Hi,

mein Server wurde gehackt, bzw das Verzeichnis auf meinem Server in dem meine Homepage liegt.
Dabei hat der Angreifer eine Text-Datei auf den Server geladen
welche den Virus PsychoFor enthalten hat.
Kennt jemand diesen Virus und kann mir evt jemand sagen durch welche Lücke
der Angreifer mein System betreten haben könnte? Der Server rennt unter Debian 3.0
Hier noch die Error-Logs die mein Server aufgezeichnet hat:

??? cgi die()? --15:13:46-- http://freewebs.com/jkploit/r0nin.txt
??? cgi die()? => `r0nin.txt'
??? cgi die()? Resolving freewebs.com... done.
??? cgi die()? Connecting to freewebs.com[38.119.100.14]:80... connected.
??? cgi die()? HTTP request sent, awaiting response... 200 OK
??? cgi die()? Length: 19,242 [text/plain]
??? cgi die()?
??? cgi die()? 0K .......... ........ 100% 101.57 KB/s
??? cgi die()?
??? cgi die()? 15:13:46 (101.57 KB/s) - `r0nin.txt' saved [19242/19242]
??? cgi die()?
??? cgi die()? sh: index.php: Permission denied
??? cgi die()? sh: cd: /usr/virtualweb/***verzeichnis-geändert***: Permission denied
??? cgi die()? sh: cd: /usr/virtualweb/***verzeichnis-geändert***: Permission denied
??? cgi die()? sh: cd: /usr/virtualweb/***verzeichnis-geändert***: Permission denied

Bin für jede Hilfe dankebar!

r0nin

Nimm den Server vom Netz und installiere ihn neu.

r0nin ist ein Backdoor und wenn er es geschafft ihn zum laufen zu bekommen
hast du ein Problem.

Läuft evtl. ein Prozess namens r0nin?

Grüße
DaGrrr

Danke für die schnelle Antwort!
Nein, der Prozess läuft nicht!
Hier ist mal die Liste die ps ausgibt:

PID TTY TIME CMD
1 ? 00:01:12 init
2 ? 00:00:00 keventd
3 ? 00:00:00 ksoftirqd_CPU0
4 ? 00:00:07 kswapd
5 ? 00:00:00 bdflush
6 ? 00:00:21 kupdated
10 ? 00:00:00 i2oevtd
11 ? 00:00:46 kjournald
50 ? 00:00:00 khubd
183 ? 00:00:27 syslogd
186 ? 00:00:00 klogd
194 ? 00:00:32 nscd
195 ? 00:00:52 nscd
196 ? 00:00:33 nscd
197 ? 00:00:04 nscd
198 ? 00:00:04 nscd
199 ? 00:00:04 nscd
200 ? 00:00:04 nscd
210 ? 00:00:00 inetd
270 ? 00:01:21 sshd
281 ? 00:00:16 cron
323 ? 00:01:56 httpd
332 tty1 00:00:00 getty
333 tty2 00:00:00 getty
334 tty3 00:00:00 getty
335 tty4 00:00:00 getty
336 tty5 00:00:00 getty
337 tty6 00:00:00 getty
357 ? 00:00:15 server_linux
358 ? 00:00:29 server_linux
359 ? 00:22:02 server_linux
360 ? 00:25:38 server_linux
361 ? 00:14:21 server_linux
365 ? 00:17:39 server_linux
366 ? 00:17:50 server_linux
367 ? 00:04:39 server_linux
368 ? 00:19:23 server_linux
369 ? 00:24:38 server_linux
370 ? 00:10:53 server_linux
371 ? 00:23:21 server_linux
372 ? 00:28:17 server_linux
373 ? 00:16:24 server_linux
374 ? 00:18:43 server_linux
375 ? 00:20:47 server_linux
376 ? 00:08:07 server_linux
377 ? 00:00:34 server_linux
378 ? 00:34:58 server_linux
379 ? 00:34:55 server_linux
380 ? 01:09:22 server_linux
11367 ? 00:21:30 server_linux
11368 ? 00:29:07 server_linux
11369 ? 00:23:15 server_linux
18453 ? 00:09:15 server_linux
18454 ? 00:10:37 server_linux
18455 ? 00:04:52 server_linux
14865 ? 00:00:00 server_linux
22656 ? 00:00:00 lpd
5642 ? 00:00:16 httpd
5643 ? 00:00:10 logwatcher
5794 ? 00:00:21 sendmail
5901 ? 00:00:00 popper
5902 ? 00:00:11 tail
5903 ? 00:00:00 PopbPost.pl2
17372 ? 00:00:00 safe_mysqld
17407 ? 00:00:00 mysqld
17409 ? 00:00:03 mysqld
17410 ? 00:00:00 mysqld
17411 ? 00:00:00 mysqld
25376 ? 00:00:00 httpd
25943 ? 00:00:58 eggdrop
25972 ? 00:00:58 eggdrop
28126 ? 00:00:00 httpd
28131 ? 00:00:00 httpd
28151 ? 00:00:00 proftpd
29229 ? 00:00:00 httpd
2393 ? 00:00:00 httpd
2432 ? 00:00:00 httpd
2433 ? 00:00:00 httpd
2434 ? 00:00:00 httpd
2447 ? 00:00:00 httpd
2449 ? 00:00:00 httpd
2497 ? 00:00:00 httpd
2500 ? 00:00:00 httpd
2502 ? 00:00:00 httpd
2511 ? 00:00:00 httpd
2515 ? 00:00:00 httpd
2517 ? 00:00:00 httpd
2518 ? 00:00:00 httpd
2577 ? 00:00:00 httpd
2579 ? 00:00:00 httpd
2582 ? 00:00:00 httpd
2613 ? 00:00:00 httpd
2809 ? 00:00:00 sshd
2814 ? 00:00:00 sshd
2815 pts/1 00:00:00 bash
2816 pts/1 00:00:00 bash
2821 ? 00:00:00 httpd
2822 ? 00:00:00 httpd
2823 ? 00:00:00 httpd
2838 pts/1 00:00:00 ps


Sicher dass der neugemacht werden muss?
Wäre sehr beschissen...
Eine Ahnung wie der auf den Server gekommen sein könnte?

EDIT: Das war die Nachricht die ich unter meiner Domain dann gefunden habe:

hackbsd Crew 0wnz y0u! @ jank0

Sieht stark danach aus, das er über den httpd reingekommen ist.
Laufen da eigene Scripte? cgi, php??

Dein System ist offenbar komprimitiert... zu deinem eigenen Schutz würde ich den Server offline nehmen, Backup machen.
Es hilft leider nix.

Grüße
DaGrrr

ja, da läuft einiges an php! Ein Gästebuch und sonst halt nur sachen mit php-include. Außerdem hab ich noch einem Freund von mir ein Verzeichniss vermietet, der hat da auch einiges an php laufen, aber auch nur so content mangegment sachen! Ich glaube in dessen Verzeichniss war er vorher drin!
An Cgi, nur ein Counter der von meinem Provider als Goody installiert wurde, ich aber nicht benutze.

hier noch kurz pstree:

init-+-PopbPost.pl2
|-bdflush
|-cron
|-2*[eggdrop]
|-6*[getty]
|-httpd---4*[httpd]
|-httpd-+-20*[httpd]
| `-logwatcher
|-i2oevtd
|-inetd
|-keventd
|-khubd
|-kjournald
|-klogd
|-ksoftirqd_CPU0
|-kswapd
|-kupdated
|-lpd
|-nscd---nscd---5*[nscd]
|-popper
|-proftpd
|-safe_mysqld---mysqld---mysqld---2*[mysqld]
|-sendmail
|-server_linux---server_linux---26*[server_linux]
|-sshd---sshd---sshd---bash---bash---pstree
|-syslogd
`-tail


Also der Backdoor läuft nicht, kann man das so sagen?
Hab meinem Provider eine E-Mail geschrieben.
Bin mal gespannt was da zurück kommt! Webserver ist schonmal offline, MySql auch. Mail-Server lass ich aber noch online, da ich den noch brauche!

Wer weiß ob pstree nicht manipuliert wurde.

Was hat der Provider eigentlich damit zu tun? Ist deine Verantwortung und es liegt nun an dir, den Server schnellstmöglich neuzuinstallieren.

Locutus']Sicher dass der neugemacht werden muss?Ohne wenn und aber: ja.

Locutus']Also der Backdoor läuft nicht, kann man das so sagen?Nein.

Grundsätzlich gilt:
Ein einmal komprommitiertes System ist nicht mehr vertrauenswürdig.
Da kann man Prozesse prüfen wie man will. Entsprechende Prozesse wären mit hoher Wahrscheinlichkeit versteckt.

Werkzeuge wie chkrootkit können zwar melden, wenn es versteckte Prozesse gibt, aber das dient ja in der Regel nur dazu, einen Verdacht zu melden, der bei Dir schon bestätigt ist.

Das Grundproblem ist, daß man auf Grund der Unzulänglichkeiten logischer Werkzeuge grundsätzlich von keinem System absolut sicher sagen kann, daß es nicht komprommitiert ist.
Streng genommen kann man das nicht einmal von einem frisch aufgesetzten System sagen. Da ist dann das Vertrauen in den Distributor gefordert.

Und aus eben auch diesem Grund ist es zwar theoretisch möglich ein komprommitiertes System vollständig zu reinigen, praktisch weiß man jedoch nie, daß einem nichts entschlüpft ist.
Deshalb muß ein einmal komprommitiertes System auch weiterhin als solches gelten, ganz egal, was man unternimmt.
Und deshalb ist ein Neu-Aufsetzen ohne wenn und aber auch die einzige Lösung.

In Ordung, werde mich gleich hinsetzen und alles neu machen.
Aber jetzt zu vor noch eine Frage:
Der Angreifer ist ja über den httpd reingekommen.
Was tue ich denn da am besten um diese Lücke zu schließen?
Denn dann mache ich mir heute die ganze Arbeit und morgen is alles wieder futsch! Wäre sehr nett wenn man mir hier helfen könnte, da ich mich was lücken in httpd angeht, überhaupt nicht auskenne und auch noch nie Probleme damit hatte. Is jetzt das erste mal.

Gruß und Dank
Locutus

Locutus']In Ordung, werde mich gleich hinsetzen und alles neu machen.
Aber jetzt zu vor noch eine Frage:
Der Angreifer ist ja über den httpd reingekommen.
Was tue ich denn da am besten um diese Lücke zu schließen?
Denn dann mache ich mir heute die ganze Arbeit und morgen is alles wieder futsch! Wäre sehr nett wenn man mir hier helfen könnte, da ich mich was lücken in httpd angeht, überhaupt nicht auskenne und auch noch nie Probleme damit hatte. Is jetzt das erste mal.

Gruß und Dank
Locutus

Vielleicht mal nen neureren Webserver (apache2?) installieren. Debian 3.0 hat sehr alte Programmpakete. Auf 3.1 updaten wäre ne Möglichkeit, oder gleich selbst kompilieren, dann kannst du auch den neusten Apache nehmen.

Gruß

Hallo

Ein kleiner "Tipp" um das System abzusichern: Securing Debian Manual (http://www.nl.debian.org/doc/manuals/securing-debian-howto/index.en.html).
Natürlich ist dies nur für einen ersten "Approach", es gibt sicher noch einiges weiteres was man versuchen/machen müsste/könnte.

MfG carnil

Ein kleiner "Tipp" um das System abzusichern: Securing Debian Manual (http://www.nl.debian.org/doc/manuals/securing-debian-howto/index.en.html).Die deutsche Version (http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html) tut's auch ;)

Vielleicht mal nen neureren Webserver (apache2?) installieren. Debian 3.0 hat sehr alte Programmpakete.
Das stimmt so nicht. Solange die Security-Updates eingespielt wurden, hast du mit Woody zwar alte (von der Versionsnr.), aber bei auftretenden Sicherheitslücken aktualisierte Pakete.

mfG

Das stimmt so nicht. Solange die Security-Updates eingespielt wurden, hast du mit Woody zwar alte (von der Versionsnr.), aber bei auftretenden Sicherheitslücken aktualisierte Pakete.

mfG
Wird Debian 3.0 noch überhaupt gepflegt? Ich dachte man sollte seit letzte Woche auf Sarge (3.1) updaten?

Wird Debian 3.0 noch überhaupt gepflegt? Ich dachte man sollte seit letzte Woche auf Sarge (3.1) updaten?

Es gibt noch für ein Jahr security updates für Woody (es sei denn Etch wird früher released :D)

@topic
Also Neuinstallation ist wie gesagt Pflicht. Sicher dir aber auf jeden Fall auch die Logdateien, vielleicht kannst du so noch nachvollziehen was passiert ist.

kleine anmerkung:
das was du meinst sind cracker, nicht hacker. hacker brechen nicht in fremde systeme ein, cracker tun genau das.
luh

Locutus']
Was tue ich denn da am besten um diese Lücke zu schließen?


Vor allem CMS-systeme wie Mambo, Typo und vor allem PHPNuke haben öfter Sicherheitslücken die teilweise von Würmern gescannt und ausgenutzt werden.

Deswegen ist es vor allem wichtig alles rund um PHP immer auf dem aktuellsten Stand zu halten und auch zu prüfen ob Kunden und Bekannte das tun!

Desweiteren wäre es sinnvoll die PHP-Umgebung generell abzusichern:
http://www.google.de/search?hl=de&q=open_basedir+php+security&btnG=Suche&meta=

mfg
cane

Wieso beziehst du das nur auf PHP? Jede Webapplikation (ob es nun ein ausgewachsenes CMS wie Typo3 oder ein kleines Gästebuch ist) in jeder Sprache kann Sicherheitslücken haben.
Bei den *Nuke-Systemen ist das Problem einfach, dass diese bisher schon einen Security-Record haben, der ausgedruckt 3 mal um den Äquator reicht. ;)

Wieso beziehst du das nur auf PHP? Jede Webapplikation (ob es nun ein ausgewachsenes CMS wie Typo3 oder ein kleines Gästebuch ist) in jeder Sprache kann Sicherheitslücken haben.

Da hast Du natürlich Recht... In den letzten Ausgaben des Linux-Magazins war übrigens eine interessante Artikelreihe zum Thema "Sicheres Programmieren". Dabei ist mir erst richtig bewusst geworden was schon ein simples Shellscript anrichten kann wenn man ungültige Parameter nicht abfängt.

Die PHP-Problematik ist fast immer vorhanden - selbst in (semi-)professionellen Hosting-Umgebungen kann man oft die Verzeichnisse der anderen Kunden durch einen kleinen PHP-Filebrowser auslesen.

Und dabei ist es so einfach die PHP-Umgebund abzusichern... dazu noch ein paar Limits damit fehlerhafte Scripte nicht die kompletten Systemressourcen in Anspruch nehmen und man kann ruhiger schlafen ;)

mgf
cane

Macht den Kerl doch net die Welt noch düsterer als sie schon ist ;)

Neuinstallieren ist eine einfache und effektive Methode, die aber das eigentliche Problem nicht wirklich beseitigt: die offene Tür! Denn wenn der _bösewicht_ über httpd rein ist, dann ist das in 99% aller Fälle keine System- und Anwendungsfehler, sondern Script- und damit Benutzerfehler!

Übrigens: Ich kenne keinen dieser _spaßbösewichte_ die die rpm / deb Datenbank manipulieren können. Einen entsprechenden verifylauf könnte Klarheit schaffen, zB über externe Quellen ...


cu/2 iae

Übrigens: Ich kenne keinen dieser _spaßbösewichte_ die die rpm / deb Datenbank manipulieren können. Einen entsprechenden verifylauf könnte Klarheit schaffen, zB über externe Quellen ...

Gute Idee aber ich denke das in den meisten Fällen Malware wie Rootkits etc. von Hand kompiliert wird oder nicht? Deswegen sollte man auf produktiven Systemen ja auch keinen Compiler erc. vorhalten...

mfg
cane

Hast du mal rkhunter und chkrootkit laufen lassen? Würde mich mal interessieren, ob die was finden - vorallem, ob Systemdateien verändert wurden...

Gute Idee aber ich denke das in den meisten Fällen Malware wie Rootkits etc. von Hand kompiliert wird oder nicht? Deswegen sollte man auf produktiven Systemen ja auch keinen Compiler erc. vorhalten...

mfg
cane

Selbst wenn er nicht installiert ist - wie schnell ist sowas auf den Server gebracht? Wenn scp erlaubt ist, dann braucht er nicht mal wget oder was ähnliches... es dauert dann nur ein kleines bissle länger bis das rootkit kompiliert ist...

Liebe Community,


ich danke euch allen für eure Mithilfe.

Habe außerdem noch mit meinem Provider gesprochen

und daraufhin gestern Abend das System komplett neu aufgesetzt.

Nun läuft es wieder ohne Probleme.

Mein Provider hat mir erklärt, dass er die Images die zur Neuinstallation

bereit liegen, bereits überwiegend von Sicherheitslücken befreit seien.

Weiter wurde ich darauf hingewiesen, die genannten php-Applikationen (oder allg. Web-Applikationen) Sicherheitslücken enthalten oder deren Nutzung erst möglich machen. Die Web-Applikationen die ich am laufen habe, sind selbst geschriebene PHP-Anwendungen (Form-Mailer, Gästebuch und auch eine User-Verwaltung) aber auch PHPBB. Ich habe mehrere Verzeichnisse an Freunde vermietet. Einer von denen benutzt auch phpbb allerdings in einer älteren Version. Ihn habe ich darauf hingewiesen, dass er bitte nur phpbb in der aktuellen Version benutzen soll und es stehts auf dem neuesten Stand halten soll. Desweiteren sei gesagt, dass es ja bekanntlich keine 100%ige Sicherheit gibt, auch wenn man phpbb nicht benutzt.

Ich hab wegen der ganze Sache sehr viel über Benutzer-Rechte gelernt und werde jetzt nicht mehr so schlampig damit umgehen wie ich das vorher getan habe.

Ich werde mir außerdem noch das Woody-Sicherheitstutorial anschauen und soweit möglich/nötig in die Tat umsetzen.

klingt aber nach einem kompetenterem provider-support! schön!

klingt aber nach einem kompetenterem provider-support! schön!

Ja das stimmt!
Und das freut mich sehr.
Kann netdirekt.de :ugly: *werbungmach* nur weiter empfehlen!