vServer von Server4You gesperrt

[Merlok]

Das kann ich nicht mehr mit Sicherheit sagen, da ich die Dateien schon gelöscht habe wenn ich mich recht entsinnen kann.

Hintergrund ist folgender:
In dieser Zip-Datei ist eine shellcmd drin. Die kann man wiederum öffnen. Dort drin sind wiederum verschiedene Dateien, welche wohl auf einen IRC Bot hinweisen?! Irgendwas mit Mech habe ich da vorhin gesehen.

Und der betreffende Ordner heisst einfach nur "." (in Worten "Punkt").
Diesen Ordner namens . habe ich vor der Serversperrung bereits gelöscht, da mein Server bereits wegen einem IRC Bot gesperrt worden war.

Soweit ich mich noch zurückerinnern kann hatten die Dateien als Owner wwwrun stehen.

Die ganze Sache ist etwas verworren, und ich bin mir nicht mehr so sicher ob der User der diese Zip-Datei hochgeladen hat für den DDoS-Angriff verantwortlich ist.

Es wäre gut wenn TamCore nachher was zu dem Zip-File sagen könnte. Ich denke mal dass ich dann schon eher wüsste ob das Zip-File die Ursache war oder eher nicht.

 

[TamCore]

Starten lässt sich des Ding schonmal net, hab mich mal mit nem Hex Editor rangewagt aber nix wirklich brauchbares gefunden.
Wenn sich jemand mit dem Hexzeugs auskennt, kann er sich des Ding ja mal anschauen. http://thehackers.100free.com/shellcmd.zip

tamcore@chroot:~$ ./shellcmd
bash: ./shellcmd: cannot execute binary file
tamcore@chroot:~$ ./shellcmd.zip
bash: ./shellcmd.zip: cannot execute binary file

GCC: (GNU) 3.2.3 20030502 (Red Hat Linux 3.2.3-49)

Slashing your angry Vadims at %s, port %d spoofed as %s

Usage: ACCESS [channel] [nick|userhost]
Show someones access level. If no arguments are given, the bot
will display your access level.
See also: USTATS, USERLIST
:add
Usage: ADD <handle> <channel> <nick|userhost> <level> [aop] [prot] [pass]
Adds a user on all channels (*) or a certain channel. The handle is
used r

handle ahmed
mask *!*@WTD.users.undernet.org
prot 4
aop
channel *
access 100

 

[LinuxAdmin]

Das Teil startet in eine versteckten Verzeichnis ". " einen IRC-Bot (darauf deuten die Strings hin), der auf Remote-Befehle wartet und unter dem Namen "httpd" gestartet wird Der Name der Log-Datei "Floodu.seen" ist auch recht aussagekräftig....

$ /usr/bin/file ./.\ /*
. /1:           ASCII text
. /b:           ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /b2:          ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /f:           ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /f4:          ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /Floodu.seen: empty
. /fwd:         ASCII text
. /httpd:       ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), stripped
. /j:           ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /j2:          ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /mech.help:   shell archive or script for antique kernel text
. /mech.pid:    ASCII text
. /mech.set:    ASCII text
. /s:           ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /sl:          ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), not stripped
. /start.sh:    ASCII text
. /std:         ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /stream:      ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /tty:         ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.5, dynamically linked (uses shared libs), not stripped
. /v:           ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), not stripped
. /v2:          ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), not stripped
. /x:           a /usr/bin/perl script text

@Merlok: Beweis-Mittel zu löschen ist eine ziemlich blöde Idee. Abgesehen davon, dass die Cracker (oder Script-Kiddies) innerhalb weniger Minuten wieder da sind, wenn Du das Einfallstor nicht identifizierst und schließt!

 

[Merlok]

Diesen Ordner namens . hatte ich gelöscht weil mein Server bereits zuvor wegen einem IRC Bot gesperrt wurde.
Das war dann wohl genau diese ZIP-Datei.

Da wusste ich noch nicht dass es etwas mit dem DDoS-Angriff zu tun haben könnte.
Im Nachhinein war es sicherlich blöd den Ordner zu löschen, das stimmt.

Handelt es sich dabei denn nun "nur" um einen IRC-Bot oder ging davon auch die DDOS-Attacke aus? Ich würde vermuten dass die DDoS-Attacke auf anderem Wege kam, da der Ordner . ja von mir gelöscht worden ist und auch nicht wieder aufgetaucht ist.

Aber sicher bin ich mir da leider nicht mehr.

Im Übrigen habe ich mir jetzt ein Linux Buch bestellt, und zwar dieses hier:
3827325323

Ich werde mich jetzt mal umfassend mit dem Thema beschäftigen, und auch mit den Grundlagen.
Denn das habe ich bis jetzt leider etwas vernachlässigt...