[FEDORA4] apache bot hack - Linux en overige clients

vrijdag 31 augustus 2007 12:39

Acties:

Verwijderd

Topicstarter

Beste medetweakers,

Helaas moet ik hier even ten rade gaan. gisteravond ontdekte ik op mijn server met netstat -e een paar connecties naar irc.dal.net Dus ik dacht ojee
En jawel. op de een of ander manier heb ik een vaag process als usr apache draaien
in de zin van /usr/sbin/httpds

Deze file bestaat helemaal niet. Wel kan ik hem killen met kill -9 <pid>
maar natuurlijk staat hij er zo weer
Verder heb ik de /var/tmp leeggehaald en in /tmp gekeken maar daar vind ik niks.

Uiteindelijk kwam ik er via ps -ef achter dat wanneer ik hem kill dat hij dan een curl doet naar http://pitbullplace.freehostia.com/sess_31A3143FBFA3
Dezed host heb ik even geblocked

maar dan blijf ik even hangen

Wow en nu zie ik ook deze
http://www.sindromx.com/tutu.txt

er draait iets wat dit download

wat nu

[ Voor 8% gewijzigd door Verwijderd op 31-08-2007 12:47 ]

vrijdag 31 augustus 2007 12:43

Acties:

soulrider

blokkeer die host/dat domain al eens in je firewall, kan die al geen curl meer doen.

wrs draait er ergens een hidden proces dat de andere in het oog houdt, en triggert telkens.
die ga je moeten zoeken/vinden.
(hoort mss beter thuis bij beveiliging/virussen)

een rootkit-detector gebruiken, booten met een live-cd (indien de server even offline kan), ...
je apache en andere nodige services patchen naar recenste updates, ...

hij haalt daar trouwens een perl-script af merk ik met mijn code-afhaal-proxy.
dus hou je perl in het oog.
(en blokkeer de irc server: irc.freshirc.de (die wordt in dat perl-script gebruikt als command-center)

2 andere

code:

############################################
my $cmd="http://az.co.cz/foto/c9.txt?";
#-----------------                         #
#CMD that is printed in the channel        #
############################################
my $id="http://badmus.by.ru/id.txt";

vraag ook aan het hosting bedrijf dat ze dat allemaal kunnen loggen, zodat je jezelf af schermt tegen klachten, en nadien ev. kunt meehelpen in onderzoek naar zo'n botnet-commander.
(alle info die je hebt: bewaren/afprinten > logs doorspelen naar cert-teams.)
(dat irc-channel bv laten afsluiten)

hier heb je een goede om een botnet wat schade toe te brengen

[ Voor 76% gewijzigd door soulrider op 31-08-2007 12:59 ]

vrijdag 31 augustus 2007 12:45

Acties:

blaataaps

In /proc kijken welke binary het echt is, en met ps kijken wat z'n parent is, zo mogelijk de machine offline halen en kijken wat er precies aan de hand is.

vrijdag 31 augustus 2007 12:48

Acties:

Verwijderd

Topicstarter

Uh juist, kan echter nu niet bij die server...staat bij hoster
Wat bedoel je met in /proc kijken

ik zie in mijn processes hetvolgende

code:

->apache    2204     1  0 12:00 ?        0:00:00 /usr/sbin/httpds                                                                                                                                                                                                                       ? httpd
-> apache    4394  8483  0 12:44 ?        00:00:00 [sh] <defunct>
-> apache    4401     1  0 12:44 ?        00:00:00 klm
-> apache    4668     1  0 12:49 ?        00:00:00 klm

Ah ik heb wat gevonden wat wijst naar
/var/cache/mod_ssl/secure

daar staat die verdmde httpd
en wat confs voor die bot
dus probleem zit hem in de mod_ssl denk ik

[ Voor 86% gewijzigd door Verwijderd op 31-08-2007 13:00 ]

vrijdag 31 augustus 2007 15:06

Acties:

Verwijderd

Topicstarter

Ok jongens alvast bedankt voor de hulp.
Via /proc/<pid> heb ik executable getraced naar 1 van de websites met Mambo
En jahoor daar stond idd. een /././ dir met daarin de httpds
Natuurlijk heb ik nu alles gekilled , en alles geupdate
Nu maar hopen dat het even genoeg is totdat ik onderhoud kan uitvoeren

Ik vraag me alleen af wat nu eigenlijk de Lol is aan zo'n stomme bot.
Kijk dat je de bank hackt en er met een paar miljoentjes van door gaat ok..maar een mambo site over vissen en visgerei hacken??

zucht lutsers

[ Voor 26% gewijzigd door Verwijderd op 31-08-2007 15:08 ]

vrijdag 31 augustus 2007 15:11

Acties:

soulrider

elk extra systeem in hun net telt eh, speelt hen geen rol welke inhoud er opstaat,
hoe meer bots, en hoe meer lagen tss hen en hun slachtoffers des te beter.

(mocht je het nog aan de hand hebben, of als het mogelijk is: laat je hoster verscherpt toezicht houden en full logs bijhouden als ie kan en wilt - en hou zelf ook wat verscherpt toezicht - mogelijk proberen ze opniewu maar op een andere manier nu, die minder opvalt of minder snel te vinden is)

bekijk je ev. nog na hoe ze dat daar hebben gekregen ?
als er een exploit zit in je mambo-site/-code dan gaat het niet lang bot-vrij blijven, en kan je best updaten en/of de mambo-dev'ers ervan op de hoogte brengen. (als het nog niet bekend is)

en een bedank aan jezelf, omdat je er de tijd voorgenomen hebt alles uit te zoeken en de moeite te doen het op te ruimen. (veel zouden "delete"en "zet laatste backup terug" doen)

[ Voor 32% gewijzigd door soulrider op 31-08-2007 15:14 ]

vrijdag 31 augustus 2007 16:03

Acties:

Verwijderd

Verwijderd schreef op vrijdag 31 augustus 2007 @ 15:06:
[...]
Ik vraag me alleen af wat nu eigenlijk de Lol is aan zo'n stomme bot.
Kijk dat je de bank hackt en er met een paar miljoentjes van door gaat ok..maar een mambo site over vissen en visgerei hacken??
[...]

Omdat er verschrikkelijk veel geld te verdienen is met een groot botnet van gehackde 100mbit/1gbit hosting machine's. Vele malen meer dan het hacken van een bank (wat je toch bijna niet gaat lukken en ook vrij zinloos is. Iets met easy-money). Wat veel kanslozer is, is dat mensen nog steeds vulnerable web applicaties gebruiken (mambo was de voorganger van joomla) en het vertikken te updaten (niet te vergeten, de hosters die dit niet strict genoeg controleren).

[ Voor 13% gewijzigd door Verwijderd op 31-08-2007 16:09 ]

vrijdag 31 augustus 2007 18:40

Acties:

Verwijderd

Topicstarter

haha tja r3boot je hebt wel een punt
Die klant heeft het 2 jaar gelden geinstalleerd ofzo en er heeft nooit meer iemand naar gekeken. Ik dus ook niet. (Vanf nu dus wel).
Waarom jij dat kanslozer vind snap ik niet helemaal maar dat zal je ingeving wel geweest zijn. Het is en blijft per wet verboden. Deze klant had dit ook weer laten maken door iemand en wist er zelf te weinig van.. dus tja... Het is gewoon het risico van het vak.

Het is gewoon duidelijk dat mijn servermonitoring wat scherper moet.
Ik had zitten kijken naar SNORT een soort van intrussion detection system.

Ik maak er ook geen drama van, alleen kost het altijd zoveel tijd.
Gelukkig staat de server bij xs4all en heeft naast de mensen op tweakers een uitmuntende onderteuning gegeven. Inclusief filtering / monitoring en de bijbehorende communicaie naar mij + tips
In zo'n geval ben je blij dat je teveel betaalt (

)

[ Voor 14% gewijzigd door Verwijderd op 31-08-2007 18:42 . Reden: slechte zinnen ]

vrijdag 31 augustus 2007 18:48

Acties:

soulrider

wat je ev. ook kunt doen is regelmatig een virusscanner erover laten gaan op stille momenten.

de file die doorkomt via de 2de link die je geeft wordt bij mij door verschillende scanners gemeld als trojan/hacktool/...
(oke, nu is het voor fedora enzo wrs hard zoeken om een anti-virus te vinden, maar wrs zijn die er wel)
een ids is in ieder geval al een goed idee, en de firewall enkele hostnamen en poorten laten afschermen kan ook al helpen. Maar dit is afh. van wat je allemaal biedt aan je klanten natuurlijk.

trouwens een txt waarmee hosts worden gescand op php fouten enzo:
http://www.xshqiptaretx.org/strings.txt
deze wordt gebruikt in het perl-script dat op je eerste link staat.

mogelijk kan je hiermee in je logs zien hoe die bij jou terecht is gekomen, en als dat van een andere infectie machine komt kan je mogelijk die beheerder toch minstens een hint geven dat ie zijn server botnet-client-vrij moet maken.

[ Voor 28% gewijzigd door soulrider op 31-08-2007 19:03 ]

maandag 3 september 2007 09:55

Acties:

Verwijderd

Verwijderd schreef op vrijdag 31 augustus 2007 @ 18:40:
[...]
Waarom jij dat kanslozer vind snap ik niet helemaal maar dat zal je ingeving wel geweest zijn. Het is en blijft per wet verboden. Deze klant had dit ook weer laten maken door iemand en wist er zelf te weinig van.. dus tja... Het is gewoon het risico van het vak.

Het rondrijden met een auto zonder APK is ook wettelijk verboden. Toch zijn er zat wrakken op de weg te vinden die zichzelf en hun medeweggebruikers in gevaar brengen. Risico van het vak? Eigen verantwoordelijkheid nemen!

Tevens vind ik dat hosters hier ook een bijdrage in kunnen leveren, omdat zij a) technisch in staat zijn om alle machine's in hun netwerk te scannen op vulnerable software en dit aan de klant kunnen vertellen cq patchen en b) omdat zij er belang bij hebben dat hun omgeving vrij is van zombie's.

Het is gewoon duidelijk dat mijn servermonitoring wat scherper moet.
Ik had zitten kijken naar SNORT een soort van intrussion detection system.

Ik maak er ook geen drama van, alleen kost het altijd zoveel tijd.
Gelukkig staat de server bij xs4all en heeft naast de mensen op tweakers een uitmuntende onderteuning gegeven. Inclusief filtering / monitoring en de bijbehorende communicaie naar mij + tips
In zo'n geval ben je blij dat je teveel betaalt ()

!snort++ Mits je je installatie goed tuned en ook nog es de resultaten strak in de gaten blijft houden

Overigens netjes dat xs4all je hierbij zo heeft ondersteund.