PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server wurde gehackt



ExeCRabLE
28.12.10, 22:54
Moin !

Ich brauche etwas Hilfe beim analysieren wo das Sicherheitsloch ist. Ich betreibe ein Webserver unter 10.04 mit ISPCP 1.0.7. Momentan habe ich schlicht die Webanwendung in Blick, aber ich finde keine "typischen" Spuren in den Logs.

Was mir bis jetzt aufgefallen ist, ist die Berechtigung der Standardbefehle wie ls, mv usw. 112:114 (Letzteres ist die Gruppe postdrop). Das verwirrt mich gerade etwas :)

Der Server wurde mit cb Rootkit, SHV4 Rootkit, SHV5 Rootkit ausgestattet.

Könnt ihr mir dabei helfen, herauszufinden woher der Schuss kam ?

Gruß
Exe

cane
29.12.10, 00:47
10.04

Was ist 10.04?

Fahr das System sofort herunter und setze es neu auf - ein Image für die spätere Analyse kannst Du immer noch ziehen!

mfg
cane

ExeCRabLE
29.12.10, 01:25
10.04 ist die Version von Ubuntu.

Server ist down und das vm-image ist gemountet - wurschtel da gerade drinne herum. Der Webserver muss aber wieder online, daher wäre es irgendwie von Vorteil, wenn ich weiß wo das Loch ist.

muell200
29.12.10, 10:49
Server ist down und das vm-image ist gemountet - wurschtel da gerade drinne herum. Der Webserver muss aber wieder online, daher wäre es irgendwie von Vorteil, wenn ich weiß wo das Loch ist.

welche versionen, welche scripte laufen, ....

das sollte ein fachmann anschauen!
um welche seite geht es?
( auch per pm )

Rain_maker
29.12.10, 11:10
Eine allgemeine Anmerkung:



......., aber ich finde keine "typischen" Spuren in den Logs.


+



Der Server wurde mit cb Rootkit, SHV4 Rootkit, SHV5 Rootkit ausgestattet.

Wenn der Angreifer wirklich einigermassen clever war, musst Du auch die Möglichkeit in Betracht ziehen, daß zweiteres der Grund für ersteres sein könnte.

chiratoss
29.12.10, 18:18
Dem Programm RootkitHunter bekommst du das Rootkit wieder von deinem Server runter. http://www.rootkit.nl/projects/rootkit_hunter.html

Das Problem ist aber nicht das Rootkit, das Problem ist, dass du keine Ahnung hast, was der Angreifer mit deinem System gemacht hat. Um es wirklich wieder sauber zu bekommen geht es echt am schnellsten alles wieder neu aufzusetzen. Wenn's nur ein Webserver ist, dann sollte das auch ohne Backup relativ schnell gehen.

dilindam
29.12.10, 18:21
Also bei einem "meiner" Server war die alte phpmyadmin Version eine Sicherheitslücke.

(also ich musste das dann fixen, ansonsten habe ich mit der Kiste nicht viel am Hut)

Darüber wurde dann ein Bot installiert der dann ssh BruteForce Attacken ausgeführt
hat. Das haben die RootKit-Hunter aber auch nicht gefunden. Erst mit ps haste die vielen Prozesse gefunden. Bot löschen, neue phpMyAdmin-Version installieren und gut.

HirschHeisseIch
29.12.10, 18:25
Oha... Wenn ich sowas lese...

Ein gehackter Server (AKA ein kompromittiertes System) ist in _keinem_ Fall mehr Vertrauenswürdig.
Da können Programme wie RKHunter und Co noch so viel versprechen.
Wenn ein mal eine nicht vertrauenswürdige Person ne Shell auf dem System hatte (womöglich gar eine Root-Shell) hilft nur sauberes Neuinstallieren.

bla!zilla
30.12.10, 08:17
Es wäre nicht die erste Maschine wo zwei Rootkits laufen. Eines was sich finden lässt, und eines was gut versteckt ist. Wenn man das erste gefunden wurde, suchen die meisten nach dem zweiten nicht mehr... Die Kiste gehört auf jeden Fall eingestampft. Zudem sollte man den Einsatz von solchen Tools gut überlegen. Sowas birgt immer die Gefahr einer Sicherheitslücke.

solarix
30.12.10, 09:02
Ich hoffe Du hast immer schön Backup gemacht. Den Vorpostern kann ich mich nur anschliessen.
Auf jeden Fall platt machen das Ding. Alles andere ist unseriös und Gefrickel.

marce
30.12.10, 09:22
... und dann hinterher nicht einfach das Backup einspielen - weil sonst sind die ganzen netten Features wieder drin :-)

baumgartner
30.12.10, 14:43
Aber neu aufsetzen mit den selben Lücken hat auch keinen Sinn.

Einer meiner Server war auch schon mal Opfer der besagten phpmyadmin-Lücke. Das gute war nur, ich konnte jeden Schritt der gemacht wurde genau verfolgen, war sogar begeistert was das Ding alles so macht.
In der Regel hilft es gut von allem was in etc,lib und *bin liegt Hashsummen zu ziehen, da kann man dann im Falle dass man Opfer wurde dann vergleichen wo es Änderungen gab. Nachteil ist halt dass man nach jedem Update diese Liste neu generieren muss, aber wozu gibts Cronjobs?

Edit sagt: Wenn du das schon in einer VM "analysierst" dann hoffentlich nicht mit dem System selbst, sondern unter zuhilfename einer Live-CD ;-)

oziris
30.12.10, 17:02
Aber neu aufsetzen mit den selben Lücken hat auch keinen Sinn.
Stimmt zwar, aber wenn's nur ein ge-brute-force-tes Passwort war oder so, dann kann man ja nach dem neu Aufsetzen ein bessereres Passwort oder gar Key-Files nehmen. Außerdem kann evtl. sowas wie tripwire und auch snort oder shadow mit dran hängen, um es schneller zu bemerken, wenn wieder was ist und um auch besser daraus zu lernen und die Lücken schließen zu können.

solarix
30.12.10, 17:08
Stimmt zwar, aber wenn's nur ein ge-brute-force-tes Passwort war oder so, dann kann man ja nach dem neu Aufsetzen ein bessereres Passwort oder gar Key-Files nehmen. Außerdem kann evtl. sowas wie tripwire und auch snort oder shadow mit dran hängen, um es schneller zu bemerken, wenn wieder was ist und um auch besser daraus zu lernen und die Lücken schließen zu können.

Stimmt alles...
Aber meiner Meinung nach ist das sinnvollste bei Dedicated Boxen sowieso, so wenig Kram wie nötig drauf.. und nur die Dienste die wirklich benötigt werden.

FTP z.B. versuche ich schon seit einem Jahr aus unserem Laden zu verbannen.... und wo es geht mit sftp Accounts abzufackeln.

Schon bei der Installation kann man einiges abfangen, wenn man sich ein paar Gedanken macht. Bei einem dedicated Server lohnt sich das wirklich.
Auch der Einsatz von Jails, Zones, oder OpenVZ lohnt sich gerade in solchen Szenarien.

Man muss zwar mehr bedenken.. aber im Zweifelsfall kann man die virtuelle Instanz einfach wegschmeissen.

bla!zilla
31.12.10, 13:01
FTP z.B. versuche ich schon seit einem Jahr aus unserem Laden zu verbannen.... und wo es geht mit sftp Accounts abzufackeln.

Löblich. Ähnliches kann ich über Telnet berichten. Die meisten Leute administrieren ihre Switches/ Router noch per Telnet, IMHO zu selten per SSH.

ExeCRabLE
03.01.11, 16:26
Hallo zusammen !

Da ist man ein paar Tage mit seinem Webserver am kämpfen und verpasst fast den ganzen Thread. Ich habe den Server neu aufgesetzt und dieses mal keine exec usw. Zugriffe zugelassen - es lag schlicht an einem PHP-Formular *gnarf*

Mich interessiert es letztlich, wie der Cracker vorgegangen ist und welche Spuren er hinterlassen hat, daher habe ich das Image in eine VM eingebunden...

Das ganze läuft mir jetzt nicht weg, daher stecke ich meine Nase erst später wieder rein :)

Jetzt läuft Samhain, greensql, denyhost, rkhunter, chkrootkit auf dem Server - mal schauen ob sich doch noch etwas tut :P

baumgartner
04.01.11, 13:56
Vlt kannst du dein Image ja online zur Verfügung stellen dann können auch andere drüber gucken.

derRichard
04.01.11, 14:23
Vlt kannst du dein Image ja online zur Verfügung stellen dann können auch andere drüber gucken.

datenschutz lässt grüßen...

//richard

quinte17
04.01.11, 20:17
naja, andere können ja auch die selbigen hacker sein ;)
die sollten den bestand ja schon kennen

ExeCRabLE
05.01.11, 09:02
Nur weil ein Hacker einen Zugriff auf die Daten hatte, muss es jetzt nicht das ganze Netz sein :) Auf dem Server sind eh kaum Sicherheitsrelevante Informationen - ärgerlich ist nur die hektische Arbeit, das Sicherheitsloch finden und die eigenen Verfehlungen.

Der neue Server ist momentan ohne Angriff bzw. ohne erfolgreichen Angriff, daher denke ich, dass ich das Problem gefunden habe,

PHP-System()->User-Space.

Letzteres wird noch interessant sein ... :)