vServer unter Vollast

mezzanine said:
Wie kann ich das deaktivieren? :eek:
Click to expand...
Mit 'ps aux |grep massrooter' die PID raussuchen und mit 'kill -9 [PID]' töten.

Ich konnte auf die Schnelle nicht rausfinden, was es genau ist, aber da er mit Apache-Rechten läuft, wird er wahrscheinlich über ein PHP-Exploid eingeschleust worden sein.

Bevor Du die Datei löschst, schau noch auf das Erstellungsdatum.

Wenn ich Dich richtig verstanden habe, war er nach einem Reboot dennoch aktiv. D.h. er muß irgendwo beim Systemstart mit gestartet worden sein.
Such also in /etc/ mal nach ähnlichen Dateien. Evtl. hilft Dir das dabei:
find /etc/. -type f -exec grep massrooter {} \;

huschi.
 
Last edited by a moderator:
Es sieht so aus als wenn Dein Server gehackt wurde!!!!
Das würde auch den Traffic erklären!!!

Schnellste und einfachste Lösung:

1.) Backup Deiner persönlichen Dateien machen, KEINE Programm-Dateien!

2.) Neuinstallation!

Wenn ein Rootkit verwendet wurde, weiss man sowieso nicht, wo überall Löcher in den Programmen sind.

Gruß
tim
 
ich hab den Server rebooten lassen und keinen Prozess mehr gefunden. in etc. hab ich auch nix gefunden, aber in tmp liegt noch jede Menge krempel. Nach dem lokalen Entpacken ist hier sofort mein Virenscanner Alarm geschlagen.

Kennt sich jemand mit sowas aus? massplo, masspx und massrooter
Diese 3 Verzeichnisse hab ich aus tmp erstmal gelöscht. Ausserdem hab ich das tmp zusammengepackt und könnte es jemanden mit Ahnung gern per Mail senden um es zu analysieren ... wer will?
 
Ich hatte mir vorhin das Archiv "massrooter.tar.gz" mal näher angesehen, die anderen sind sicherlich ähnlich. Hierbei werden verschiedene Exploits (unter anderem auch ein PHP-Exploit) durchgetestet um eine Shell auf dem Remote-Server zu starten.

Sollte ein Rootkit verwendet worden sein, dann sind wahrscheinlich auch die ganzen System-Tools ersetzt worden, um die Attacke zu verschleiern. Ein find / -name "massrooter" könnte so unter Umständen zu keinem Ergebnis führen weil find vielleicht nicht mehr find ist.

Gruß
tim
 
nachdem ich "aufgeräumt" habe hat 'chkrootkit 0.44' immer noch folgendes gefunden:

Code: 
[root@salzlandserver chkrootkit]# ./chkrootkit -q

Checking `bindshell'... INFECTED (PORTS:  4000)
Checking `lkm'... You have     3 process hidden for ps command
Warning: Possible LKM Trojan installed

wie soll ich verfahren. Am besten erstmal proc killen, oder? aber wie?
 
folgende Prozesse sind derzeit aktiv:

Code: 
root         1  0.0  0.0  1304  480 ?        S    06:05   0:00 init
root     12900  0.0  0.0  1376  544 ?        S    06:05   0:00 syslogd -m 0
root     13377  0.0  0.0  1976  860 ?        S    06:05   0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root     13764  0.0  0.0  2040 1044 ?        S    06:05   0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
mysql    14817  0.0  0.0 16084 3812 ?        S    06:05   0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user
root     15075  0.0  0.1 19344 8880 ?        S    06:05   0:02 /usr/sbin/httpd
root     15136  0.0  0.0  3448 1408 ?        S    06:05   0:00 /usr/bin/perl /root/confixx/pipelog.pl
root     15460  0.0  0.0  1348  576 ?        S    06:05   0:00 crond
root     15843  0.0  0.0 14148 5872 ?        S    06:05   0:00 /usr/sbin/httpd
apache   22208  0.0  0.0  1384  308 ?        S    11:37   0:00 ./bindtty
apache    4067  0.0  0.0  1984  412 ?        T    11:38   0:00 ./telnetd
apache    4128  0.0  0.0     0    0 ?        Z    11:38   0:00 [telnetd <defunct>]
apache   10951  0.0  0.0  1992  444 ?        S    11:39   0:00 getty
apache   27393  0.0  0.0  1792  852 ?        S    12:12   0:00 ./sbin sbin.conf
root     14624  0.0  0.0  6920 2140 ?        S    15:14   0:00 sshd -i
root     16355  0.0  0.0  2068 1096 ?        S    15:14   0:00 -bash
root      6752  0.0  0.0  6716 2088 ?        S    15:16   0:00 sshd -i
root     11232  0.0  0.0  2156 1260 pts/1    S    15:17   0:00 -bash
apache   31235  0.0  0.1 20468 10588 ?       S    15:23   0:00 /usr/sbin/httpd
apache   16624  0.0  0.1 20592 10684 ?       S    15:24   0:00 /usr/sbin/httpd
root     28672  0.0  0.0  2540  664 pts/1    R    15:34   0:00 ps aux

könnt ihr anhand dessen was erkennen?
 
mein /tmp war schon wieder mit einem bnc2.8.6.tar und einem Verzeichnis /massrooter von heute nacht 0:00 Uhr vollgeschoben.

verdammt, irgendwer schiebt per Fernzugriff den IRCbot immer wieder drauf.
Aua, ich will nicht neuinstallieren und 10 Kunden einrichten müssen ... :(

muss doch auch so was zu machen sein ... hülllfääää! :confused:
 
Hallo!
Code: 
Checking `lkm'... You have     3 process hidden for ps command
Warning: Possible LKM Trojan installed
Wenn er dir schon sagt das die Prozesse 'hidden' sind wirst du sie mit ps auch nicht ausgeben können, oder?
Wir sollten mal weiter in Richtung LKM Trojan Googeln.

mfG
Thorsten
 
Und, wie sieht es 2 Tage später aus?

mezzanine said:
Code: 
apache   22208  0.0  0.0  1384  308 ?        S    11:37   0:00 ./bindtty
apache    4067  0.0  0.0  1984  412 ?        T    11:38   0:00 ./telnetd
apache    4128  0.0  0.0     0    0 ?        Z    11:38   0:00 [telnetd <defunct>]
apache   10951  0.0  0.0  1992  444 ?        S    11:39   0:00 getty
apache   27393  0.0  0.0  1792  852 ?        S    12:12   0:00 ./sbin sbin.conf
Click to expand...
Die scheinen wohl etwas fehlplaziert zu sein...

Sorry, aber ich versteh nicht, warum nicht neuinstallieren?
Das dürfte im Endeffekt deutlich weniger Aufwand dafür sicherer sein.

huschi.
 
Stimmt den nachdem su gehackt wurdest sind bestimmt auch einige andere Sachen geändert worde..... Mach nen Neuinstall sichere vorher die Webseiten ab und benachrichtige die Kunden....
 
Ich hab mit chkrootkit schon herausbekommen, dass ich gehackt wurde. Die binaries für 'bind' und 'ps' sind infiziert und es laufen 2 hidden processes.

Wenn ich nicht jeden Tag den IRCbot-Müll und massrooting-Müll rausschmeisse läuft mir der Traffic ausm Ruder.

Wäre es möglich die beiden o.g. binaries durch Originale wieder zu ersetzen? Ich scheue mich vor einer Neuinstallation, da ich 10 User unter Confixx mühevoll mit entsprechenden mysql-db'en konfiguriert habe und nicht sicher bin, dass das Backupscript alles mitsichert von Confixx. Zum anderen wird mein Backup sicher nicht zu der aktuellen RedHat-Installation kompatibel sein, oder?

achja, mein vserver ist die 160129.
 
Also, ich kann Dir nur dringend raten, alles komplett neu aufzusetzen. Dein Zögern ist verständlich, aber es wäre evtl. auch ein gute "Übung". Denn irgendwann wird die Notwendigkeit zum Backup/Restore bestimmt wieder auftreten...

Wobei ein Punkt m.E. offen bleibt: Wie ist das Zeugs da reingekommen ? Wenn irgendwo ein Loch in einem php-Script ist, würde das natürlich bald wiederkommen... :eek:

(okay, das war jetzt keine direkte Antwort auf Deine Frage. Sorry)
 
Hallo!
mezzanine said:
Ich hab mit chkrootkit schon herausbekommen, dass ich gehackt wurde. Die binaries für 'bind' und 'ps' sind infiziert und es laufen 2 hidden processes.
Click to expand...
Das hat chkrootkit rausgefunden. Bedeutet aber nicht das da nicht noch andere Bomben ticken.

mezzanine said:
Wäre es möglich die beiden o.g. binaries durch Originale wieder zu ersetzen?
Click to expand...
Wenn du genau wüsstest, das nur diese infiziert sind ja - aber kannst du alle Eventualitäten ausschließen? Mein Rat: Benutzerdaten sichern - und nur Benutzerdaten - Neuinstallation.

mfG
Thorsten
 
You must log in or register to reply here.
Back
Top