Subject: Re: Er min server blevet hacket? From: Jette Derriche <none@bsd-dk--nerdgirl.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Date: Mon, 20 Dec 2010 02:02:22 +0100
On Mon, 2010-12-13 at 00:21 +0100, Andreas Frøsting wrote:
> Hej!
>
> Jeg har netop prøvet præcis det samme på en af vores maskiner over de sidste
> par dage.
> Efter at have læst hele tråden her kan jeg gøre en konklusion lidt længere
> nede.
>
> Min maskine er sådan en fætter her;
>
> uname -a
> FreeBSD xxx 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Thu Jan 1
> 14:37:25 UTC 2009
> root@logan.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
>
> - og lige netop den der er ramt, har sĂĄ ekstremt lidt trafik at det var
> super nemt for mig at grave i logfiler.
>
> Den kører Apache 2.0.63 (nyeste er .64) og i dens access og errorlogs fandt
> jeg følgende;
>
> [Sat Dec 11 12:39:25 2010] [error] [client 27.118.20.48] File does not
> exist: /home/xxxxx/www/doesnotexist.hax
>
> 27.118.20.48 - - [11/Dec/2010:12:39:25 +0100] "GET /doesnotexist.hax
> HTTP/1.1" 404 214 "-" "crimscan/1.2"
>
> Kigger jeg i auth.log for ca. samme tidspunkter, finder jeg;
> Dec 12 12:20:10 xxxx proftpd[8082]: x.x.x.x
> (::ffff:97.74.72.201[::ffff:97.74.72.201]) - ProFTPD terminating (signal 11)
> - og den linje stod der ca. 30 gange, fra samme ip.
> (linjen herover passer ikke med tidspunktet fra ovennævnte linje i apaches
> logs, men det var lige den der stod på skærmen)
>
> Hver gang jeg finder sĂĄdan et par entries (aldrig to angreb fra samme ip),
> sĂĄ lĂĄ der en ny binary i /etc/;
>
> -rwxrwxrwx 1 root wheel 23267 Dec 11 12:39 amxfuecrtabgxol
> -rwxrwxrwx 1 root wheel 23267 Dec 11 13:58 bthceqxrbsxaike
> -rwxrwxrwx 1 root wheel 23267 Dec 11 12:39 rggktjritwxhqoo
> -rwxrwxrwx 1 root wheel 23267 Dec 10 10:05 sftxniqgdnkymgi
> -rwxrwxrwx 1 root wheel 23267 Dec 10 06:22 umqcxcfxrtjbued
> -rwxrwxrwx 1 root wheel 23267 Dec 11 13:58 vublollwmwxpdji
> -rwxrwxrwx 1 root wheel 23267 Dec 10 06:22 ynipevundsqrgbq
> -rwxrwxrwx 1 root wheel 23267 Dec 10 10:05 ggmoocgkthyppye
> -rwxrwxrwx 1 root wheel 23267 Dec 12 12:20 fwodghicmdkqtqy
> -rwxrwxrwx 1 root wheel 23267 Dec 12 12:20 ngljomghmhqwses
>
> Samme indhold, samme md5; e88750bfafc118329e99c024e7779600
>
> Mht. til proftpd-issuet nævnt et andet sted i tråden, så kørte maskinen en
> version der er berørt af den exploit der er nævnt på proftpd.org.
>
> Hvad ovennævnte requests til apache gør, nu hvor exploitet formentlig kommer
> gennem proftpd, det ved jeg sĂĄ ikke lige.
>
> De brugere scriptet skulle oprette er _ikke_ oprettet pĂĄ min ramte maskine.
> Jeg ved ikke lige om det er noget der evt. skal trigges eksternt fra.
>
> Jeg har ikke oplevet problemer efter opgradering af proftpd, apache stĂĄr
> urørt.
> Proftpd og apache er de eneste der snakker pĂĄ maskinens eksterne IP, sĂĄledes
> har jeg udelukket ssh og hvad der ellers kører.
>
> Mvh,
Tak for ovenstående... din udførlige info var en stor hjælp.
Jeg havde heller ikke nogen nye brugere pĂĄ systemet, og efter opdatering
er problemet forsvundet (min proftpd hedder nu proftpd-mysql-1.3.3c_3).
Men jeg er ikke tryg ved proftpd efter dette, og er blevet anbefalet at
udskifte den med vsftpd: http://vsftpd.beasts.org/#security
/Jette
This archive was generated by hypermail 2b30 : Fri 31 Dec 2010 - 23:00:01 CET