Schlagwort-Archive: Sonstiges

Server Kompromittierung

Frohes Neues Jahr – und schon gibt es wieder etwas zu berichten.

Über den Zeitraum der Jahreswende hatte ich hier einige Kommentare weil der Webserver wohl fremde Server auf phpmyadmins scannt. Ich habe mit den Schreibern Kontakt aufgenommen um zu erfahren wo denn das Problem sei und habe den hiesigen Webserver auf Sicherheitslöcher geprüft, Prozesse gecheckt und nochmals nach Kräften an allen erdenklichen Stellen den „Gürtel“ enger geschnallt. Diese Maßnahmen wurde den Betroffenen mitgeteilt und somit sah ich das Problem als „Behoben“ an.

Mein Kollege, ein namhafter Videokonferenz-Anbieter, bekam nun diese Woche Emails von seinem Provider – sein Server würde phpmyadmins scannen. Das kam mir irgendwie bekannt vor 😉
Nun lag es in der Natur der Dinge (sind nicht weiter erwähnenswert) dass sich die Leute auf dieser Seite melden – jedoch einen anderen Server meinen.

Ich musste also die Fährte aufnehmen… und habe dann auch den entsprechenden Server mit den dubiosen Applikationen gefunden.
Ein Debian Etch Server mit 2.6.18er Kernel… die 6.18er Reihe ist bekannt dafür, auf 0-Day Kernelexploits zu reagieren. Genau so musste der Angreifer das System kompromittiert haben – schliesslich hat er root Rechte erlangt und den Systembenutzer games mit uid und gid 0 ausgestattet – somit konnte man mittels diesem Benutzer böse Dinge anrichten.

In /tmp fand ich ein eine ssh2.tar (auch in entpackter Variante) – dies scheint ein Ersatz für den SSH-Server darzustellen. Komischerweise konnte ich aber keine der dortigen Binaries in der Prozessliste finden. Wichtig wäre wohl noch der Hinweis dass ich mich über das Schlüsselverfahren am Server anmelde und per „sudo“ root-rechte auf dem System erlange – ohne je ein Passwort eingeben zu müssen. Somit kann im Falle eines getauschten SSH Servers wenigstens nicht das Passwort mitgesnifft werden. Die /etc/ssh/sshd_config Datei wurde jedoch verändert – alle Werte wurden auskommentiert ausser dem Subsystem Pfad für sftp – dieser zeigte auf eine Datei unter /opt!

In /opt fand ich eine Verzeichnis Hierarchie wie sie unter /usr zu finden ist… mit ssh Binaries usw. Scheinbar wurde der Server also doch getauscht – das kann ich zum jetzigen Zeitpunkt aber leider nicht mehr genau nachvollziehen.

Ich habe also erst die Dateien aus /tmp entfernt – hier scheint das Massaker ja begonnen zu haben. Anschließend habe ich verdächtige Prozesse beendet, /opt bereinigt und die sshd_config entfernt. Nun konnte der SSH-Server neu installiert werden – sicherheitshalber! So weit – so gut!

Um nun weitere Einbrüche zu vermeiden, habe ich den 2.6.24er etchnhalf Kernel installiert & alle Sicherheitsupdates eingespielt. Wegen der installierten Applikationen war es erst abends möglich den Server neu zu starten – leider!

Als ich mich abends erneut angemeldet und die Prozessliste erneut gecheckt hatte – gab es wieder etwas zu staunen. Diesmal waren die Scanprozesse zu sehen – und das waren nicht wenige! Alle Prozesse hatten „vuln.txt“ im Command und wurden als root gestartet. Ich habe mich also direkt auf die Suche nach dieser Datei gemacht.
Fündig wurde ich in /dev/shm – hier wurde ein dot-Verzeichnis angelegt in welchem sich die komplette Scan-Applikation befand. Wieder habe ich händisch alle betroffenen Prozesse beendet und die Schad-Applikation entfernt.

Endlich wurde der reboot getriggert – ich war gespannt welche Prozesse nach Start auf dem System zu finden sind.
Zum Glück gab es keine Besonderheiten in der Prozessliste – nun heisst es also „Warten auf Abnormales“

Ein Tag später fand ich ein Perl Script im /tmp Bereich namens back.txt – Besitzer www-data
Der Inhalt war wenig spektakulär – einfaches Auslesen von Maschinendaten wie uname -a, id, pwd

Bis jetzt ist wieder Ruhe eingekehrt – und der Supportfall geschlossen!