hilfe bei einem sicherheitsloch

[rumburack]

hallo,

ich betreibe einen webserver der anscheind zum flooden auf einen anderen server benutzt wird.

ein unbekannter läd dateien in das temp verzeichnis ( wie ist nicht genau zu ermitteln) und bekommt die dort auch noch gestartet. die dateien flodden dann unentwegt einen unbekannten rechner.

wir vermuten mit phpupload oder ähnlichem. es ist anscheind kein unix user und die logdateien geben keinen aufschluss.

es ist Apache Version 1.3.20 und PHP php4 4.0.6-98

wir haben den phpupload erst mal abgeschaltet um zu sehen ob es daran liegt. problehm ist das er gebraucht wird.

bevor einer fragt die passwörter sind sofort geändert worden, hat aber nicht geholfen.

ich hoffe einer kann helfen.

mfg

[Stormbringer]

Hi,

hast Du für die eingesetzten Programmversionen auch die nötigen patches installiert?
Du solltest aber auf jeden Fall ernsthaft darüber nachdenken, daß System komplett neu aufzusetzen!! Und dann bspw. mittels tripwire den Status kontrollieren.

Gruß

[rumburack]

ja patches sind installiert. ein neu aufsetzen ist leider nicht möglich da auf dem system ca 60 user sind.

ich wäre dankbar für hilfe die das sicherheitsloch schliest.

mfg

[Stormbringer]

Dazu müßtest Du deutlich mehr Infos geben.
Z. B.:
- Distribution
- laufende Dienste/daemons (intern & extern)
- schreibt jeder Dienst/daemon ausführliche Logdateien
- hast Du schon mal nach einem rootkit gesucht
- bringt ein AV Scan etwas
- was sagt ein ps aux
- was sagt nmap/top/netstat (aktuelle Versionen nutzen!!)
- ist die etc/passwd & etc/group i. O.
- kannst Du das System eine zeitlang vom Netz nehmen
- etc.

Gruß

[rumburack]

dann fange ich mal klein an.

die dateien die benutzt werden sind:

-rwxr-xr-x 1 wwwrun www 6124 May 13 2001 slice3
-rwxr-xr-x 1 wwwrun www 25203 Oct 17 2000 smack
-rwxr-xr-x 1 wwwrun www 22799 Feb 18 2001 smurf5
-rwxr-xr-x 1 wwwrun www 30623 Sep 7 2001 smurf6
-rw-r--r-- 1 wwwrun www 19008 Aug 22 2001 smurf6-linux+LPG.c
-rwxr-xr-x 1 wwwrun www 13399 Aug 6 2000 stealth
-rwxr-xr-x 1 wwwrun www 6328 May 13 2001 stream
-rwxr-xr-x 1 wwwrun www 6392 May 13 2001 stream2
drwxr-xr-x 2 wwwrun www 4096 Nov 27 2001 strobe
-rwxr-xr-x 1 wwwrun www 14912 May 13 2001 synhose
-rwxr-xr-x 1 wwwrun www 17690 Feb 7 1996 synk
-rwxr-xr-x 1 wwwrun www 6928 May 13 2001 synk7
-rwxr-xr-x 1 wwwrun www 7760 May 13 2001 synsend
-rwxr-xr-x 1 wwwrun www 14828 May 13 2001 trash
-rwxr-xr-x 1 wwwrun www 17493 May 13 2001 trash2
-rwxr-xr-x 1 wwwrun www 13982 Nov 8 2000 udp
-rwxr-xr-x 1 wwwrun www 13687 Aug 22 2001 vadimI
-rwxr-xr-x 1 wwwrun www 2635 Aug 22 2001 vadimI.c
-rwxr-xr-x 1 wwwrun www 4848 May 13 2001 xdestroy
-rwxr-xr-x 1 wwwrun www 6360 May 13 2001 xshock

ps ax zeigt dann immer den Prozess an z.B. 7833 ? S 0:00 ./zbind

die datei ligt in /hackerfiles/tmp

die daten werden immer gelöscht

distru ist suse 7.3 mit confixx 2.0

[Stormbringer]

Ich habe Dir gerade, wie letzte Nacht zugesagt, eine Email geschickt.

Solltest Du Fragen haben, antworte einfach auf die Email ... detailiertere Infos bitte nicht über das Forum.

Gruß & Viel Glück (wirst wohl heute einiges zu tun haben ... )

[cruxnor]

Hi,

so wie es scheint ist keiner mit fundierten Sicherheitskentnissen in eurer Firma. Vielleicht wäre es auch ratsam in nächster Zeit einen externen in Ansprich zu nehmen, um gezielt Policies usw. aufzusetzen um wenigstens das Gröbste zu beseitigen.
War nur mal so en Gedanke

ciau, cruxnor

PS: chkrootkit würd ich als nächstes mal drüberlaufen lassen

[Stormbringer]

Hi,

nur zum Abschluß von meiner Seite aus:
da das Problem recht eng eingegrenzt werden konnte würde ich euch trotzdem vorschlagen, sämtliche Systemdateien (init Skripte, Konfigurationsdateien, Programme/Hardlinks/Softlinks, etc.) mit einer jungfräulichen Installation zu vergleichen.

Wäre es mein System, würde ich eine komplette Neuinstallation, wie schon per Email beschrieben, vorziehen (da weiß man, was man hat ... ).

Alles Gute