Angriff auf Server

[akamai]

Hi,

habe heute morgen meine mails gecheckt und ich und eine fremde mailadresse bekam einen shadow auszug.

dann habe ich gleich auf meinen mandriva server geschaut und im log folgendes entdeckt:

CROND[20513]: (root) CMD ( chown root:root /dev/shm/prctl && chmod 4755 /dev/shm/prctl && rm -rf /etc/cron.d/core && kill -USR1 13212)

das kam glaube ich fast jede minute

dazu:

Jan 6 10:40:43 xxx sshd[1517]: Received signal 15; terminating.

Jan 6 10:40:43 xxx sshd: stop succeeded

Jan 6 10:40:43 xxx sshd[21194]: Listener created on port 22.

Jan 6 10:40:43 xxx sshd[21197]: Daemon is running.

Jan 6 10:40:43 xxx sshd: sshd: OpenSSH_2.9p2 on i686-pc-linux-gnu

Jan 6 10:40:43 xxx sshd: Start succeeded

und:

Jan 6 10:36:27 xxx xinetd[1536]: Starting reconfiguration

Jan 6 10:36:27 xxx xinetd[1536]: Service ftp: attribute already set: disable [file=/etc/xinetd.d/proftpd-xinetd] [line=16]

Jan 6 10:36:27 xxx xinetd[1536]: Swapping defaults

Jan 6 10:36:27 xxx xinetd[1536]: Reconfigured: new=0 old=0 dropped=0 (services)

kann mir damit jemand helfen? also muss ich mir sorgen um den ssh daemon machen? ftp hatte ich vor paar monaten deaktiviert. und die prctl hab ich auch mal verschoben.

achja passwörter habe ich schon alle geändert

Bearbeitet 6. Januar 2009 von akamai

[Forcid]

Also wegen dem Cron-Kram musst du dir keine Sorgen macht. Ist unbedenklich.

Wenn du den SSH-Zugang wirklich absichern willst, mach ne iptables-Regel, dass nur eine bestimmte IP bzw eine bestimmte Range sich per SSH connecten kann. Damit hast du schonmal 99% des Risikos gemindert.

[akamai]

danke.

ich finde im log einfach nicht wie er sich die shadow schicken konnte. es war noch ein /usr/mozi neu eingerichtet.

naja hab grad mal fail2ban installiert und werd mal deinen vorschlag mit der hosts.allow durchführen.

weiß jemand etwas von diesem Linux/Exploit-PRCTL?

[Forcid]

guck auch mal die prozesse durch, ob da irgendwo was läuft, was nicht laufen sollte. dem neuen user würd ich auch mal die bash wegnehmen und pw ändern wenn du dir sicher bist, dass das kein systemuser ist bzw irgendeiner von dir, kannst den auch entfernen.

[akamai]

hatte ihn gleich entfernt weil die mail auch diesen namen enthielt

danke für die info

[akamai]

hi,

etwas beunruhigt mich noch. jedesmal wenn ich eine ssh session starte, wird dieser /usr/mozi angelegt und schreibt den benutzernamen (mit welchem ich mich gerade anmelde) und das kennwort dort rein.

kann ich herausfinden, wo dieser befehl steckt dass er diesen immer wieder anlegt?

[Forcid]

Da wird wohl jemand die Befehle ausgetauscht haben. Guck dir mal alles, was mit ssh zu tun hat an bzw such dir die Originalen Dateien von deinem System und ersetz die alten durch die Originale. Hatten wir in der Firma auch schon ab und an mal sowas. Das Blöde bei uns war, dass selbst Befehle wie cp, less, ssh usw komplett gecrackt waren.

Achja, guck noch bissl rum, ob nicht unter /home, /tmp oder /var irgendwelche Verzeichnisse angelegt wurden, die Scripte beinhalten, mit denen jemand auf den Server zugreifen kann.

[akamai]

mist leider kenn ich mich da nicht so aus, als daß ich erkennen würde was geändert wurde. vielleicht mach ich doch lieber alles neu

[Forcid]

Ersetz einfach alle ssh-Befehle im /bin, /sbin und /root/bin bzw /root/sbin durch die Originaldateien deines Betriebssystems.

Welches OS benutzt du denn genau?

[akamai]

hat mir mein cheffe eingerichtet.

Linux version 2.6.16-xenU (root@localhost) (gcc version 4.0.1 (4.0.1-5mdk for Mandriva Linux release 2006.0)) #1 SMP Thu Mar 23 13:35:44 CET 2006

[Forcid]

Mandriva...hm, davon hab ich nu garkeine Ahnung. Aber is halt auch nur Linux.

Also kannst dir ja aussuchen, was du machst. Würd erstmal gucken, dass ich die Befehle wieder fixe. Wenn du das net hinbekommst, kannst es ja immernoch plattmachen. Aber würds erstmal probieren. Denn mit solchen Attacken wirst dus immer wieder zu tun haben.

Ist aber immernoch weitaus harmloser und nicht annähernd so häufig wie bei nem Windows...

[akamai]

ok vielen dank für die hilfe.

dachte bei linux systemen wird mehr versucht. ist windows doch so interessant oder so schwach

[Forcid]

Nee, der Denkansatz ist schon falsch. Windows nutzen die meisten Leute, also gibts dafür auch die meiste schadhafte Software. Linux ist ansich schon sehr sicher, mit vernünftiger Rechtevergabe und z.b. iptables kann man es komplett sicher machen. Das wirst du bei Windows nie schaffen, außer du hast nen Linux-Server als Proxy *gg*

Ansich ist Linux interessanter zu knacken, weils halt meist Produktivsysteme sind. Aber an Windows kommt man halt viel einfacher. Und Kontodaten oder andere Infos in der Richtung bekommt man da einfach leichter.