• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

virus auf server

Chris78

Member
Hallo.
ich betreibe selbst einen suse 10.0 server und habe innerhalb kurzester Zeit wieder zwei rootkit viren drauf, und zwar in der datei /bin/ps und /bin/ls
wie zum Geier kommen diese auf den Server...?
Ich hänge noch nicht einmal direkt am Internet sodern über die Fritzbox.
Kommen diese ungebetenen Gäste über Mail..?
Wie kann ich dies in zukunft vermeiden diesen Besuch ab zu wehren???

vielen Dank
 

Grothesk

Ultimate Guru
Öffnest du Mails auf dem Server?
Und selbst dann müsste das ja unter der Kennung von root sein.
Wie hast du die Kits entdeckt? Mit chkrootkit von einem externen Medium?
Wenn dir das regelmäßig passiert, dann würde ich mal kritisch beäugen, welche Dienste da unter welcher Kennung laufen.
Naja, ist ja auch eine gute Gelegenheit, die 10.0 endlich in Rente zu schicken und eine noch unterstützte Distribution aufzuspielen. Denn neuinstallieren musst du so oder so.
Einem kompromittierten System kannst du nicht mehr trauen.
 
OP
C

Chris78

Member
Mir fällt das auf, wenn ich mit über Putty bzw ssh verbinde, dann gibts eine fehlermeldung und die Farben sind nicht mehr da.

Nach einem virenscan tauchen dann siese 2 dateien auf. ich hatte schonmal die 2 dateien einfach ausgetauscht und das system lief ca. 3Monate ohne probleme. mich würde nur mal interessieren wie diese Dateien auf mein server gelangen? Neu installieren ist nciht so einfachda ich scalix drauf laufen habe und ich so einfach nicht updaten kann...
 

framp

Moderator
Teammitglied
Chris78 schrieb:
Nach einem virenscan tauchen dann siese 2 dateien auf.
Welche Dateien? Warum glaubst Du dass Du Viren hast?
Neu installieren ist nciht so einfachda ich scalix drauf laufen habe und ich so einfach nicht updaten kann...
Bist Du sicher dass Du kein rootkit auf dem System hast? Dann bleibt leider nur noch plattmachen - so schwer das auch fallen mag.
 
OP
C

Chris78

Member
Bin wieder gehackt worden...
diesmal aber bitter.
Als ich auf mein Webserver wollte, hatte ich plötzlich eine andere Seite auf dem schirm. EIne Warnung das ich gehackt worden bin. In dem Webverzeichniss habe es auch eine admin.php das war so eine Art webmin mit der man komplett datenbanken dumpen kann und dateien beliebig auf den Server schieben und ausführen kann.
Ich habe den Webserver außer dienst gestellt und alle ports geschlossen. Was mich nur wundert ist, daß der Server mein eigener zu Hause ist und man per dyndns drauf kann. Er wird eigentlich nur von mir genutzt und steht in keiner Suchmaschine drinn.
mich würde mal interessieren wie so etwas funktioniert..? -einen code ausführen an einem System was noch nicht mal einen direkte leitung zum Internet hat...
Ich hatte ja noch die Fritzbox dazwischen und nur den Port 80 und Email offen...?
Eventuell irgend etwas ausgeführt über PHP, eine Webanwendung...?


Es gibt bei mir eine datei namens fgrep die so einen Inhalt hat, was bewirkt dieser:
exec /bin/grep -F ${1+"$@"}
 

Grothesk

Ultimate Guru
Kiste plätten, sich informieren, welche Angriffszenarien eine Rolle gespielt haben könnten, das ganze intensiv machen, sich mit Serversicherheit auseinandersetzen, dann komplett neuaufsetzen mit einer aktuellen Distribution, bis zum nächten Crack warten.
 

framp

Moderator
Teammitglied
Chris78 schrieb:
Ich habe den Webserver außer dienst gestellt und alle ports geschlossen.
Die einzige richtige Aktion .... danach kommt ... das System plattmachen :-(
Was mich nur wundert ist, daß der Server mein eigener zu Hause ist und man per dyndns drauf kann.
Es gibt Spezeln, die scannen alle IP Adressen in einem Bereich .... und da warst Du wohl auch dabei :roll:
Ich hatte ja noch die Fritzbox dazwischen und nur den Port 80 und Email offen...?
Port 80 reicht. Damit ist der Webserver von jedem erreichbar.
Eventuell irgend etwas ausgeführt über PHP, eine Webanwendung...?
Vermutlich. Offensichtlich hast Du bei Deinem Server irgendeine bekannte Lücke im System. Wer einen Server betreibt muss auch regelmäßig dafür sorgen, dass SecurityUpdates ingespielt werden. (Deshalb liegt meine Webseite auf einem externen Hoster, der bislang dafür sorgte, dass
alles OK ist).
Es gibt bei mir eine datei namens fgrep die so einen Inhalt hat, was bewirkt dieser:
exec /bin/grep -F ${1+"$@"}
Du achtest auf Dein System, denn sonst hättest Du diese Abweichungen nicht bemerkt. Das ist sehr gut! EIn jedes vom Internet erreichbares System muss regelmäßig kontrolliert werden.
Es ist schwer zu sagen was da bei Dir passiert ist ... es sieht aber sehr mysteriös aus. Mach das Ding platt und versuche noch besser aufzupassen und vor allen DIngen alle aktuellen SecurityPatches einzuspielen. ... oder wechsel zu einem Provider der das für Dich tut 8)
 
OP
C

Chris78

Member
Ich habe mich mittlerweile damit abgefunden den Server neu zu Installlieren.
Eigentlich hat man das ja recht schnell gemacht wenn da nciht sendmail währe mit dem amavisd-milter damit das ganze auch unter scalix läuft. Da hatte ich eine Zeitlang gekämpft. Das ist auch der Grund warum ich nicht so einfach Update. Denn mit scalix kann man leider nicht so ohne weiteres updaten. Es sei denn man benutzt den SLES...

Zur sicherheitslücke... ICh denke ich hab eine Spur: PHPNuke
ICh hatte vor Jahren mal eine Homepage mit PHPNuke gemacht. Es gab von außen vermehrten zugriff von außen an den Adminbereich. Irgendwie wurde so wohl ein Code eingeschleußt.
ICh habe auch in der php.ini register_global=off :oops:
Gibts auch einen Virenscanner unter linux der das System im Hintergrund checkt?
 

Grothesk

Ultimate Guru
Und was soll ein Virenscanner im Hinblick auf Lücken in phpNuke bringen?
Sicherheit ist ein Konzept und keine Software die man installieren könnte und dann ist alles geregelt.

Wenn PHPNuke nicht mehr benötigt wird, dann wirft man den Kram von seinem Server runter. Zusätzlicher Code auf dem Server bietet u. U. halt zusätzliche Angriffsvektoren. Ist eine der admin-Grundregeln. Was nicht unbedingt an Software benötigt wird hat auf dem Server nichts verloren. Und dann muss man als admin halt auch am Ball bleiben, was die aktuellen Versionen seiner eingesetzten Software-Versionen angeht und entsprechend bei Notwendigkeit updaten.

Ganz ehrlich: Mir wäre ein vernünftig administrierter Server definitiv zu viel arbeit.
 
Hi,

mir haben sie am letzte Woche einen Server gehackt.
So wie es aussah, war der Einstiegspunkt eine veraltete WordPress-Version(< 2.3) die einer meiner Kunden installiert hatte.

Das bedeutete am Wochenende dann: Server neu aufsetzen und alle Domains wieder neu einrichten udn Datensicherungen zurückspielen.

Dabei dann gleich festgestellt, dass zwei weitere Kunden ebenfalls noch die veraltete Version von WordPress verwenden :(

Naja, die dürfen jetz erst mal updaten bevor das wiederfreigegeben wird ;-)

Gruß
Moody
 
Oben