.

Ansonsten: So schnell wie möglich plätten.

Matzetronic
09.03.04, 22:23
ähm,

es führen ja bekanntlich viele wege nach rom......aber

wie wäre es, wenn du mal nachsiehst, wem die dateien in /tmp gehören ?????

mfg,
matze

sirmoloch
09.03.04, 22:28
Original geschrieben von Matzetronic
wie wäre es, wenn du mal nachsiehst, wem die dateien in /tmp gehören ?????

Warum einfach, wenns auch kompliziert geht? ;):ugly:

Tommy_20
10.03.04, 07:20
Das file gehört dem User "apache" aus der gruppe "apache" - also kam er so rein.

Hab mod_perl deaktiviert und ca. die hälfte der webseiten (darunger phpBB Boards und sowas) - seit gestern abend kein angriff mehr - mal schauen, vielleicht is der über so ein ******* unsicheres board reingekommen *grml* und root rechte hatte er vielleicht nie - in tmp hat ja jeder vollzugriff

giga
10.03.04, 07:55
Original geschrieben von Tommy_20
Das file gehört dem User "apache" aus der gruppe "apache" - also kam er so rein.

Hab mod_perl deaktiviert und ca. die hälfte der webseiten (darunger phpBB Boards und sowas) - seit gestern abend kein angriff mehr - mal schauen, vielleicht is der über so ein ******* unsicheres board reingekommen *grml* und root rechte hatte er vielleicht nie - in tmp hat ja jeder vollzugriff

Ich hab gedacht du hättest einen Link gefunden worauf man das Exploit runterladen kann?


Denk mal es wär ned gut, hier das script zu posten (hab auch die url zu der page, wo man es herkriegt - steht im file drinnen) würd ich jemanden suchen, der sich mit so nem mist gut auskennt.

Tommy_20
10.03.04, 07:57
ich hab den link gefunden zu nem tool, dass ihm dann von innen erlaubt auf die kiste zuzugreifen.

das macht dann ein backdoor auf über das er reinkann

Kip
10.03.04, 08:16
hast du sowas wie suExec oder suphp für deine Scriptsprachen laufen? ... wenn nein => installieren!

Tommy_20
10.03.04, 08:17
nö, hab ich ned laufen - wie richt ich das dann ein? :)

Kip
10.03.04, 08:45
http://suphp.org/Documentation.en.html
http://httpd.apache.org/docs/suexec.html

... damit werden scripte mit den rechten des besitzers ausgeführt.

RapidMax
10.03.04, 22:42
Original geschrieben von Tommy_20
... *grml* und root rechte hatte er vielleicht nie - in tmp hat ja jeder vollzugriff
Und wenn doch, wirst du es so nie erfahren. Wie schon erwähnt, ist die einzige, sichere Methode eine Neuinstallation. Wenn der Rechner unbedingt noch weiter laufen soll, dann bitte nicht ohne das System richtig zu checken.

Vorschlag: Packe dir chkrootkit inklusive sauberer Unix-Shell-Tools auf eine CD und check damit den Rechner. Wenn du nichts findest, boote den Rechner von einer Live-CD/Disk (Knoppix, Tomsrtb, Gentoo-Live-CD etc.) und wiederhole den Scan. Nutze diese Gelegenheit und checke auch nochmals von Hand, ob du was verdächtiges finden kannst: chkrootkit findet nur rootkits die es kennt, ausserdem schlägt es auch gerne mal Fehlalarm. Am besten du lässt auch gleich einen Virenchecker laufen.

Wenn du bis jetzt noch nichts gefunden hast, dann kannst du den Rechner wieder starten, aber mit äusserster Vorsicht, denn die Chance ist gross, dass du immernoch befallen bist. Starte in einem Runlevel, in dem keine Dienste laufen. Aktualisiere alle Dienste (Bei Gentoo nur ein Einzeiler) und deaktiviere alle Dienste, welche du nicht unbedingt benötigst.

Bete dass jetzt kein Rootkit läuft und installiere das System so schnell wie möglich neu!

Gruss, Andy

Tommy_20
10.03.04, 23:19
also aktueller stand ist:

alle server dienste sind nun auf dem aktuellsten stand - chkrootkit wurde komplett neu runtergeladen und gleich gescannt.

seit gestern früh keine verdächtigen aktivitäten, bei last nachgesehen und keine logins von unbekannten ip's (nur die von der firma und meine vom lan).

es laufen bereits auch nur dienste die ich wirklich brauche - leider etwas viel bei einem produktiven web/mail server - der ftp bleibt vorerst deaktiviert.

nächste woche find ich hoffentlich zeit zur neuinstallation - wobei der mailserver immer ne challenge is *G*