Re: Er min server blevet hacket?

From: Andreas Frøsting (none@andreas--netikka.dk.lh.bsd-dk.dk)
Date: Mon 13 Dec 2010 - 00:21:37 CET

Next message: Mikael Syska: "check_smartarray.sh by Søren Klintrup && HP predicted failures."
Previous message: Sven Esbjerg: "Re: Er min server blevet hacket?"
Maybe in reply to: Jette Derriche: "Er min server blevet hacket?"
Next in thread: Jette Derriche: "Re: Er min server blevet hacket?"
Reply: Jette Derriche: "Re: Er min server blevet hacket?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: Andreas Frøsting <none@andreas--netikka.dk.lh.bsd-dk.dk>
To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Subject: Re: Er min server blevet hacket?
Date: Mon, 13 Dec 2010 00:21:37 +0100

Hej!

Jeg har netop prøvet præcis det samme på en af vores maskiner over de sidste
par dage.
Efter at have læst hele tråden her kan jeg gøre en konklusion lidt længere
nede.

Min maskine er sådan en fætter her;

uname -a
FreeBSD xxx 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Thu Jan 1
14:37:25 UTC 2009
root@logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

- og lige netop den der er ramt, har så ekstremt lidt trafik at det var
super nemt for mig at grave i logfiler.

Den kører Apache 2.0.63 (nyeste er .64) og i dens access og errorlogs fandt
jeg følgende;

[Sat Dec 11 12:39:25 2010] [error] [client 27.118.20.48] File does not
exist: /home/xxxxx/www/doesnotexist.hax

27.118.20.48 - - [11/Dec/2010:12:39:25 +0100] "GET /doesnotexist.hax
HTTP/1.1" 404 214 "-" "crimscan/1.2"

Kigger jeg i auth.log for ca. samme tidspunkter, finder jeg;
Dec 12 12:20:10 xxxx proftpd[8082]: x.x.x.x
(::ffff:97.74.72.201[::ffff:97.74.72.201]) - ProFTPD terminating (signal 11)
- og den linje stod der ca. 30 gange, fra samme ip.
(linjen herover passer ikke med tidspunktet fra ovennævnte linje i apaches
logs, men det var lige den der stod på skærmen)

Hver gang jeg finder sådan et par entries (aldrig to angreb fra samme ip),
så lå der en ny binary i /etc/;

-rwxrwxrwx 1 root wheel 23267 Dec 11 12:39 amxfuecrtabgxol
-rwxrwxrwx 1 root wheel 23267 Dec 11 13:58 bthceqxrbsxaike
-rwxrwxrwx 1 root wheel 23267 Dec 11 12:39 rggktjritwxhqoo
-rwxrwxrwx 1 root wheel 23267 Dec 10 10:05 sftxniqgdnkymgi
-rwxrwxrwx 1 root wheel 23267 Dec 10 06:22 umqcxcfxrtjbued
-rwxrwxrwx 1 root wheel 23267 Dec 11 13:58 vublollwmwxpdji
-rwxrwxrwx 1 root wheel 23267 Dec 10 06:22 ynipevundsqrgbq
-rwxrwxrwx 1 root wheel 23267 Dec 10 10:05 ggmoocgkthyppye
-rwxrwxrwx 1 root wheel 23267 Dec 12 12:20 fwodghicmdkqtqy
-rwxrwxrwx 1 root wheel 23267 Dec 12 12:20 ngljomghmhqwses

Samme indhold, samme md5; e88750bfafc118329e99c024e7779600

Mht. til proftpd-issuet nævnt et andet sted i tråden, så kørte maskinen en
version der er berørt af den exploit der er nævnt på proftpd.org.

Hvad ovennævnte requests til apache gør, nu hvor exploitet formentlig kommer
gennem proftpd, det ved jeg så ikke lige.

De brugere scriptet skulle oprette er _ikke_ oprettet på min ramte maskine.
Jeg ved ikke lige om det er noget der evt. skal trigges eksternt fra.

Jeg har ikke oplevet problemer efter opgradering af proftpd, apache står
urørt.
Proftpd og apache er de eneste der snakker på maskinens eksterne IP, således
har jeg udelukket ssh og hvad der ellers kører.

Mvh,

-- 
Andreas Frøsting
http://netikka.dk - http://boyfriend.dk

Next message: Mikael Syska: "check_smartarray.sh by Søren Klintrup && HP predicted failures."
Previous message: Sven Esbjerg: "Re: Er min server blevet hacket?"
Maybe in reply to: Jette Derriche: "Er min server blevet hacket?"
Next in thread: Jette Derriche: "Re: Er min server blevet hacket?"
Reply: Jette Derriche: "Re: Er min server blevet hacket?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Fri 31 Dec 2010 - 23:00:01 CET