Server gehackt? Wie kommt man drauf?
- Thread starter tjabo
- Start date
hallo,
also gestern haben 2 sachen nicht funktioniert, der befehl top,
der konnte nicht ausgeführt werden...
hmm, der tmp ordner sieht so aus:
die top läuft jetzt wieder und gibt:
und mit ps hx kommt folgendes
sollte soweit eigentlich normal sein oder?
also gestern haben 2 sachen nicht funktioniert, der befehl top,
der konnte nicht ausgeführt werden...
hmm, der tmp ordner sieht so aus:
Code:
/tmp # ls
. sess_5a05055c8922dbfe087f06d14aacc868 sess_b0549621d221fcc0f5aef230f24b2c8d
.. sess_5a377f61bcde4b1f9ff752cfdeb4b731 sess_b12cf3d7aa35ad9da4ffea253dedb7ef
... sess_5a73d21e57fc03cdcbad8e2ea5d7bf2b sess_b16ab5f0e17088cc73d7726b1f42af6d
.ICE-unix sess_5c6e79693c98972bbdb5b175ad53d307 sess_b1bb465baf4fea3bdbece9c4a253fdee
.X11-unix sess_5e07426d834e30198171760c5c835735 sess_b421b5cacddc84993135172b598eab5b
.webmin sess_5e9373ec35a9b09300c0bf294498eaf8 sess_b582acf366da9e097df5c9cd01c06358
cron.1 sess_5f2a94b9ce250f77f41c2de21ea109fd sess_b60c4b52075c58b1aff24b1718aefc35
par-games sess_5f32fcdc11dfed35d88db3d20062c561 sess_b696eb38e7c76766db5a62bc5ade21f0
sess_05a304cce5bdd5d7b0ed214f06defa41 sess_60fa8cd2f23192ccc527ece1d3954c2c sess_b86bedcf3832d47cf49ad9aed4990337
sess_07925227985d80bfe6f96bddf46a0788 sess_612f3db013226402b11a8b69adef8d99 sess_ba2487027c6efda7ffde05a3327a51f1
sess_07f0d769a6332972d07e73d6273d254f sess_62fdb107db1e5781afa887b59fb1f2d2 sess_bbd93de213a871f1a93ec35e0b894129
sess_07fa7fc9ce5c00a89f2eefa95a77523b sess_65031507e84dfc99229a68727fb3407d sess_bce70fd94374ba83f177178353b8263e
sess_090acf0e9295d2e9d4de2a67f955cfe5 sess_6c7c2b958bcfcb9396fcf53b1dd17139 sess_bdbbfe23c15f4c79be309c8f94bf6452
sess_091621e6a8b3d0f041b66fd76e2b990e sess_6fee5c415f07b854fa3bfbf56e90c1ea sess_bf078f1426d87048d5500e648dc91e40
sess_0a567c9f0e2778329b5d8a7e22cfeb12 sess_74de55f62cd140498c2dafa7619f63b4 sess_c058be1f0e7c959997969c6b1da96b38
sess_0a6888678c46887413136375abf8900c sess_7668e1e551f3f49d5a6ba4c3f6ca0394 sess_c1d7d516995fb4e496e2feb0041e7fc9
sess_0af54a1133489cb47debe1013cf5c65d sess_7805c058372fef4b4d5f3de96b34a483 sess_c4b935b7c54c71da275ef98ce2d4d855
sess_0b458626eff1d2f06332ad4303a3be82 sess_78b48712f464f787bc8f41e4c9fc9e99 sess_c5922f21f05866354225edaf869ee591
sess_0e78feb376eb6c4eac952d8b8b50c132 sess_79398faff9360dc77c3ba6e64425d391 sess_c65d64ea6d39a56da6ef6b23433bb50c
sess_0f6df9da59befd70b23e9f4f75e7fa01 sess_7a3df78c254f07462840a23511396018 sess_c8db186b39df4d211be3c3cbcf372831
sess_1233fc6103c6cf132c58f063e30b011d sess_7d4f5dad25e267d18abdd9daead857fd sess_cb6c7a1edd1a2f30b1260769bfc010d2
sess_143c5f74fa182f399f7cb18c4ce6b2c3 sess_7dbf11e79bc730e4508f052f89fa2e48 sess_cb80cef9fb5f522a0e7b110c1bfe77cb
sess_15aa79264d378cc382bde8d497c5bba5 sess_7dca1026aba0c43d0707810c1b83f7f7 sess_cb8528b36e706339c91523f9f77f8abf
sess_1b39cb9da6efc7e097b00f600740e4e5 sess_7e3e17f8a20fae74b02a4e2bcff3ed7d sess_ccd639b892a8bc1957ea74f8f49e9abd
sess_1bdc9af8b7f96bb46d13278ee7b54b5f sess_7e44a478d326efd588ea1b782312d055 sess_ccdc51bc4dd82b2e321e5f2c00b78514
sess_1c5d63dcd7cb957b9094b7adea2253fd sess_7f9fc93a2611337c0e269ccaff04e2e7 sess_ce8ecdb14a6920acb47882b591a98f16
sess_1cdf6bdc14cc4de20225011f36043b0e sess_82257cfee558a7bc0629c8799d08e7ea sess_cea32555d447f95b693ac7fc60b76939
sess_1cf75271996cd573652e64b110f3f204 sess_8271ec0fd1ff632413a0f04c898b8618 sess_d1e1306764ee2bde8bf63e674a654583
sess_1d3feed599378e9801a02d2f5a6b3998 sess_893e9bc7549eeaeb1a4d323022b9d1f5 sess_d27e2cade0370c5ed2bc33a816dfb68b
sess_1f1da99ecdb5f2da1fb9292fc4363a3a sess_8ad3ba9c0ab73139fc421026cdeee971 sess_d4de977a43fe5ed0b091909fec1f093b
sess_219e4514ac8eb159d68282b91069afb2 sess_8b3ec68caeaaec21c59a3dfd08cde587 sess_d85d346d5dd84d408bf50d9327fd9862
sess_21b1015bc82bc9845ab2a5776d018116 sess_8bd0f6c30d2b2e21a028cde6ba587010 sess_da37b84437429fb6388f9d982c734f9b
sess_235026a4eb32a9dedeba1b74c87a475c sess_8d23e872609bd2eae3c384a275ee526f sess_dbdd9e884434c8f8768c70afd6199e25
sess_23bd456743f04b3f7473d805a732ae7d sess_8db015dfe5b13242db79e0fd4f372942 sess_e0084b33d1f1954cf3f9fb4dacb4d0d0
sess_264b489996460b429e0ec7c8b15388af sess_8e7ee89a1871a79c99475dac1dd7c279 sess_e2580bbef34374eca496e413e6373c30
sess_2654f8c420701c9a8093c5741bee3aa2 sess_8ed85bfaafa3bcd176a0d55dac65e6e5 sess_e388163782ff19c54c9b34f3fa2c89f9
sess_2a2242a446a881524df030206c9189f8 sess_90154e39644ee4b7438a471fd50a36c2 sess_e6134b3f128747cc03533e0a563fb6a1
sess_2be99d9dcec470ec3c8925858f5f6f47 sess_914e0c8a5907d759a19516d1516aa53c sess_e633b712c797d9668050c59b0c8bb10c
sess_2c9af81e44907210fc21d42c726d0234 sess_9220e32202e9698558ed79ee4b6d02f4 sess_e784110705a4da5e784e590c68da8d6a
sess_2d791539a56e7100070dc3aebabf3e1a sess_938649b88ba565a333a2587c05481cc2 sess_e927e714efc1a75a1ce072f4a7b79a67
sess_2ee036de93977444ba55af9b15c3a0d0 sess_952b3d33a8565695a6f45795ac0042a7 sess_ef9b97a4c2afc6ad71fb0854b68ba9c6
sess_30567de29ad788bb46e1707d61d87029 sess_958b2349923383ad30598999986aee0b sess_f098b69a5ad7c092832172bd2f692391
sess_367c6ba33a839cd0f8ff640847aec7a8 sess_97f375c3c8aa457b65982c5d18cacece sess_f099ac1da5e75d64356ad5eb55c850b6
sess_39d50a70a1539988d4c73206b5c2de80 sess_97f4768bce7fd3198351e453a3152cb8 sess_f0ff9c3e622d457ca7ea13e7fac0d100
sess_3a621599e0d519dbcbec62a10c085be8 sess_988e7e84a704b6f16d292c0a8fd96c8a sess_f1321f4499dd67ba479ff76ec14dde93
sess_3b6a1a62482e99c10a9eacaff7901b1b sess_9b6d70fe373523e3f23bc50715bb0ec5 sess_f1b1d76dd1ede691e92159abb6e9f578
sess_3ba0a181d657903dcb575e7b2764b441 sess_9c0eaa0f5ecae9f788478c0a0ac56b24 sess_f40e7ad4f87358bcadfb1192bb8659ec
sess_3eb01a8419904b0ad6384f0fa72521c2 sess_9c4383a7fda897097358093baa203dbf sess_f4a7204f42751d072338da02037a6d2e
sess_3edcde4ed6a042d247a02bdbf7f3e37c sess_a36a170e55ff3c46761aa63e1a1c44f2 sess_f7462443e3737ab79d822fc68097306d
sess_3f6f40e49c2ae4ed57e089a808460071 sess_a3bc364d3b29eb7719241258684b0d79 sess_f8725dd958fd8a4c1c2e7bc43f3a9605
sess_3f87444417acfde773b9dd2f5f8cc822 sess_a42bf3242622108dd71c9a4ceff858e1 sess_f898dac047f913a2fdbf535a444a58de
sess_40e75eea1eadc7c879e5f776027e607a sess_a63599209f727eaeec28006fc6de5593 sess_f8f50c7b53d27ff4abc902235dc81186
sess_4318589899e678ac8bb262f2b5cc56ad sess_a75ec7f4cdb51ac8b96efa1290e17025 sess_faf5f9e79ca5f1977f7f3c436ef07647
sess_4a2f258d94511748ea274747d4946cb3 sess_a769eb16b98595eb5d9e47bd8ec24377 sess_fbe7ccf799a48f508426b8bed3fb75e2
sess_4fe8df47212c2ac9e92b08cb4ba62a24 sess_a81a00b79d3d8a09d1407bed41efb57f sess_fc06d99383dfaf2f97e247a78bd66188
sess_51d6136d00ab57070c26b9d2de47f021 sess_aa68be6e57c366de831859ba4ab2c1dc sess_fcf8f7832cc1400f3d186a6d37424a23
sess_53a2347421ad598c49d5b2041251021d sess_ab1eaf121ce031773c018e275a9ca716 sess_fd0b51ee2d49fc7fe94c4008e3aefaa0
sess_55e71a8f3a55d53f6164a4abf6d28df4 sess_abdd88b2eb6951e4d4c5b5af0e2d2a2e sess_fdc491bbc4cc695e1be047eec3721f76
sess_5822c84574533b051b4e9d67c133ddeb sess_af2028cd9afcf2dd1b9e5416331a6615 sess_ff5bf19325015d6e20b32d2f37f4c0a6
sess_58e4482dfed7adde419da018d451c7b7 sess_afa6bbdf89f6edb65145bf894ee5fda0 sess_ff87ef675e69cc51fc007818e30ec4fa
sess_59b2de2c845de4b50948407fc301737d sess_b01254ccccfcf1ec248a9d439922efc5die top läuft jetzt wieder und gibt:
Code:
top - 13:02:05 up 20:29, 1 user, load average: 0.18, 0.09, 0.09
Tasks: 100 total, 2 running, 96 sleeping, 0 stopped, 2 zombie
Cpu(s): 20.4% user, 8.6% system, 0.0% nice, 71.0% idle
Mem: 223428k total, 207736k used, 15692k free, 65064k buffers
Swap: 506008k total, 43204k used, 462804k free, 28148k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8690 vscan 20 0 22120 18m 9952 R 5.6 8.4 0:00.17 spamd
8302 vscan 15 0 14204 9156 4516 S 2.0 4.1 0:00.57 amavisd
8557 vscan 16 0 14096 8948 4460 S 1.7 4.0 0:00.14 amavisd
8671 vscan 15 0 21256 20m 11m S 1.3 9.4 0:00.04 clamd
8672 postfix 15 0 2480 2480 1892 S 1.0 1.1 0:00.03 smtpd
8679 postfix 16 0 2516 2512 1936 S 1.0 1.1 0:00.03 smtpd
8668 postfix 15 0 1464 1460 1180 S 0.7 0.7 0:00.02 smtp
8673 postfix 16 0 1580 1580 1292 S 0.7 0.7 0:00.02 local
8680 postfix 18 0 1672 1672 1292 S 0.7 0.7 0:00.02 cleanup
490 root 15 0 260 232 176 S 0.3 0.1 0:13.96 syslogd
860 root 15 0 388 188 144 S 0.3 0.1 0:07.47 master
8659 root 16 0 952 952 744 R 0.3 0.4 0:00.11 top
8662 postfix 16 0 1812 1812 1364 S 0.3 0.8 0:00.03 cleanup
8687 web7p3 18 0 580 580 540 S 0.3 0.3 0:00.01 procmail
8689 web7p3 19 0 516 516 440 S 0.3 0.2 0:00.01 spamc
1 root 15 0 80 64 44 S 0.0 0.0 0:03.47 init
2 root 15 0 0 0 0 S 0.0 0.0 0:00.01 keventd
3 root 34 19 0 0 0 S 0.0 0.0 0:01.98 ksoftirqd_CPU0
4 root 15 0 0 0 0 S 0.0 0.0 0:06.94 kswapd
5 root 16 0 0 0 0 S 0.0 0.0 0:00.01 bdflush
6 root 15 0 0 0 0 S 0.0 0.0 0:00.05 kupdated
7 root 15 0 0 0 0 S 0.0 0.0 0:01.17 kinoded
8 root 18 0 0 0 0 S 0.0 0.0 0:00.00 mdrecoveryd
12 root 15 0 0 0 0 S 0.0 0.0 0:06.60 kjournald
55 root 19 0 0 0 0 S 0.0 0.0 0:00.00 kcopyd
76 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 lvm-mpd
343 vscan 15 0 21256 20m 11m S 0.0 9.4 0:08.11 clamd
344 root 15 0 48 0 0 S 0.0 0.0 0:00.02 startpar
443 root 15 0 0 0 0 S 0.0 0.0 0:00.00 eth0
493 root 15 0 932 0 0 S 0.0 0.0 0:00.09 klogd
503 root 20 0 60 0 0 S 0.0 0.0 0:00.00 resmgrd
521 bin 15 0 60 0 0 S 0.0 0.0 0:00.01 portmap
607 root 15 0 348 0 0 S 0.0 0.0 0:00.05 saslauthd
609 root 15 0 380 312 264 S 0.0 0.1 0:00.70 xinetd
617 root 15 0 196 0 0 S 0.0 0.0 0:00.02 mysqld_safe
623 nobody 15 0 180 128 84 S 0.0 0.1 0:13.11 scanlogd
624 root 16 0 64 0 0 S 0.0 0.0 0:00.01 acpid
649 root 16 0 348 16 4 S 0.0 0.0 0:00.06 saslauthd
650 root 15 0 348 0 0 S 0.0 0.0 0:00.05 saslauthdund mit ps hx kommt folgendes
Code:
ps hx
1 ? S 0:03 init [3]
2 ? SW 0:00 [keventd]
3 ? SWN 0:01 [ksoftirqd_CPU0]
4 ? SW 0:06 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW 0:01 [kinoded]
8 ? SW 0:00 [mdrecoveryd]
12 ? SW 0:06 [kjournald]
55 ? SW 0:00 [kcopyd]
76 ? SW< 0:00 [lvm-mpd]
344 ? SW 0:00 /sbin/startpar -f -- /etc/init.d/rc3.d/S01clamd
443 ? SW 0:00 [eth0]
490 ? S 0:13 /sbin/syslogd -a /var/lib/named/dev/log -a /var/lib/stunnel/dev/log
493 ? SW 0:00 /sbin/klogd -c 1 -2
503 ? SW 0:00 /sbin/resmgrd
607 ? SW 0:00 /usr/sbin/saslauthd -a pam
609 ? S 0:00 /usr/sbin/xinetd
617 ? SW 0:00 /bin/sh /usr/bin/mysqld_safe --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --socket=/var/lib/my
624 ? SW 0:00 /usr/sbin/acpid
649 ? S 0:00 /usr/sbin/saslauthd -a pam
650 ? SW 0:00 /usr/sbin/saslauthd -a pam
651 ? S 0:00 /usr/sbin/saslauthd -a pam
652 ? SW 0:00 /usr/sbin/saslauthd -a pam
665 ? S 0:01 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
860 ? S 0:07 /usr/lib/postfix/master
935 ? S 0:00 /usr/sbin/cron
945 ? S 0:01 /usr/sbin/nscd
947 ? S 0:00 /usr/sbin/nscd
949 ? S 0:01 /usr/sbin/nscd
951 ? S 0:00 /usr/sbin/nscd
952 ? S 0:00 /usr/sbin/nscd
953 ? S 0:00 /usr/sbin/nscd
954 ? S 0:00 /usr/sbin/nscd
960 ? S 0:01 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL
962 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf
973 tty1 SW 0:00 /sbin/mingetty --noclear tty1
974 tty2 SW 0:00 /sbin/mingetty tty2
975 tty3 SW 0:00 /sbin/mingetty tty3
976 tty4 SW 0:00 /sbin/mingetty tty4
977 tty5 SW 0:00 /sbin/mingetty tty5
978 tty6 SW 0:00 /sbin/mingetty tty6
25051 ? S 0:01 /usr/bin/perl /root/confixx/pipelog.pl
25120 ? SW 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL
3664 ? S 0:20 sshd: root@pts/0
3665 ? S 0:00 sshd: root@pts/0
3667 pts/0 S 0:00 -bash
8663 ? Z 0:00 [cron] <defunct>
8665 ? Z 0:00 [cron] <defunct>
8737 pts/0 R 0:00 ps hxsollte soweit eigentlich normal sein oder?
Genau hinschauen...
in deinem /tmp ordner ist ein Verzeichnis mit "..." (3 punkten)
Da drin dürfte dann wohl ein ftp-server, backdoor etc. liegen.
Das output von ps, top, netstat kannst du getrost vergessen.
Wenn Du dir ein rootkit gefangen hast sind alle tasks aufgeführt, nur nicht die, nach denen Du suchst.
Bin gerade genau so weit... ich werde alles platt ziehen und neuinstallieren.
Good luck,
ray
in deinem /tmp ordner ist ein Verzeichnis mit "..." (3 punkten)
Da drin dürfte dann wohl ein ftp-server, backdoor etc. liegen.
Das output von ps, top, netstat kannst du getrost vergessen.
Wenn Du dir ein rootkit gefangen hast sind alle tasks aufgeführt, nur nicht die, nach denen Du suchst.
Bin gerade genau so weit... ich werde alles platt ziehen und neuinstallieren.
Good luck,
ray
T
Tyler Durden
Guest
Naja, wenn man Interesse daran hat, was der da macht, und evtl wie er reingekommen ist, kann man noch chkrootkit auf einem anderen Rechner kompilieren und ps, top und netstat binairies neu hochladen und in einem gesonderten Verzeichnis ablegen - sollte man für die hier genannten Befehle sowieso machen: chkrootkit -- locally checks for signs of a rootkit
Bleibt nur noch das Henne-Ei Problem wenn das nen V-Server ist, bei dem man nicht ne CD einlegen kann (CD ist doppelt sicher, kann nicht beim upload verändert werden und ist schreibgeschützt). Also frisches md5sum hochladen und hoffen, dass das nicht manipuliert wird/wurde und damit die hochgeladenen binairies überprüfen.
Das ganze sollte aber nicht dazu dienen sich ne Neuinstallation zu ersparen, sondern kann nur forensischen Zwecken dienen. Ich würde, auch wenn ich rausgefunden hätte wie der reingekommen ist und welches rootkit verwendet wurde, trotzdem auf jeden Fall neu installieren.
mfg tyler
Bei mir ist der Rootserver bei 1und1, und ich werde den Server über die Vertragsverwaltung neu initialisiern lassen. Ich gehe mal davon aus, das das Image, das dort verwendet wird, nicht von Haus aus komprimitiert ist
Sollte aber bei V-Servern auch nicht anders laufen...Hat schon jemand Erfahrungen mit Xen unter Suse 10.2 auf nem 1und1 Rootserver? Bin am überlegen ob ich den Apache in ner VM laufen lasse, dann wäre in so einem Fall nicht gleich alles neu aufzusetzen(DBs, Domains etc)...
es gibt auch Sicherheitslücken in den Virtualisierungssystemen mit denen man aus der VM ausbrechen kann.
T
Tyler Durden
Guest
Mit CD einlegen, oder hochladen auf den kompromitierten Rechner meinte ich um chkrootkit saubere binairies zu geben, und eine sicher kompilierte Version von chkrootkit zu haben. Damit könnte man dann die Leiche sezieren und schaun, was ans Tageslicht kommt....ich hätte ein morbides Interesse daran. Die CD war nicht gedacht um neu zu installieren. Die Jungs bei 1u1 machen bestimmt ein dummes Gesicht, wenn man denen ne CD zuschickt, mit der Bitte das Teil mal eben in seinen Server einzulegen ;-)
Ich gehe mal davon aus, das das Image, das dort verwendet wird, nicht von Haus aus komprimitiert ist
Is auf jeden Fall ne gute Idee, zu versuchen das Image zu manipulieren, aber dafür müsste man vermutlich tief ins Rechenzentrum einbrechen. ;-)
Bis vor kurzem musste ich bei dem debian image ca 70 Pakete updaten nach ner "Neuinstallation" - nen Vserver mag Nachteile haben, aber nix geht so schneller, wie das Teil mal eben neu aufsetzten....ist ja nur eben das Virtuozzo Image kopieren, max. 5 min.
es gibt auch Sicherheitslücken in den Virtualisierungssystemen mit denen man aus der VM ausbrechen kann.
Na dann hoffe ich mal, dass mein Provider die Virtuozzo Server aktueller hält, als seine debian images.
mfg tyler
p.s.: Nachdem ich mich bei meinem Provider darüber beschwert habe, dass das Image absolut veralter ist, hat er nachgebessert.