Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

perl Virus

Pagina: 1
Acties:

zondag 13 september 2009 17:38

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
Na enige aanwijzigen van spam/virussen op mijn linux server kwam ik onderstaande code tegen.
Zelf ben ik niet zo thuis in PERL wat doet dit script met smtp.mail.ru?
Ik kan weinig vinden over dit virus, heeft iemand tips waar er nogmeer schadelijk bestanden kunnen zijn?
Ik heb alle password gewijzigd en alle cgi-bin mappen doorzocht (icm command find -name *.pl)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

#!/usr/bin/perl -w

    $| = 1;

    print "Content-type: text/plain; charset=windows-1251\n\n" if $ENV{HTTP_USER_AGENT};

    print "System info\n";
    print "-----------\n\n";
    print "$^O";
    print "\n", `uname -a` if $^O !~ /win/i;
    print "\n\n";

    print "Perl modules\n";
    print "------------\n\n";
    print "strict .......................... ";
    unless (eval ("use strict; return 1;")) { print "Error"; } else { print "Ok"; }
    print "\nSys::Hostname ................... ";
    unless (eval ("use Sys::Hostname; return 1;")) { print "Error"; } else { print "Ok"; }
    print "\nPOSIX ........................... ";
    unless (eval ("use POSIX qw(setsid); return 1;")) { print "Error"; } else { print "Ok"; }
    print "\nErrno ........................... ";
    unless (eval ("use Errno qw(EINPROGRESS); return 1;")) { print "Error"; } else { print "Ok"; }
    print "\nIO::Socket ...................... ";
    unless (eval ("use IO::Socket qw(:DEFAULT :crlf); return 1;")) { print "Error"; } else { use IO::Socket qw(:DEFAULT :crlf); print "Ok"; }
    print "\nIO::Select ...................... ";
    unless (eval ("use IO::Select; return 1;")) { print "Error"; } else { print "Ok"; }
    print "\n\n";

    print "Server test\n";
    print "-----------\n\n";
    my $s = IO::Socket::INET->new(Proto => "tcp", LocalPort => 36000, Listen => SOMAXCONN, Reuse => 1);
    unless ($s) { print "Error"; } else { close $s; print "Ok"; }
    print "\n\n";

    print "Client test\n";
    print "-----------\n\n";
    my $r = (gethostbyname "smtp.mail.ru")[4];
    unless ($r) { print "Error > Can't resolve hostname"; exit; }
    $s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);
    unless ($s) { print "Error > Can't create socket > $!"; exit; }
    unless ($s->connect(pack ("Sna4x8", 2, 25, $r))) { close $s; print "Error > Can't connect > $!"; exit; }
    $r = <$s>; close $s;
    if (length $r) { print "Ok\n$r"; } else { print "Error > Can't read response"; }

zondag 13 september 2009 17:43

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

ik ben geen perl programmer maar ik gok zo dat jij op poort 36000 een service hebt draaien
(open relay ?)
verbind eens met telnet of met iexplorer met die poort.

Iperf

zondag 13 september 2009 17:44

Acties:
  • bonzz.netninja
  • Registratie: Oktober 2001
  • Laatst online: 09:59

bonzz.netninja

Niente baffi

als je een willekeurige regel in google plemt vind je best veel. Misschien kun je daar wat meer vinden? Op deze wijze is het een beetje gissen namelijk en gelden algemene stappen als wachtwoorden veranderen en gewoon goed zoeken wat je gelukkig reeds gedaan hebt. Het lijkt me in eerste instantie niet zo zeer een virus als wel iemand die kwaadwillig deze code heeft kunnen plaatsen. Anders wellicht logs files?

http://www.google.com/sea...TF-8&oe=UTF-8&rlz=1I7ACAW

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

zondag 13 september 2009 17:54

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
bonzz.netninja schreef op zondag 13 september 2009 @ 17:44:
als je een willekeurige regel in google plemt vind je best veel. Misschien kun je daar wat meer vinden? Op deze wijze is het een beetje gissen namelijk en gelden algemene stappen als wachtwoorden veranderen en gewoon goed zoeken wat je gelukkig reeds gedaan hebt. Het lijkt me in eerste instantie niet zo zeer een virus als wel iemand die kwaadwillig deze code heeft kunnen plaatsen. Anders wellicht logs files?

http://www.google.com/sea...TF-8&oe=UTF-8&rlz=1I7ACAW
Ik kwam op google geen relevante informatie tegen,
Ik heb in de logs hier lucht van gekregen in DirectAdmin aantal verzonden email's in 2 accounts flink gestegen waren.
In mijn Exim mainlog kwam ik dit ook tegen (ong 2x per minuut):
code:
1
2
3
4
5
6

2009-09-13 18:06:06 H=18.pool85-53-2.dynamic.orange.es (lola4e733ebe89) [85.53.2.18] F=<akuabathurst@mijndomeinnaam.nl> rejected RCPT <suborder@mijndomeinnaam.nl>: 
2009-09-13 18:06:06 H=18.pool85-53-2.dynamic.orange.es (lola4e733ebe89) [85.53.2.18] incomplete transaction (connection lost) from <akuabathurst@mijndomeinnaam.nl>
2009-09-13 18:06:06 unexpected disconnection while reading SMTP command from 18.pool85-53-2.dynamic.orange.es (lola4e733ebe89) [85.53.2.18]
2009-09-13 18:06:06 H=18.pool85-53-2.dynamic.orange.es (lola4e733ebe89) [85.53.2.18] F=<subotaj@yahoo.com> rejected RCPT <suborder@mijndomeinnaam.nl>: 
2009-09-13 18:06:06 H=18.pool85-53-2.dynamic.orange.es (lola4e733ebe89) [85.53.2.18] incomplete transaction (connection lost) from <subotaj@yahoo.com>
2009-09-13 18:06:06 unexpected disconnection while reading SMTP command from 18.pool85-53-2.dynamic.orange.es (lola4e733ebe89) [85.53.2.18]

Is dit een aanwijzing of alleen maar inkomende spam?

zondag 13 september 2009 18:17

Acties:

Verwijderd

Het script test de aanwezigheid van een paar libraries, of er een server opgezet kan worden die luistert op poort 36000 en of er een verbinding naar mail.ru gemaakt kan worden. Lijkt op een gedeelte van een installatiescript.

Verder doet het script niets, verzendt dus geen mail of gebruikersinformatie of iets dergelijks.

zondag 13 september 2009 18:46

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
Verwijderd schreef op zondag 13 september 2009 @ 18:17:
Het script test de aanwezigheid van een paar libraries, of er een server opgezet kan worden die luistert op poort 36000 en of er een verbinding naar mail.ru gemaakt kan worden. Lijkt op een gedeelte van een installatiescript.

Verder doet het script niets, verzendt dus geen mail of gebruikersinformatie of iets dergelijks.
Dat dacht ik persoonlijk ook, maar ik heb wel meldingen dat mijn server spam verzend, alleen kan niks vinden.

zondag 13 september 2009 18:49

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

kloppen die meldingen wel? geef ons eens een melding

of is het alleen maar iemand van jouw domein die als afzender gebruikt is in de spam, waardoor die de anti spam meldingen ontvangt ?

Iperf

zondag 13 september 2009 18:54

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
fish schreef op zondag 13 september 2009 @ 18:49:
kloppen die meldingen wel? geef ons eens een melding

of is het alleen maar iemand van jouw domein die als afzender gebruikt is in de spam, waardoor die de anti spam meldingen ontvangt ?
uceprotect.net heeft dit gemeld (nu weer whitelisted), hotmail blokt mijn server IP ook.
Voorbeeld van een abuse melding van abuso.cantv.net:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

Return-Path: <$munged$@$munged$>
> Received: from rs26s17.datacenter.cha.cantv.net
(10-128-141-4.ric2.cantv.net [10.128.141.4])
>   by rs26s8.mgmt.cantv.net (8.14.3/8.14.3/1.0) with ESMTP id
n82J6A8v002408
>   for <$munged$@$munged$>; Wed, 2 Sep 2009 14:36:10 -0430
> X-DNSBL-MILTER: Passed
> Received: from srv1.mijndomeinnaam.nl (srv1.mijndomeinnaam.nl
[mijn.server.ip.adres] (may be forged))
>   by rs26s17.datacenter.cha.cantv.net (8.14.3/8.14.3/3.0) with SMTP id
n82J64EE002201
>   for <$munged$@$munged$>; Wed, 2 Sep 2009 14:36:09 -0430
> X-Matched-Lists: []
> Received: from willwell.com (72.253.153.51)
>   by srv1.mijndomeinnaam.nl; Wed, 2 Sep 2009 21:18:40 +0200
> Message-ID: <002101c4fa1d$7e9d21ed$$munged$@$munged$>
> Reply-To: adamson <$munged$@$munged$>
> From: adamson <$munged$@$munged$>
> To: rnunes13 <$munged$@$munged$>
> Subject: Blonde saucking a dick and buttfaucking water
> Date: Wed, 2 Sep 2009 21:18:40 +0200
> MIME-Version: 1.0
> Content-Type: multipart/mixed;
>         boundary="----=_NextPart_000_0022_01C4DD8F.425621ED"
> X-Priority: 3
> X-MSMail-Priority: Normal
> X-Mailer: Microsoft Outlook Express 6.00.2800.1158
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165[quote][b][message=32570069,noline]fish schreef op zondag 13 september 2009 @ 18:49[/message]:[/b]
kloppen die meldingen wel? geef ons eens een melding 

of is het alleen maar iemand van jouw domein die als afzender gebruikt is in de spam, waardoor die de anti spam meldingen ontvangt ?
[/quote]

> X-Virus-Scanned: clamav-milter 0.95.2 at 
> rs26s17.datacenter.cha.cantv.net
> X-Virus-Status: Clean
> X-SPF-Scan-By: smf-spf v2.0.2 - http://smfs.sf.net/
> Received-SPF: None (rs26s17.datacenter.cha.cantv.net: domain of
$munged$@$munged$
>   does not designate permitted sender hosts)
>   receiver=rs26s17.datacenter.cha.cantv.net; client-ip=93.190.137.166;
>   envelope-from=<$munged$@$munged$>; helo=srv1.mijndomeinnaam.nl;
>
> Awesome videos and high quality pics of Buusty milf wearing stockings 
> meal
new these <BR>
> <a
href="http://euromaci.alias.domicile.fr/images/enet.htm?m=science">Vieew - Secsy faauckerboy pushy shugging nasty  hoe</a><BR>
> <BR>
> For the sky is dark, and the voyage is long, burst there trnunes13 
> Walk
the cramps off<BR>
> small shame Whoso had taken the Pobbles toes, start<BR> I figured itd 
> take them too long to look up and besides... pcantvandnetm
taste way<BR>
>
>

zondag 13 september 2009 18:55

Acties:
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 29-11 09:52

Kees

Serveradmin / BOFH / DoC
Kijk iig of het script draait, want het lijkt mij absoluut geen fris scriptje. Grote kans dat je gehacked bent, want dit is gewoon een manier om een bacdoor (op poort 36000) te openen.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

zondag 13 september 2009 18:57

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
Kees schreef op zondag 13 september 2009 @ 18:55:
Kijk iig of het script draait, want het lijkt mij absoluut geen fris scriptje. Grote kans dat je gehacked bent, want dit is gewoon een manier om een bacdoor (op poort 36000) te openen.
Hoe moet ik kijken of het script draait als ik vragen mag.
De kans bestaat iig dat ik gehacked ben.
Weet iemand welk logfile ik kan bekijken om uitgaande mails te checken, ik gebruik Exim 3.60

zondag 13 september 2009 19:13

Acties:

Verwijderd

Dit stukje script stuurt niets (ben Perl programmeur ;) ) Ik zou dan ook niet teveel focussen op het zoeken naar .pl bestanden. Grote kans dat dit bestandje een onderdeel is van een setje scripts en het script / programma dat spamt geeneens perl is.

Met het command lsof kun je zien welke applicaties poorten open hebben staan. Als het spam script inderdaad poort 36000 opent zie je met 'lsof -i TCP | grep 36000' welke applicatie het is.

zondag 13 september 2009 19:23

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
Verwijderd schreef op zondag 13 september 2009 @ 19:13:
Dit stukje script stuurt niets (ben Perl programmeur ;) ) Ik zou dan ook niet teveel focussen op het zoeken naar .pl bestanden. Grote kans dat dit bestandje een onderdeel is van een setje scripts en het script / programma dat spamt geeneens perl is.

Met het command lsof kun je zien welke applicaties poorten open hebben staan. Als het spam script inderdaad poort 36000 opent zie je met 'lsof -i TCP | grep 36000' welke applicatie het is.
Top, er draait niks op poort 36000.
Ik heb in mijn serverstats per domein bekeken wat de meest bezochte files zijn en er zit niks opvallends tussen. Op deze server draait alleen apache voor PHP, dus ik heb een complete serverbackup met dreamweaver alle sourcecode doorzocht op het keyword "mail" maar kon niks bijzonders terugvinden,
Iemand verder nog tips hoe ik deze spammer kan opsporen?

zondag 13 september 2009 19:32

Acties:

Verwijderd

Als de spamsoftware geen gebruik maakt van de mailserver van je provider kun je poort 25 blokkeren voor al het verkeer behalve naar je provider (aangenomen dat je zelf wel altijd relayed naar die server natuurlijk) Log pogingen om naar andere mailservers te connecten en draai lsof op de poort die je in je firewall log ziet.

De complete lijst van lsof doorspitten kan trouwens ook geen kwaad ;)

zondag 13 september 2009 19:42

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
Verwijderd schreef op zondag 13 september 2009 @ 19:32:
Als de spamsoftware geen gebruik maakt van de mailserver van je provider kun je poort 25 blokkeren voor al het verkeer behalve naar je provider (aangenomen dat je zelf wel altijd relayed naar die server natuurlijk) Log pogingen om naar andere mailservers te connecten en draai lsof op de poort die je in je firewall log ziet.

De complete lijst van lsof doorspitten kan trouwens ook geen kwaad ;)
Helaas gebruik ik de SMTP wel
Ik krijg wel deze lsof:
logs.cgi 24535 mijnusername 4u IPv4 1505634 TCP mijn.ip.adres:44307->75.145.58.129:25 (ES TABLISHED)
Ik kan alleen logs.cgi niet vinden,

zondag 13 september 2009 19:42

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 21:07

sh4d0wman

Attack | Exploit | Pwn

Draai voor de zekerheid een poortscan met nmap tegen je server. Ik vertrouw niet 100% op de informatie die een mogelijk gehackte server mij geeft ;)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zondag 13 september 2009 19:52

Acties:

Verwijderd

Dat nummer 24535 is de proces id (pid) van logs.cgi. Draai 'lsof | grep <pid>' en je ziet welke bestanden logs.cgi gebruikt. Geeft je waarschijnlijk genoeg informatie om de bron te achterhalen.

Tip van sh4d0wman is ook een goede. Mocht er een rootkit geinstalleerd zijn dan krijg je inderdaad lang niet alles te zien wat op je machine draait.

Je mailserver van je provider gebruiker als 'smart host' (dus alles doorsturen naar je provider die het vervolgens doorstuurt) is trouwens wel een handige setup. Zeker omdat je poort 25 (uitgaand) dus nagenoeg dicht kunt gooien.

zondag 13 september 2009 20:03

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
[quote]Verwijderd schreef op zondag 13 september 2009 @ 19:52:
Volgens mij hebben we beet, maar wat nou! haha,
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

[root@srv1 ~]# lsof | grep 24535
logs.cgi  24535 mijngebruikersnaam  cwd       DIR        3,1        0    6784030 /home/mijngebruikersnaam/domains/mijndomeinnaam.nl/public_html/cgi-bin/test (deleted)
logs.cgi  24535 mijngebruikersnaam  rtd       DIR        3,1     4096          2 /
logs.cgi  24535 mijngebruikersnaam  txt       REG        3,1    15124    4456515 /usr/bin/perl
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1   106397    6340678 /lib/ld-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1  1454546    6340716 /lib/tls/libc-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    15324    6342112 /lib/libdl-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1   178019    6340714 /lib/tls/libm-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    93985    6340703 /lib/tls/libpthread-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    27191    6340687 /lib/libcrypt-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    79488    6342072 /lib/libresolv-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    95148    6342103 /lib/libnsl-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1  1261628    4735584 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/CORE/libperl.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    14542    6340680 /lib/libutil-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        0,0                   0 [heap] (stat: No such file or directory)
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    21280    6342104 /lib/libnss_dns-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    45889    6340776 /lib/libnss_files-2.3.4.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    21164    4735770 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Socket/Socket.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1   117636    4735820 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/POSIX/POSIX.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    16816    4735667 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/IO/IO.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1     6368    4735936 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Sys/Hostname/Hostname.so
logs.cgi  24535 mijngebruikersnaam    0r      CHR        1,3                2506 /dev/null
logs.cgi  24535 mijngebruikersnaam    1w      REG        3,1        0    6833052 /home/mijngebruikersnaam/domains/mijndomeinnaam.nl/public_html/cgi-bin/test/sys/error.log (deleted)
logs.cgi  24535 mijngebruikersnaam    2w      REG        3,1        0    6833052 /home/mijngebruikersnaam/domains/mijndomeinnaam.nl/public_html/cgi-bin/test/sys/error.log (deleted)
logs.cgi  24535 mijngebruikersnaam    3w     FIFO        0,5              923440 pipe
logs.cgi  24535 mijngebruikersnaam    4u     IPv4    1505634                 TCP srv1.mijndomeinnaam.nl:44307->jeremyshop.com:smtp (ESTABLISHED)
logs.cgi  24535 mijngebruikersnaam  195r      CHR        1,9                1035 /dev/urandom
logs.cgi  24535 mijngebruikersnaam  202r     FIFO        0,5             1066523 pipe

zondag 13 september 2009 20:13

Acties:

Verwijderd

Het versturende script is dus toch Perl. Alleen zie je inderdaad niet welk bestand gestart is. Probeer eens 'lsof | grep perl' of 'lsof | grep logs.cgi'. Met wat geluk zie je dan in de laatste kolom wel de bestandslocatie van het script.

zondag 13 september 2009 20:25

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
lsof | grep perl
code:
1
2
3
4
5
6
7
8
9
10
11
12

logs.cgi  24520 mijngebruikersnaam  txt       REG        3,1    15124    4456515 /usr/bin/perl
logs.cgi  24520 mijngebruikersnaam  mem       REG        3,1  1261628    4735584 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/CORE/libperl.so
logs.cgi  24520 mijngebruikersnaam  mem       REG        3,1    21164    4735770 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Socket/Socket.so
logs.cgi  24520 mijngebruikersnaam  mem       REG        3,1   117636    4735820 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/POSIX/POSIX.so
logs.cgi  24520 mijngebruikersnaam  mem       REG        3,1    16816    4735667 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/IO/IO.so
logs.cgi  24520 mijngebruikersnaam  mem       REG        3,1     6368    4735936 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Sys/Hostname/Hostname.so
logs.cgi  24535 mijngebruikersnaam  txt       REG        3,1    15124    4456515 /usr/bin/perl
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1  1261628    4735584 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/CORE/libperl.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    21164    4735770 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Socket/Socket.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1   117636    4735820 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/POSIX/POSIX.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1    16816    4735667 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/IO/IO.so
logs.cgi  24535 mijngebruikersnaam  mem       REG        3,1     6368    4735936 /usr/lib/perl5/5.8.5/i386-linux-thread-multi/auto/Sys/Hostname/Hostname.so

'lsof | grep logs.cgi'.geeft hetzelfde resultaat als bovenstaand lsof | grep 24535

zondag 13 september 2009 20:34

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
sh4d0wman schreef op zondag 13 september 2009 @ 19:42:
Draai voor de zekerheid een poortscan met nmap tegen je server. Ik vertrouw niet 100% op de informatie die een mogelijk gehackte server mij geeft ;)
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
199/tcp open smux
443/tcp open https
445/tcp filtered microsoft-ds
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
2200/tcp open unknown
2222/tcp open unknown
3306/tcp open mysql

zondag 13 september 2009 20:50

Acties:
  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 16-08 16:15

Pim.

Aut viam inveniam, aut faciam

Je vindt een vreemd script op je server, uceprotect.net heeft je al eens geblacklist en je komt bewijs tegen dat je spam aan het versturen bent en je vraagt je af of je server nog betrouwbaar is :? :P

Ik zou helemaal niets meer geloven van alle info die je server produceert. Als je geroot bent is de kans aanwezig dat en dat lsof/ls/top enz enz niet meer de juiste info laten zien. Ik zou je server opnieuw installeren en configureren. Wel zou ik proberen uit te vinden hoe dat script precies op je server is gekomen en hoe je (evt.) geroot bent

Zekerheid voor alles, ik zou niet als spammer of als bot bezig willen zijn

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

zondag 13 september 2009 21:36

Acties:
  • josjos
  • Registratie: November 2003
  • Laatst online: 19-12-2023

josjos

Topicstarter
Pim. schreef op zondag 13 september 2009 @ 20:50:
Je vindt een vreemd script op je server, uceprotect.net heeft je al eens geblacklist en je komt bewijs tegen dat je spam aan het versturen bent en je vraagt je af of je server nog betrouwbaar is :? :P

Ik zou helemaal niets meer geloven van alle info die je server produceert. Als je geroot bent is de kans aanwezig dat en dat lsof/ls/top enz enz niet meer de juiste info laten zien. Ik zou je server opnieuw installeren en configureren. Wel zou ik proberen uit te vinden hoe dat script precies op je server is gekomen en hoe je (evt.) geroot bent

Zekerheid voor alles, ik zou niet als spammer of als bot bezig willen zijn
Of ik hem vertrouw is geen vraag, maar hoe op te lossen en in de toekomst te voorkomen,

zondag 13 september 2009 21:55

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

josjos schreef op zondag 13 september 2009 @ 21:36:
[...]

Of ik hem vertrouw is geen vraag, maar hoe op te lossen en in de toekomst te voorkomen,
Pim. schreef op zondag 13 september 2009 @ 20:50:
...
Ik zou je server opnieuw installeren en configureren. Wel zou ik proberen uit te vinden hoe dat script precies op je server is gekomen en hoe je (evt.) geroot bent
Oplossing en toekomst gericht voorkomen zijn al genoemd.

zondag 13 september 2009 21:56

Acties:
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 29-11 18:10

DataGhost

iPL dev

Om nog even een kleine duit in het zakje te doen: naast al het ontzettende gepiel met lsof om de locatie van het script te achterhalen kan je dat doorgaans ook gewoon vinden door 
cat /proc/<pid>/cmdline

te doen. In dit geval is dus cat /proc/24535/cmdline.

Uit de /proc/<pid>-mappen kan je sowieso veel nuttige informatie halen, sterker nog: dat doen de genoemde tooltjes in principe ook. Helaas zijn, zoals je al zag in de output van lsof, de scriptjes waarschijnlijk al verwijderd dus veel zal je er denk ik niet aan hebben.

zondag 13 september 2009 22:00

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

Pim. schreef op zondag 13 september 2009 @ 20:50:


Ik zou helemaal niets meer geloven van alle info die je server produceert.
Met ^^

Elke binary kan geswapt zijn en jou de informatie verstrekken die de hacker wilt dat je ziet ;)
Een ls/lsof/stat/whatever planten die jou NIET laat zien wat de hacker wilt is 1 van de eerste dingen die een hacker doet.

Advies

1. rm -rf /
2. reinstall
3. Meteen een rkhunter draaien en een db aanleggen van je binaries, mocht je dan ooit gehacked worden kan je dmv van de check van rkhunter kijken of er niks/ of wat er gewijzigd is.
4. Import Backups ! (en dan mag ik hopen dat je die hebt gemaakt ;) )

Waar ik op dit moment mee stoei zijn smtp accounts die gebruikt worden om spam te sturen, wschijnlijk domme paswoorden op die smtp accounts.
Maar goed die vind ik zo wel ;)

Nog een goeie tip, installeer suphp !
(top of the head ;))
cd /usr/local/directadmin/custombuild/
vi options.conf (zet cgi aan)
./build suphp

Mocht nu een website gehacked worden voor spamruns kun je makkelijk zien in je processlist wie er spammed ;)

[ Voor 44% gewijzigd door CrankyGamerOG op 13-09-2009 22:08 ]

KPN - Vodafone Ziggo Partner

zondag 13 september 2009 23:16

Acties:
  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 16-08 16:15

Pim.

Aut viam inveniam, aut faciam

ik zou de schijf uit de machine halen en deze post mortem onderzoeken op die manier kunnen de "foute" binaries je niet meer wijs maken en kan je op zoek. Dit zoeken zal veelal gaan zitten in het zoeken naar exploits in verschillende lopende pakketten, geuploade scripts, usernames/ww enz

Op een nieuwe schijf met een vers OS beginnen met de minimale vereisten tot je door hebt wat er fout gegaan is. Lukt dit allemaal niet dan misschien een extern consult vragen of je nieuw geinstalleerde server laten testen op zwakheden

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

maandag 14 september 2009 01:27

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Pim. schreef op zondag 13 september 2009 @ 23:16:
ik zou de schijf uit de machine halen en deze post mortem onderzoeken op die manier kunnen de "foute" binaries je niet meer wijs maken en kan je op zoek. Dit zoeken zal veelal gaan zitten in het zoeken naar exploits in verschillende lopende pakketten, geuploade scripts, usernames/ww enz

Op een nieuwe schijf met een vers OS beginnen met de minimale vereisten tot je door hebt wat er fout gegaan is. Lukt dit allemaal niet dan misschien een extern consult vragen of je nieuw geinstalleerde server laten testen op zwakheden
The Coroner's Toolkit (or TCT) is a suite of computer security programs by Dan Farmer and Wietse Venema. It is intended to assist in a forensic analysis of a UNIX system after a break-in.
http://en.wikipedia.org/wiki/The_Coroner%27s_Toolkit
http://www.porcupine.org/forensics/tct.html

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq