Server gehackt?!

[Don_SyStEmS]

Server gehackt?

(Ich hoffe, hier bin ich Richtig, da ich kein anderes passendes Forum gefunden habe.)

Über den Support meines Servers habe ich erfahren, das mein Server (vulgo: "gehackt") worden ist. Der beweis und somit die Begründung des Supports liegt allein in einer Log:

root@v544:/# ls -l /proc/3947/
total  0
-r-------- 1 admin admin 0 May 27 12:14 auxv
-r--r--r-- 1 admin admin 0  May 27 12:12 cmdline
-rw-r--r-- 1 admin admin 0 May 27 12:14  coredump_filter
-r--r--r-- 1 admin admin 0 May 27 12:14 cpuset
lrwxrwxrwx  1 admin admin 0 May 27 12:14 cwd -> /var/tmp/.a/sbin/sbin
-r-------- 1  admin admin 0 May 27 12:14 environ
lrwxrwxrwx 1 admin admin 0 May 27 12:14  exe -> /var/tmp/.a/sbin/sbin/bash
dr-x------ 2 admin admin 0 May 27 12:14  fd
-r--r--r-- 1 admin admin 0 May 27 12:14 io
-r-------- 1 admin admin 0  May 27 12:14 limits
-rw-r--r-- 1 admin admin 0 May 27 12:14  loginuid
-r--r--r-- 1 admin admin 0 May 27 12:14 maps
-rw------- 1 admin  admin 0 May 27 12:14 mem
-r--r--r-- 1 admin admin 0 May 27 12:14  mounts
-r-------- 1 admin admin 0 May 27 12:14 mountstats
-r--r--r-- 1  admin admin 0 May 27 12:14 numa_maps
-rw-r--r-- 1 admin admin 0 May 27 12:14  oom_adj
-r--r--r-- 1 admin admin 0 May 27 12:14 oom_score
lrwxrwxrwx 1  admin admin 0 May 27 12:14 root -> /
-r--r--r-- 1 admin admin 0 May 27  12:14 schedstat
-r-------- 1 admin admin 0 May 27 12:14 smaps
-r--r--r-- 1  admin admin 0 May 27 12:12 stat
-r--r--r-- 1 admin admin 0 May 27 12:13  statm
-r--r--r-- 1 admin admin 0 May 27 12:13 status
dr-xr-xr-x 3 admin  admin 0 May 27 12:13 task
-r--r--r-- 1 admin admin 0 May 27 12:14 wchan
root@v544:/# find  /var/tmp/.a/sbin/
/var/tmp/.a/sbin/
/var/tmp/.a/sbin/m.help
/var/tmp/.a/sbin/vhosts
/var/tmp/.a/sbin/x0x.seen
/var/tmp/.a/sbin/update
/var/tmp/.a/sbin/start
/var/tmp/.a/sbin/LinkEvents
/var/tmp/.a/sbin/autorun
/var/tmp/.a/sbin/Emil.seen
/var/tmp/.a/sbin/m.ses
/var/tmp/.a/sbin/r
/var/tmp/.a/sbin/r/rinsult.e
/var/tmp/.a/sbin/r/rtsay.e
/var/tmp/.a/sbin/r/rsignoff.e
/var/tmp/.a/sbin/r/raway.e
/var/tmp/.a/sbin/r/rpickup.e
/var/tmp/.a/sbin/r/rversions.e
/var/tmp/.a/sbin/r/rkicks.e
/var/tmp/.a/sbin/r/rsay.e
/var/tmp/.a/sbin/r/rnicks.e
/var/tmp/.a/sbin/85.119.156.104.user
/var/tmp/.a/sbin/cron.d
/var/tmp/.a/sbin/run
/var/tmp/.a/sbin/m.set
/var/tmp/.a/sbin/sbin
/var/tmp/.a/sbin/sbin/m.help
/var/tmp/.a/sbin/sbin/vhosts
/var/tmp/.a/sbin/sbin/update
/var/tmp/.a/sbin/sbin/start
/var/tmp/.a/sbin/sbin/LinkEvents
/var/tmp/.a/sbin/sbin/autorun
/var/tmp/.a/sbin/sbin/m.ses
/var/tmp/.a/sbin/sbin/r
/var/tmp/.a/sbin/sbin/r/rinsult.e
/var/tmp/.a/sbin/sbin/r/rtsay.e
/var/tmp/.a/sbin/sbin/r/rsignoff.e
/var/tmp/.a/sbin/sbin/r/raway.e
/var/tmp/.a/sbin/sbin/r/rpickup.e
/var/tmp/.a/sbin/sbin/r/rversions.e
/var/tmp/.a/sbin/sbin/r/rkicks.e
/var/tmp/.a/sbin/sbin/r/rsay.e
/var/tmp/.a/sbin/sbin/r/rnicks.e
/var/tmp/.a/sbin/sbin/85.119.156.104.user
/var/tmp/.a/sbin/sbin/cron.d
/var/tmp/.a/sbin/sbin/run
/var/tmp/.a/sbin/sbin/m.set
/var/tmp/.a/sbin/sbin/Cola.seen
/var/tmp/.a/sbin/sbin/back.seen
/var/tmp/.a/sbin/sbin/mech.dir
/var/tmp/.a/sbin/sbin/inst
/var/tmp/.a/sbin/sbin/m.lev
/var/tmp/.a/sbin/sbin/m.pid
/var/tmp/.a/sbin/sbin/xh
/var/tmp/.a/sbin/sbin/85.119.156.104.user2
/var/tmp/.a/sbin/sbin/bash
/var/tmp/.a/sbin/mech.dir
/var/tmp/.a/sbin/inst
/var/tmp/.a/sbin/m.lev
/var/tmp/.a/sbin/m.pid
/var/tmp/.a/sbin/xh
/var/tmp/.a/sbin/85.119.156.104.user2
/var/tmp/.a/sbin/bash

Woran wollen die nun sehen, das dort was gemacht worden ist?

Mfg Don

 

[Fruchtnektar]

Keine Ahnung wie, scheinbar anhand der Dateinamen.
Hier ein ähnliches Problem: (ich habe nach rsignoff.e gesucht)

http://www.linuxquestions.org/quest...server-has-been-compromised-what-next-750090/

 

[Velines]

Vermutlich gehen von Deinem Server viele Mails aus oder hoher Datenverkehr, wenn er bei eine DDoS eingesetzt wird.
Die Dateien im "versteckten" Verzeichnis .a in /var/tmp deuten auf jeden Fall schon mal drauf hin; und ein Programm läuft ja auch, was auf die Dateien zugreift.
Von den Dateien her sieht's so aus als würde dein Server in irgendeinem IRC rumhängen und dort auf Befehle warten.

Ganz wichtig wäre jetzt, den Prozess wegzuschießen, den Ordner /var/tmp/.a irgendwo anders hin zu verschieben (zwecks Analyse), dein Passwort zu ändern, zu suchen ob noch anderswo derartige Dateien rumliegen und dann das Loch zu finden und zu stopfen, über dass der Kram installiert wurde. Möglich und sehr beliebt sind dabei auch Lücken in Webanwendungen (EMail-Oberflächen, Blogs, Foren, ...).

 

[Revolution]

1. ist das kein Log sondern ne Verzeichniss auflistung
2. Egal welche Datein da drauf sind ist kein stichhaltiger beweis das dritte auf das System zugegriffen habe.

 

[Velines]

2. Egal welche Datein da drauf sind ist kein stichhaltiger beweis das dritte auf das System zugegriffen habe.

Würde ich so nicht sagen; wer als richtiger Benutzer einen IRC-Bot/Bouncer installiert tut das sicher nicht in obskure Verzeichnisse wie /var/tmp/.a/; und zweitens wird der Support nicht einfach mal aus Langeweile gesucht haben, sondern hat an seinem Router etwas festgestellt oder sogar eine Beschwerde bekommen.

 

[Don_SyStEmS]

Da der apache des öfteren abgeschmiert ist und die website somit offline war, habe ich den Support informiert. Dann wurd er ja warscheinlich zu Ddos zwecken missbraucht, schade aber auch.

Ich danke euch Vielmals.
Frag mich nur, wo ich mir das eingfangen haben könnte...

 

[Velines]

Du kannst mal die Zugriffs- und Fehlerlogs vom Apache durchsehen.
Zur Referenz wie so ein scannen nach Lücken aussehen kann:

81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //phpMyAdmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
81.7.171.117 XXXXX - [24/May/2010:12:24:14 +0200] "GET //p/m/a/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Hier wurde ganz offensichtlich nach phpMyAdmin gesucht, das in irgendeiner Version irgendein Exploit zulässt.
Du solltest mal für alle Webanwendungen, die Du so laufen hast, die Homepages abklappern, neue Versionen installieren und Dich informieren, ob es eine Lücke gab.

 

[hendr1k1]

Ich weiss nicht wie es bei dir eingestellt ist aber guck mal in die Emails, die der Server schickt.

Damit die Emails(werden an Root gerichtet) auf eine andere Emailadresse weitergeleitet werden musst du nur in /etc/aliases (liegt bei mir so) das Kommentarzeichen '#' wegnehmen und eine andere Emailadresse hinterschreiben.

Solltest du das nicht gemacht haben, dann log dich mal als root per ssh ein und gib "mail" ein.

Bei mir sehe ich, dass ich regelmaessig so 8000 - 10000 login Versuche von Bots habe :-)

@Velines
Jeder der ein Server hackt hinterlaesst irgendeinen kleinen Bot oder was weiss ich...wenn ich den Fall haette, dann wuerde ich meine configs backuppen (wenn nicht schon getan) und den Server neu aufsetzten.......tut mir leid es so zu sagen aber deine vorgeschlagene Vorgangsweise ist fahrschlaessig

P.S. vergiss nicht die mails durch zu schauen....wenn irgendwo ein success drin steht, dann poste den mal!

 

[Velines]

@Velines
Jeder der ein Server hackt hinterlaesst irgendeinen kleinen Bot oder was weiss ich...wenn ich den Fall haette, dann wuerde ich meine configs backuppen (wenn nicht schon getan) und den Server neu aufsetzten.......tut mir leid es so zu sagen aber deine vorgeschlagene Vorgangsweise ist fahrschlaessig

P.S. vergiss nicht die mails durch zu schauen....wenn irgendwo ein success drin steht, dann poste den mal!

Klar, neu aufsetzen ist das sicherste, aber dann "fehlt" auch erst mal der Lerneffekt - im schlimmsten Fall wird nämlich einfach wieder die alte Software draufgebügelt und fertig; und in 2 Wochen haben wir das selbe Problem wieder.
Hab ja auch nirgends geschrieben, dass ich den Kram nur löschen würde und dann wäre er fertig.

Edit: Diesen Text sollte eigentlich jeder, der einen (V)Server mieten will, gelesen haben.