Date: Sun, 12 Dec 2010 13:17:18 +0100 From: Sven Esbjerg <none@list0--xbsd.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Er min server blevet hacket?
On Sun, Dec 12, 2010 at 12:25:43PM +0100, Jette Derriche wrote:
> For et par dage siden kunne jeg pludselig ikke hente post fra min
> server, og da jeg kiggede efter, fik jeg en hel masse af dem her:
>
> ---------------------------------------
> kern.maxfiles limit exceeded by uid 125, please see tuning(7).
> ---------------------------------------
>
> Jeg kunne ikke logge på, ikke engang direkte på maskinen, og lavede
> derfor en genstart.
>
> Normalt ligger kern.openfiles på 600-700 men nu overstiger den pludselig
> kern.maxfiles som er 3400.
>
> fstat afslørede synderne:
>
> ---------------------------------------
> 1 USER CMD PID FD MOUNT INUM MODE SZ|DV R/W
> 987 root zgcqesjovzlqfeo 2710 320* internet stream tcp c31f4278-
> [...]
> 61 root jdauyqkcwxsowzx 2731 5* internet stream tcp c2fb84f0
> [...]
> 1280 root vopnnrxxixfneke 2709 18* internet stream tcp c3026000
> ---------------------------------------
>
> ...og her lidt fra `ps ax`:
>
> ---------------------------------------
> PID TT STAT TIME COMMAND
> 2709 ?? S 0:00.21 ./vopnnrxxixfneke
> 2710 ?? S 0:00.22 ./zgcqesjovzlqfeo
> 2731 ?? S 0:00.24 ./jdauyqkcwxsowzx
> ---------------------------------------
>
> Hvad hulan er det for nogle scripts?
>
> Så snart jeg stopper disse pids, falder kern.openfiles til normalen
> igen.
>
> Er der nogen der er inde og rode på min server? Hvad skal jeg kigge
> efter?
Ja du er blevet hacket!
1. Er din maskine helt opdateret?
freebsd-update, /usr/ports/ports-mgmt/portaudit
2. disse programmer som kører - kører de som root eller fx som webserveren?
3. hvad laver programmerne? åbne porte (sockstat, netstat), åbne filer (lsof)
Hvis programmerne kun kører som din webserver eller tilsvarende upriviligeret
bruger så er det til at løse. Kører de som root så bør du reinstallere.
Du må meget gerne sende mig programmerne i en tar-ball så kigger jeg lige på
hvad de laver.
Har du en firewall foran? Hvis ja så er der jo den mulighed at blokere for
synderne indtil du har fundet hullet. Ofte basere exploitsne sig på at
hackeren kan download det script han bruger og starte det. Blokerer du for at
man fra serveren kan initiere andet end ntp og dns requests så har hackeren
svært ved at gøre meget. Specielt hvis ntp og dns serveren kontrolleres af
dig.
Oftest handler det om php-forms hvor koderene (dig går jeg ud fra) har glemt
at sikre sig. Check specielt fil-upload forms og mail-forms.
Happy hunting ;)
-Sven
This archive was generated by hypermail 2b30 : Fri 31 Dec 2010 - 23:00:01 CET