Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

virus auf server

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Chris78
Member
Member
Beiträge: 67
Registriert: 15. Mär 2004, 13:34

virus auf server

Beitrag von Chris78 » 8. Jun 2008, 19:06

Hallo.
ich betreibe selbst einen suse 10.0 server und habe innerhalb kurzester Zeit wieder zwei rootkit viren drauf, und zwar in der datei /bin/ps und /bin/ls
wie zum Geier kommen diese auf den Server...?
Ich hänge noch nicht einmal direkt am Internet sodern über die Fritzbox.
Kommen diese ungebetenen Gäste über Mail..?
Wie kann ich dies in zukunft vermeiden diesen Besuch ab zu wehren???

vielen Dank

Werbung:
Grothesk
Ultimate Guru
Ultimate Guru
Beiträge: 14662
Registriert: 26. Okt 2003, 11:52
Wohnort: Köln

Re: virus auf server

Beitrag von Grothesk » 8. Jun 2008, 19:19

Öffnest du Mails auf dem Server?
Und selbst dann müsste das ja unter der Kennung von root sein.
Wie hast du die Kits entdeckt? Mit chkrootkit von einem externen Medium?
Wenn dir das regelmäßig passiert, dann würde ich mal kritisch beäugen, welche Dienste da unter welcher Kennung laufen.
Naja, ist ja auch eine gute Gelegenheit, die 10.0 endlich in Rente zu schicken und eine noch unterstützte Distribution aufzuspielen. Denn neuinstallieren musst du so oder so.
Einem kompromittierten System kannst du nicht mehr trauen.
"Die Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen. Allerdings ist sie nicht OpenSource, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."

Chris78
Member
Member
Beiträge: 67
Registriert: 15. Mär 2004, 13:34

Re: virus auf server

Beitrag von Chris78 » 8. Jun 2008, 21:56

Mir fällt das auf, wenn ich mit über Putty bzw ssh verbinde, dann gibts eine fehlermeldung und die Farben sind nicht mehr da.

Nach einem virenscan tauchen dann siese 2 dateien auf. ich hatte schonmal die 2 dateien einfach ausgetauscht und das system lief ca. 3Monate ohne probleme. mich würde nur mal interessieren wie diese Dateien auf mein server gelangen? Neu installieren ist nciht so einfachda ich scalix drauf laufen habe und ich so einfach nicht updaten kann...

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4270
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: virus auf server

Beitrag von framp » 8. Jun 2008, 22:04

Chris78 hat geschrieben:Nach einem virenscan tauchen dann siese 2 dateien auf.
Welche Dateien? Warum glaubst Du dass Du Viren hast?
Neu installieren ist nciht so einfachda ich scalix drauf laufen habe und ich so einfach nicht updaten kann...
Bist Du sicher dass Du kein rootkit auf dem System hast? Dann bleibt leider nur noch plattmachen - so schwer das auch fallen mag.

Chris78
Member
Member
Beiträge: 67
Registriert: 15. Mär 2004, 13:34

Re: virus auf server

Beitrag von Chris78 » 10. Jun 2008, 21:23

Bin wieder gehackt worden...
diesmal aber bitter.
Als ich auf mein Webserver wollte, hatte ich plötzlich eine andere Seite auf dem schirm. EIne Warnung das ich gehackt worden bin. In dem Webverzeichniss habe es auch eine admin.php das war so eine Art webmin mit der man komplett datenbanken dumpen kann und dateien beliebig auf den Server schieben und ausführen kann.
Ich habe den Webserver außer dienst gestellt und alle ports geschlossen. Was mich nur wundert ist, daß der Server mein eigener zu Hause ist und man per dyndns drauf kann. Er wird eigentlich nur von mir genutzt und steht in keiner Suchmaschine drinn.
mich würde mal interessieren wie so etwas funktioniert..? -einen code ausführen an einem System was noch nicht mal einen direkte leitung zum Internet hat...
Ich hatte ja noch die Fritzbox dazwischen und nur den Port 80 und Email offen...?
Eventuell irgend etwas ausgeführt über PHP, eine Webanwendung...?


Es gibt bei mir eine datei namens fgrep die so einen Inhalt hat, was bewirkt dieser:
exec /bin/grep -F ${1+"$@"}

Grothesk
Ultimate Guru
Ultimate Guru
Beiträge: 14662
Registriert: 26. Okt 2003, 11:52
Wohnort: Köln

Re: virus auf server

Beitrag von Grothesk » 10. Jun 2008, 22:38

Kiste plätten, sich informieren, welche Angriffszenarien eine Rolle gespielt haben könnten, das ganze intensiv machen, sich mit Serversicherheit auseinandersetzen, dann komplett neuaufsetzen mit einer aktuellen Distribution, bis zum nächten Crack warten.
"Die Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen. Allerdings ist sie nicht OpenSource, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4270
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: virus auf server

Beitrag von framp » 10. Jun 2008, 22:58

Chris78 hat geschrieben:Ich habe den Webserver außer dienst gestellt und alle ports geschlossen.
Die einzige richtige Aktion .... danach kommt ... das System plattmachen :-(
Was mich nur wundert ist, daß der Server mein eigener zu Hause ist und man per dyndns drauf kann.
Es gibt Spezeln, die scannen alle IP Adressen in einem Bereich .... und da warst Du wohl auch dabei :roll:
Ich hatte ja noch die Fritzbox dazwischen und nur den Port 80 und Email offen...?
Port 80 reicht. Damit ist der Webserver von jedem erreichbar.
Eventuell irgend etwas ausgeführt über PHP, eine Webanwendung...?
Vermutlich. Offensichtlich hast Du bei Deinem Server irgendeine bekannte Lücke im System. Wer einen Server betreibt muss auch regelmäßig dafür sorgen, dass SecurityUpdates ingespielt werden. (Deshalb liegt meine Webseite auf einem externen Hoster, der bislang dafür sorgte, dass
alles OK ist).
Es gibt bei mir eine datei namens fgrep die so einen Inhalt hat, was bewirkt dieser:
exec /bin/grep -F ${1+"$@"}
Du achtest auf Dein System, denn sonst hättest Du diese Abweichungen nicht bemerkt. Das ist sehr gut! EIn jedes vom Internet erreichbares System muss regelmäßig kontrolliert werden.
Es ist schwer zu sagen was da bei Dir passiert ist ... es sieht aber sehr mysteriös aus. Mach das Ding platt und versuche noch besser aufzupassen und vor allen DIngen alle aktuellen SecurityPatches einzuspielen. ... oder wechsel zu einem Provider der das für Dich tut 8)

Grothesk
Ultimate Guru
Ultimate Guru
Beiträge: 14662
Registriert: 26. Okt 2003, 11:52
Wohnort: Köln

Re: virus auf server

Beitrag von Grothesk » 10. Jun 2008, 23:05

Soweit ist es mit dem auf das System achten aber auch nicht her...
ich betreibe selbst einen suse 10.0 server
"Die Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen. Allerdings ist sie nicht OpenSource, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."

Chris78
Member
Member
Beiträge: 67
Registriert: 15. Mär 2004, 13:34

Re: virus auf server

Beitrag von Chris78 » 11. Jun 2008, 07:07

Ich habe mich mittlerweile damit abgefunden den Server neu zu Installlieren.
Eigentlich hat man das ja recht schnell gemacht wenn da nciht sendmail währe mit dem amavisd-milter damit das ganze auch unter scalix läuft. Da hatte ich eine Zeitlang gekämpft. Das ist auch der Grund warum ich nicht so einfach Update. Denn mit scalix kann man leider nicht so ohne weiteres updaten. Es sei denn man benutzt den SLES...

Zur sicherheitslücke... ICh denke ich hab eine Spur: PHPNuke
ICh hatte vor Jahren mal eine Homepage mit PHPNuke gemacht. Es gab von außen vermehrten zugriff von außen an den Adminbereich. Irgendwie wurde so wohl ein Code eingeschleußt.
ICh habe auch in der php.ini register_global=off :oops:
Gibts auch einen Virenscanner unter linux der das System im Hintergrund checkt?

Grothesk
Ultimate Guru
Ultimate Guru
Beiträge: 14662
Registriert: 26. Okt 2003, 11:52
Wohnort: Köln

Re: virus auf server

Beitrag von Grothesk » 11. Jun 2008, 08:34

Und was soll ein Virenscanner im Hinblick auf Lücken in phpNuke bringen?
Sicherheit ist ein Konzept und keine Software die man installieren könnte und dann ist alles geregelt.

Wenn PHPNuke nicht mehr benötigt wird, dann wirft man den Kram von seinem Server runter. Zusätzlicher Code auf dem Server bietet u. U. halt zusätzliche Angriffsvektoren. Ist eine der admin-Grundregeln. Was nicht unbedingt an Software benötigt wird hat auf dem Server nichts verloren. Und dann muss man als admin halt auch am Ball bleiben, was die aktuellen Versionen seiner eingesetzten Software-Versionen angeht und entsprechend bei Notwendigkeit updaten.

Ganz ehrlich: Mir wäre ein vernünftig administrierter Server definitiv zu viel arbeit.
"Die Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen. Allerdings ist sie nicht OpenSource, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4270
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: virus auf server

Beitrag von framp » 11. Jun 2008, 21:33

Chris78 hat geschrieben:... Es gab von außen vermehrten zugriff von außen an den Adminbereich. ...
AdminBereiche sollte man immer zusätzlich per .htaccess schützen :o

MoodyMammoth
Newbie
Newbie
Beiträge: 18
Registriert: 30. Jun 2008, 15:13
Wohnort: Aurich
Kontaktdaten:

Re: virus auf server

Beitrag von MoodyMammoth » 22. Jul 2008, 15:01

Hi,

mir haben sie am letzte Woche einen Server gehackt.
So wie es aussah, war der Einstiegspunkt eine veraltete WordPress-Version(< 2.3) die einer meiner Kunden installiert hatte.

Das bedeutete am Wochenende dann: Server neu aufsetzen und alle Domains wieder neu einrichten udn Datensicherungen zurückspielen.

Dabei dann gleich festgestellt, dass zwei weitere Kunden ebenfalls noch die veraltete Version von WordPress verwenden :(

Naja, die dürfen jetz erst mal updaten bevor das wiederfreigegeben wird ;-)

Gruß
Moody

Antworten