Kryptonight bei apache solr

[Abdullah]

Hallo, kennt sich einer aus bei diesen Schwachstellen mit Apache solr. Mein Server bekommt immer wieder seit dem 27.02.2018 über apache solr den Krypto Mist auf dem /var/tmp ordner eingenistet.

/var/tmp/.X1M-Unix/fs-manager

Obwohl ich jetzt auf solr7.2.1 hochgegangen bin. kam es wieder rein.
Wie kann ich die Schwachstelle lokalisieren, hat jemand eine Idee.

Irgendwie mit .json Kombination über solr soweit ich verstanden habe, aber ganz durchgestiegen bin ich leider noch nicht.
Wenn sich jemand auskennt kann ich logs zukommen lassen.

 

[Joe User]

Irgendwo hast Du eine noch immer offene Sicherheitslücke, durch welche sich das Botnet jederzeit wieder Deinen Server einverleiben kann.

Setze das System vollständig neu auf, diesmal bitte die aktuellsten verfügbaren sicheren Versionen ausnahmslos aller Bestandteile nutzen und jedwede Konfigurationen vollständig überarbeiten und absichern. Nicht vergessen alle Passworte und Keys durch neue sicherere zu ersetzen.

Erst wenn das Alles geschehen ist, kannst Du die Nutzdaten und zwar nur diese(!) zurückspielen.

Für die Zukunft: Updates sind unmittelbar und ohne Ausnahme zu installieren.

Wenn das nicht hilft: Kompetenten Admin einkaufen und gut bezahlen...

 

[Abdullah]

Kryptonight

Hallo, danke für deine Antwort, diese Sicherheitslücke kommt leider nur dann wenn ich apache solr laufen lasse, ansonsten nicht. Daher habe ich gefragt gehabt. Aber es ist wie du sagst alle Updates zeitnah installieren. Das habe ich aufgrund der Frickelarbeit etwas ziehen lassen.
Es scheint evtl. eine nicht beseitigte offene Stelle bei Apache Solr zu sein.
In Kombination mit Java Oracle gefundenes Fressen für diese Experten(Hacker)

 

[Joe User]

Den fetten Hinweis direkt auf https://lucene.apache.org/solr/guide/7_2/securing-solr.html sowie den dort referenzierten Rest beachtet?

https://wiki.apache.org/solr/SolrSecurity könnte ebenfalls hilfreich sein.

 

[Joe User]

Wenn wirklich solr das Einfallstor ist, dann kommt nur https://mail-archives.apache.org/mo...R_43fRs1A-hOLO3JYuemmUcr1R+TA@mail.gmail.com> in Frage und das würde bedeuten, dass Dein solr entweder noch <= 7.0.1 ist, oder Du den ab >7.0.1 per Default deaktivierten Angriffsvektor vorsätzlich wieder geöffnet hast.

Unabhängig davon scheint Dein solr nicht ausreichend sicher konfiguriert und obendrein auch von != localhost erreichbar zu sein.
Und selbst wenn solr nur per localhost erreichbar sein sollte, bieten die darauf zugreifenden Apps ausreichend Angriffsvektoren.

Es steht Dir also viel Arbeit ins Haus, welche Du Dir hättest sparen können, wenn Du von Anfang an verantwortungsvoller gewesen wärst.

Bitte nimm meine Kommentare als konstruktive Kritik und lerne daraus, dann passiert Dir soetwas nicht so schnell wieder.


Hoffentlich findest Du die Ursache und kannst sie beheben.

Viel Erfolg dabei.

 

[Abdullah]

Hallo, danke du hast recht. Diesen Exploit habe ich bei meiner Version gehabt.
Nur am neuen Update hat es nicht gelegen, ich habe nicht alles gelöscht gehabt daher kam es wieder. Jetzt ist wieder alles ok.
Ich habe alle meiner Meinung nach Wege des Setups gefunden, alle schritte die möglich waren revidiert, danach mit Iptables gesichert und nur über VPN die Seite aufrufen lassen(socks.proxy).
Der Eingang bei mir war wahrscheinlich kein lokaler exploit, da die Inbetriebname dieses mal keine Übernahme mit sich brachte. Aktuell habe ich wieder ungewollt dazu gelernt.
Du hilfst ja, daher nehme ich auch gerne konstruktive Kritik an, und ich habe leider mit Standard Sicherheiten mich zu sehr abgefunden gehabt. Man muss am Ball bleiben.

 

[Joe User]

Respekt fürs schnelle Analysieren und Beseitigen!

Wenn Du nun nach und nach auch Deine anderen Dienste so abarbeitest, dann hast Du ein halbwegs sicheres System und dabei viel dazu gelernt.

Das Ganze sollte man regelmässig wiederholen, zweimal pro Jahr ist empfehlenswert, einmal pro Jahr quasi Pflicht.


Nochmal Respekt und bleib bitte dran, danke.