Server gehackt?

EvilMan · Beitrag von **EvilMan** » 02.12.2003 05:21:11

Hallo!

Ich habe folgendes Problem:

Ich bin mir nicht sicher ob und vor allem wie der Server gehackt worden ist.

Ich habe am Freitag letzter Woche im tmp Verzeichnis folgende Dateien gefunden:

i - ausfuehrbar als user www-data
c - ausfuehrbar als user www-data
c.c
sfl.log
sormail.c

Wenn jemand die quelltexte haben will kann ich die gerne zusenden.

Die Dateien scheinen nicht auf dem Server kompiliert worden zu sein, da Sie ein Datum von ca. Juni besitzen. Die Datei sfl.log ist aber wohl neu, Datum 26.11., hier der Inhalt im Auschnitt:

[*] Founded suided file: su in /bin
[*] Founded suided file: ping in /bin
[*] Founded suided file: login in /bin
[*] Founded suided file: mount in /bin
[*] Founded suided file: umount in /bin
[*] Founded suided file: unix_chkpwd in /sbin
[*] Founded suided file: sg in /usr/bin
[*] Founded suided file: gpg in /usr/bin
[*] Founded suided file: mtr in /usr/bin
....

Genau an dem Tag zu der Uhrzeit habe ich im kernel.log folgende Meldung:

modprobe net-pf-14 irgendwas (habs jetzt nicht genau da). Diese Meldung kommt allerdings nur knapp 5mal und ist dann wieder wech...

chkrootkit hat keinen Befall gemeldet. Ebenso scheinen alle Dateien, kontrolliert mit debsums ok zu sein.

Ich habe die Dateien natuerlich geloescht.

Ein weiteres Problem ist nun aufgetaucht: Unwillkuerlich zieht wohl der Apache unheimlich viel Last und verabschiedet sich. Danach dann Sendmail und das komplette System. Anpingen kann ich den Server allerdings noch.

Ich weiss nun aber nicht, ob dies eher mit einem Hardwaredefekt zu tun hat da es (jedenfalls kommt es mir so vor) vermehrt auftritt, wenn ich viel auf dem Server mache (also z.B. backup des System)

In den Logdateien steht leider nichts, ob es Fehler gab.

Hat jemand einen Tip?

Danke!!!

Gruss, Evil

PS: die apache exe habe ich durch eine nichtbefallene ausgetauscht.

bitbieger · Beitrag von **bitbieger** » 02.12.2003 08:44:53

Hi,

sormail.c ist auf jeden Fall ein Sendmail-Exploit.
Weitere Info's dazu gibt's hier [1].

Wenn Du rausbekommst, wie das Teil auf deinen Rechner gekommen ist, nur her mit den Info's.

[1] - http://www.securityfocus.com/bid/7230/info/

cu,
bitbieger

EvilMan · Beitrag von **EvilMan** » 02.12.2003 09:39:01

Hi!

Danke fuer den Tip! Ich denke allerdings das die das nicht nutzen konnten, da der Sendmail neuer ist. Was mich halt wurmt ist, wie die da ausfuehrbare Dateien ins tmp Verzeichnis bekommen haben.

Gruss, Evil

pdreker · Beitrag von **pdreker** » 02.12.2003 20:53:56

Wenn die Dateien www-data gehören ist der Apache als Einfallsvektor wahrscheinlich. Apapche geknackt -> Shell als User www-data (Apache ist unter Debian nicht root). Dann wurde vielleicht versucht mittels eines anderen lokalen Exploits root zu werden. Ob das geklappt hat oder nicht, ist so nicht feststellbar.

Alle Security Updates eingespielt?

Patrick

EvilMan · Beitrag von **EvilMan** » 03.12.2003 00:17:47

Hi!

Genau das denke ich auch. Den Sendmail Exploit wird er nicht geschafft haben, da auf dem Server eine neuere Version laeuft.

Alle Updates sind mittels dselect eingentlich eingespielt worden, mache das fast taeglich...

Gruss, Evil

pdreker · Beitrag von **pdreker** » 03.12.2003 02:52:54

Ich würde auf jeden Fall 'mal einen neuen Kernel (gleiche Config) kompilieren, der evtl. keinerlei Module Support hat. Wenn man den bootet fallen viele Rootkits auf die Nase (SuckIT allerdings z.B. nicht...

)

Ich glaube ich würde das Gerät auf jeden Fall neuinstallieren. Wenn einmal ein Angreifer drin war, kann man sich bei nichts mehr sicher sein...

Patrick