Dos Attacke, wie ist es passiert?

22/03/2009 - 19:26 von Thomas Grabietz | Report spam
Hallo NG,
mich erreichte von meinem Provider eine Warnung, dass mein Server Dos
Attacken auf andere Server vornimmt, hier in diesem Fall auf IRCd

2009-03-21 07:25 UTC : UDP Outgoing: ca. 99189 packets/s, ca. 47 MBit/s
seen from 85.25xx.xx:35786 ('egal') to xx.xx.xx.xx:6667
2009-03-21 07:30 UTC : UDP Outgoing: ca. 39379 packets/s, ca. 18 MBit/s
seen from 85.25xx.xx.:35786 ('egal') to xx.xx.xx.xx:6667
2009-03-21 07:35 UTC : UDP Outgoing: ca. 100135 packets/s, ca. 48 MBit/s
seen from 85.25xx.xx.:59697 ('egal') to xx.xx.xx.xx :6667

Ich habe mein System untersucht und folgende Hinweise gefunden:

Das Passwort eines Benutzers wurde per Brute-Force geknackt.
In das Web-Verzeichnis wurde via ftp das Programm php-shell hochgeladen
(php làuft als cgi, dh. php-Prozesse gehören dem Benutzer)
Es wurden weiterhin alle Daten des Benutzers gelöscht (ftp), leider auch
die History
Es wurde sich via ssh eingeloggt.
Das Passwort des (gehàckten)Benutzers wurde geàndert

Es wurde folgender cronjob unter der Benutzer-Id angelegt:
* * * * * /tmp/mc-root/update >/dev/null 2>&1

So, an dieser Stelle komme ich nicht weiter. Ich kann keine weiteren
Hinweise finden. Das mit dem mc-root macht mich stutzig. Ich finde keine
weiteren Programme, die dem gehackten Benutzer gehören. Kann man mit
MC so eine Attacke ausführen.

Bitte dringend um Hinweise

Gruß Tom
 

Lesen sie die antworten

#1 helmut
22/03/2009 - 19:35 | Warnen spam
Hallo, Thomas,

Du meintest am 22.03.09:

Es wurde folgender cronjob unter der Benutzer-Id angelegt:
* * * * * /tmp/mc-root/update >/dev/null 2>&1



Was zeigt

ls -ld /tmp/mc-root

Bei meinem System hat jedes "/tmp/mc-<user>"-Verzeichnis als Eigner den
in "mc-<user>" stehenden Namen und als Rechte 700 - das sollte
unkritisch sein.

Wenn dort ein Unterverzeichnis "update" liegen kann, dann solltest Du
vermuten, dass auch das "root"-Passwort geknackt worden ist.

So, an dieser Stelle komme ich nicht weiter. Ich kann keine weiteren
Hinweise finden. Das mit dem mc-root macht mich stutzig. Ich finde
keine weiteren Programme, die dem gehackten Benutzer gehören. Kann
man mit MC so eine Attacke ausführen.



Nicht mit dem "midnight commander". Aber sobald "root" mit dem "midnight
commander" gearbeitet hat, existiert das Verzeichnis, und da schaue ich
nur ganz selten mal hinein.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".

Ähnliche fragen