Festplattenspeicher und Übertragungsvolumen steigen extrem

[stefan-becker]

Hallo,

meine Speicherauslastung ist von vorgestern bis heute um 3 Gbyte angestiegen. Unter den Kundendaten in Plesk kann ich aber nicht sehen, dass jemand soviel hochgeladen hat. Wenn ich diese zusammenzähle, komme ich auch nur auf ingesamt auf 2,8 Gbyte.

Gestern und heute stieg dann plötzlich auch das Übertragungsvolumen dratisch nach oben, besonders wundert es mich, dass es eingehend ist.

Ich habe in den Logfiles nachgesehen, es war kein SSH Zugriff und auch kein FTP Zugriff. Beim Apache Protokoll fehlten die letzte 2 Stunden. Jetzt kann es nur noch sein, dass jemand per Mail das alles verursacht, aber die Frage ist, wie bekomme ich das raus? Oder was könnte es sonst noch sein?

Stefan

 

[l0rd]

Linux Befehl "du"? Da kannste dir anschauen in welchem Ordner übermäßig viel liegt. Setzt natürlich voraus, dass du in etwa weißt, wie groß die Ordner normalerweise sind ...

 

[stefan-becker]

Ist das richtig das om /proc Verzeichnis soviel verzeichnisse mit dem gleichen Inhalt liegen?

dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21792
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21813
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21815
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21829
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21836
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21852
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21854
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21867
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21869
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21892
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21908
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21910
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21911
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21912
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21914
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21915
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21917
dr-xr-xr-x     3 list     list        0 2007-12-27 23:47 21918
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21920
dr-xr-xr-x     3 mysql    mysql       0 2007-12-27 23:47 21980
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 21981
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 22113
dr-xr-xr-x     3 bind     bind        0 2007-12-27 23:47 22131
dr-xr-xr-x     3 qmails   qmail       0 2007-12-27 23:47 22166
dr-xr-xr-x     3 qmaill   nofiles     0 2007-12-27 23:47 22168
dr-xr-xr-x     3 root     qmail       0 2007-12-27 23:47 22172
dr-xr-xr-x     3 qmailr   qmail       0 2007-12-27 23:47 22173
dr-xr-xr-x     3 qmailq   qmail       0 2007-12-27 23:47 22174
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:47 22472
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:47 22521
dr-xr-xr-x     3 root     root        0 2007-12-27 23:47 24029
dr-xr-xr-x     3 psaadm   psaadm      0 2007-12-27 23:47 24034
dr-xr-xr-x     3 psaadm   psaadm      0 2007-12-27 23:48 24254
dr-xr-xr-x     3 drweb    drweb       0 2007-12-27 23:48 24316
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24368
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24393
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24396
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24405
dr-xr-xr-x     3 tomcat4  nogroup     0 2007-12-27 23:48 24428
dr-xr-xr-x     3 tomcat4  nogroup     0 2007-12-27 23:48 24441
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24481
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24524
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 24531
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 25616
dr-xr-xr-x     3 qmaild   nofiles     0 2007-12-27 23:48 25643
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 25714
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 25754
dr-xr-xr-x     3 www-data www-data    0 2007-12-27 23:48 25768
dr-xr-xr-x     3 www-data www-data    0 2007-12-27 23:48 26380
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26605
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26608
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26609
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26611
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26613
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26614
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26620
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 26623
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27648
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27653
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27654
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27657
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27665
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27670
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27671
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27675
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27677
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27678
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27680
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27681
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27682
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27685
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27686
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27687
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27688
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27689
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27690
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27691
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27699
dr-xr-xr-x     3 drweb    popuser     0 2007-12-27 23:48 27700
dr-xr-xr-x     3 qmailq   popuser     0 2007-12-27 23:48 27701
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27702
dr-xr-xr-x     3 popuser  popuser     0 2007-12-27 23:48 27704
dr-xr-xr-x     3 root     root        0 2007-12-27 23:48 27706

 

[elias5000]

Ist das richtig das om /proc Verzeichnis soviel verzeichnisse mit dem gleichen Inhalt liegen?

Ja.
(10 Zeichen)

 

[mr_brain]

Installiere mal das Programm "iptraf". Damit kannst du sehen wohin/wovon welcher Traffic auf bestimmten Ports geht.

 

[stefan-becker]

Beim durchsehen der Verzeichnisse habe ich doch was erstaunliches gefunden:

-rw-r--r--   1 www-data www-data      5 2007-12-27 23:54 bot.pid
-rw-r--r--   1 www-data www-data    408 2007-12-28 00:06 bot.state
-rw-r--r--   1 www-data www-data    408 2007-12-28 00:03 bot.state~
-rw-r--r--   1 www-data www-data     48 2007-12-27 23:54 errors.php
--rwxrwxrwx   1 www-data www-data 249804 2007-10-27 15:13 linux
drwxr-xr-x   2 www-data www-data   4096 2007-12-27 20:18 .tmp

Und das gehört da definitiv nicht hin! Jetzt ist die Frage, wie kommt es dahin ..

 

[marneus]

Hach ja... ich erinner mich dunkel, dass wir genau sowas mal orakelt hatten...

Die Dateien wurden durch ein unsicheres Skript auf Deinem Server hochgeladen (User: www-data). Durchsuche die access_logs zwischen dem 27.12 und 28.12. (in /var/log/apache2) nach dem Upload der Dateien.

 

[stefan-becker]

Ja .. aber ich dachte es wäre was anderes gewesen :-(

So ich habe mir das apache2 Logfile angsehen. Genau zu den Zeiten fehlt alles?! Wie geht das??

[25/Dec/2007:15:20:42 +0100]
[27/Dec/2007:01:01:52 +0100]

 

[wstuermer]

Hi,

der Uploader oder auch das mißbrauchte Script war so schlau, seine Spuren zu verwischen.

-W

 

[stefan-becker]

Wie kann ich denn nun herausfinden, welche Script es ist?

 

[Roger Wilco]

Mailinglisten und Herstellerseiten nach bekannten Lücken abgrasen oder selbst einen Audit durchführen...und danach das System neu aufsetzen. Dass der Angreifer deine Logs löschen konnte weist entweder auf eine hirnlose Konfiguration (www-data mit Besitzrechten für die Logdateien) oder einen Root-Exploit hin. Beides unschön und beides erfordert ein Neuaufsetzen des Systems.

 

[stefan-becker]

Ok, es können dort auch nur 2 Anwendungen und ein eigenes Script möglich sein.
Ich werde diese unter die Lupe nehmen, ein neuaufsetzen hat ja vorher keinen sinn, wenn die alten Löcher wieder da sind.

Aber mir kommen noch fragen wegen dem Apache Log. In dem access_log stehen daten von July drin, kann man die Datei nicht bereinigen, sie ist doch dann sehr aufgebläht? Und wie schreibt Apache die Daten hinein, sofort oder puffert er die noch vorher? Und wenn sich jemand über die Basisauthentifizierung einlogt, müsste das nicht auch da drin stehen?

 

[traced]

Hi, google mal nach Logrotate! Und, bitte lass den Server nicht so am Netz hängen! Sicher Deine Daten (alles!), hol sie Dir heim und mach die Kiste platt!

viele Grüße
Basti