PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Merkwürdige Attacke gegen meinen server! Help



Froschpopo
24.11.04, 13:33
ich hab nebenbei immer tail -f /var/log/httpd/access_log laufen und was müssen meine müden augen dort erblicken:


213.157.183.114 - - [24/Nov/2004:13:20:36 +0100] "GET /.wamusk/index.php HTTP/1.0" 200 0
209.237.238.178 - - [24/Nov/2004:13:20:47 +0100] "GET /index.html?ID=profil&userid=209057&SESSIONID=%%sid%% HTTP/1.0" 200 10924
213.157.183.114 - - [24/Nov/2004:13:21:11 +0100] "GET /.wamusk/index.php HTTP/1.0" 200 0
66.196.90.176 - - [24/Nov/2004:13:21:34 +0100] "GET /robots.txt HTTP/1.0" 404 278
213.157.183.114 - - [24/Nov/2004:13:21:47 +0100] "GET /.wamusk HTTP/1.0" 301 311
213.157.183.114 - - [24/Nov/2004:13:21:57 +0100] "GET /.wamusk/index.htm HTTP/1.0" 404 285
213.157.183.114 - - [24/Nov/2004:13:22:01 +0100] "GET /.wamusk/index.html HTTP/1.0" 404 286
213.157.183.114 - - [24/Nov/2004:13:22:47 +0100] "GET /.wamusk/wamu.html HTTP/1.0" 200 216
213.157.183.114 - - [24/Nov/2004:13:24:11 +0100] "GET /.wamusk/index.php HTTP/1.0" 200 0
213.157.183.114 - - [24/Nov/2004:13:24:16 +0100] "GET /.wamusk HTTP/1.0" 301 311
213.157.183.114 - - [24/Nov/2004:13:24:17 +0100] "GET /.wamusk/ HTTP/1.0" 200 7304
213.157.183.114 - - [24/Nov/2004:13:24:41 +0100] "GET /.wamusk/login.html HTTP/1.0" 200 25060
213.157.183.114 - - [24/Nov/2004:13:24:42 +0100] "GET /.wamusk/imgs/Common.js HTTP/1.0" 200 36378
213.157.183.114 - - [24/Nov/2004:13:24:44 +0100] "GET /.wamusk/imgs/IEWin.css HTTP/1.0" 200 13268
213.157.183.114 - - [24/Nov/2004:13:24:45 +0100] "GET /.wamusk/imgs/wamucom_logo.gif HTTP/1.0" 200 1706
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/1px_clear.gif HTTP/1.0" 200 43
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/personalbanking.gif HTTP/1.0" 200 1186
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/onlinebanking_tab.gif HTTP/1.0" 200 718
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/accountchoices_tab.gif HTTP/1.0" 200 686
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/loanscreditcards_tab.gif HTTP/1.0" 200 675
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/customerservice_tab.gif HTTP/1.0" 200 612
213.157.183.114 - - [24/Nov/2004:13:24:46 +0100] "GET /.wamusk/imgs/secure_button.gif HTTP/1.0" 200 509
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/1px_white.gif HTTP/1.0" 200 43
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/btn-createlogon.gif HTTP/1.0" 200 593
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/logon_ytl.gif HTTP/1.0" 200 129
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/logon_ybl.gif HTTP/1.0" 200 126
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/logon_ybr.gif HTTP/1.0" 200 125
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/logon_ytr.gif HTTP/1.0" 200 129
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/btn-logon-go.gif HTTP/1.0" 200 289
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/logo-equalhousing.gif HTTP/1.0" 200 418
213.157.183.114 - - [24/Nov/2004:13:24:47 +0100] "GET /.wamusk/imgs/1px_mainblue.gif HTTP/1.0" 200 61
213.157.183.114 - - [24/Nov/2004:13:24:48 +0100] "GET /.wamusk/imgs/whiteline_vertical.gif HTTP/1.0" 200 36
213.157.183.114 - - [24/Nov/2004:13:24:48 +0100] "GET /.wamusk/imgs/4.gif HTTP/1.0" 200 43
213.157.183.114 - - [24/Nov/2004:13:24:54 +0100] "GET /.wamusk/imgs/blueline_vertical.gif HTTP/1.0" 200 36
213.157.183.114 - - [24/Nov/2004:13:25:01 +0100] "POST /.wamusk/index.php?MfcISAPICommand=VerifyFPP&UsingSSL=1&login=<?echo%20$login?>&pass=<?echo%20$password?> HTTP/1.0" 200 52213
213.157.183.114 - - [24/Nov/2004:13:25:05 +0100] "GET /.wamusk/imgs/btn-next.gif HTTP/1.0" 200 452
213.157.183.114 - - [24/Nov/2004:13:25:14 +0100] "POST /.wamusk/index.php?MfcISAPICommand=VerifyFPP&UsingSSL=1&login=sads&pass=asdasd HTTP/1.0" 200 27255
213.157.183.114 - - [24/Nov/2004:13:25:37 +0100] "GET /.wamusk/index.php?MfcISAPICommand=VerifyFPP&UsingSSL=1&login=sads&pass=asdasd HTTP/1.0"
200 52201

was ist das denn diesmal für ne Strategie und wieso liest das ding die robots.txt aus? Das merkwürdigste ist der Status (kein 404), diese dateien scheint es wirklich zu geben auf meinem server aber wo kommen die her?????

Froschpopo
24.11.04, 13:35
diese dateien wurden von root angelegt ! habs grad gefunden!!! sieht schwer nach nem sicherheitsloch aus!!!1

Tomek
24.11.04, 13:38
*backspace-hämmer*

Die robots.txt ist die Konfigurationsdatei für Suchmaschinen (siehe Google-Suchergebnisse (http://www.google.de/search?hl=de&q=robots.txt&btnG=Google-Suche&meta=)).

Froschpopo
24.11.04, 13:48
der typ kommt irgendwie ständig unter root rein un installiert immer wieder diese datei!!!! wie kann ich rauskriegen welche befehle der eingibt? hab mal versucht mich als root einzuloggen und dann mit der pfeilhoch-taste die history abzufragen aber da kommt nix

taylor
24.11.04, 13:51
Erstmal solltest Du ihn aussperren.

Froschpopo
24.11.04, 14:00
wie denn? woher weiss ich WO der reinkommt?

cane
24.11.04, 14:01
213.157.183.114 - - [24/Nov/2004:13:25:01 +0100] "POST /.wamusk/index.php?MfcISAPICommand=VerifyFPP&UsingSSL=1&login=<?echo%20$login?>&pass=<?echo%20$password?>

Mir scheint er möchte damit deinen Login austricksen:

login=<?echo%20$login?>&pass=<?echo%20$password?>

Damit ersetzt er den normal einzugebenden Login durch die Variable $login.

cane

marce
24.11.04, 14:08
Ist denn das Verz. .wamusk von Dir angelegt?

Wenn nicht, hast Du ein ernsthaftes Problem.

... und das MfcISAPI klingt aber irgendwie nach einen IIS-Exploit...

Froschpopo
24.11.04, 14:12
ich hab als erste maßnahme mal php deinstalliert um den kerl wenigstens schonmal auszubremsen. diese dateien wurden alle unter root erstellt. ich muss mich erst als root einloggen um dann die dateien löschen zu können!!! Aber wie hat der das geschafft?

marce
24.11.04, 14:18
ich hab als erste maßnahme mal php deinstalliert um den kerl wenigstens schonmal auszubremsen. diese dateien wurden alle unter root erstellt. ich muss mich erst als root einloggen um dann die dateien löschen zu können!!! Aber wie hat der das geschafft?

ahm, die erste Massnahme wäre wohl eher, den Server abzuschalten und aus dem Netz zu nehmen...

Wenn die Dateien nicht von Dir sind und auch sonst von keinem, der das ROOT-PW des Servers kennt und dort sind - dann ist die Kiste wohl geknackt worden...

Froschpopo
24.11.04, 14:23
ja weiss ich ja mittlerweile selbst und weiterhelfen tut mir das auch nicht ;-)

Froschpopo
24.11.04, 14:28
ps: wenn er mein root passwort kennt, dann muss er sich ja trotzdem irgendwo einloggen und den telnetserver hab ich auch gelöscht. wie kann ich denn ne liste kriegen mit den möglichen ports wo er reinkommen könnte?

corresponder
24.11.04, 14:34
netstat - an |grep LISTEN

eigentlich solltest du doch selber wissen, welche ports offen sind...


gruss

c.

MeHa
24.11.04, 14:35
http://www.google.de/search?hl=de&client=firefox-a&rls=org.mozilla%3Ade-DE%3Aofficial&q=wamusk&btnG=Suche&meta=

Froschpopo
24.11.04, 14:40
also ein virus !
Aber mich würde nun interessieren, wie der zu den rootrechten gelangt wenn ich sogut wie nie als root arbeite!? Ich habe auch noch nie etwas angeklickt in den mails (kmail). Ist es vielleicht von relevant, dass ich einen eigenen postfix-server betreibe der die mails nicht von einem pop abruft, sondern selbst ein pop anbietet? aber die mails werden ja auch in einem unterverzeichnis von /home/user gespeichert

MeHa
24.11.04, 14:46
? richtig interpretieren, du wirst hier gerade zum "mirror" einer pishingattacke gemacht, dein webserver dient nur dem datenklau, spam soll über deinen mailserver laufen usw. er macht sich nur die mühe seine arbeit und somit das risiko seiner entdeckung auf andere zu verteilen (womöglich schickt dein postfix im dann auch noch per cron eine liste der geklauten passwörter (derren der gepishten user). egal, setz deine distro neu auf (von grund auf) und arbeite zukünftig mit sicherheitstools (firewall & co).

MeHa
24.11.04, 14:50
% This is the RIPE Whois tertiary server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

inetnum: 213.157.160.0 - 213.157.191.255
org: ORG-RA18-RIPE
netname: RO-RDS-20010503
descr: RDSNET
PROVIDER Local Registry
country: RO
admin-c: AS1385-RIPE
tech-c: DV461-RIPE
tech-c: NAG4-RIPE
tech-c: BS747-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: AS8708-MNT
mnt-routes: AS8708-MNT
changed: hostmaster@ripe.net 20010503
source: RIPE

route: 213.157.160.0/19
descr: RDSNET
origin: AS8708
mnt-by: AS8708-MNT
changed: tim@rdsnet.ro 20010503
source: RIPE

organisation: ORG-RA18-RIPE
org-name: RDSNET
org-type: LIR
address: Forum 2000 Building
71-75 Dr. Staicovici
address: 050557
address: Bucharest
address: Romania
phone: +40 21 3010850
phone: +40 21 3010888
fax-no: +40 21 3010892
e-mail: lir-admin@rdsnet.ro
admin-c: AS1385-RIPE
admin-c: DV461-RIPE
admin-c: NAG4-RIPE
admin-c: BCD-RIPE
admin-c: GEPU1-RIPE
admin-c: IX9-RIPE
mnt-ref: AS8708-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
changed: hostmaster@ripe.net 20040415
changed: bitbucket@ripe.net 20040607
changed: bitbucket@ripe.net 20041011
changed: bitbucket@ripe.net 20041116
source: RIPE

person: Andrei Stirbu
address: Romania Data Systems
address: 71-75 Dr. Staicovici
address: Bucharest, Romania
phone: +40 21 301 0888
fax-no: +40 21 301 0851
e-mail: andii@rdsnet.ro
nic-hdl: AS1385-RIPE
notify: notify-ripe@rdsnet.ro
mnt-by: AS8708-MNT
changed: danacorb@rnc.ro 19990212
changed: ciprian@rnc.ro 19990805
changed: root@s2.rnc.ro 20000218
changed: andii@rdsnet.ro 20000220
source: RIPE

person: Bogdan Surdu
address: Extreme Solutions
address: 24 Dr. Carol Davila
address: Bucharest, 050454
address: ROMANIA
phone: +40 21 410 2434
fax-no: +40 21 410 2434
e-mail: tim@extreme.ro
nic-hdl: BS747-RIPE
mnt-by: EXTREME-MNT
notify: ripe@extreme.ro
changed: tim@extreme.ro 20040522
changed: gepu@rdsnet.ro 20040719
source: RIPE

person: Adrian Niculae Gabriel
address: Romania Data Systems
address: Str. Sf. Vineri nr. 25
address: Bl. 105C sector 3
address: Bucharest, Romania
phone: +40 21 301 0888
fax-no: +40 21 301 0851
e-mail: nadriang@rdsnet.ro
nic-hdl: NAG4-RIPE
remarks: object mantained by ro.rds local registry
notify: notify-ripe@rdsnet.ro
mnt-by: AS8708-MNT
changed: andii@rdsnet.ro 20000224
source: RIPE

person: Dragos Vilceanu
address: Romania Data Systems
address: Str. Sf. Vineri nr. 25
address: Bl. 105C sector 3
address: Bucharest, Romania
phone: +40 21 301 0888
fax-no: +40 21 301 0851
e-mail: dragosv@rdsnet.ro
nic-hdl: DV461-RIPE
remarks: object maintained by ro.rds local registry
notify: notify-ripe@rdsnet.ro
mnt-by: AS8708-MNT
changed: andii@rdsnet.ro 20000224
source: RIPE


ist ein proxy http://r4.res.adr.ro