Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
hilfe bei einem sicherheitsloch

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
rumburack



Anmeldungsdatum: 01.06.2004
Beiträge: 3

BeitragVerfasst am: 01. Jun 2004 18:09   Titel: hilfe bei einem sicherheitsloch

hallo,

ich betreibe einen webserver der anscheind zum flooden auf einen anderen server benutzt wird.

ein unbekannter läd dateien in das temp verzeichnis ( wie ist nicht genau zu ermitteln) und bekommt die dort auch noch gestartet. die dateien flodden dann unentwegt einen unbekannten rechner.

wir vermuten mit phpupload oder ähnlichem. es ist anscheind kein unix user und die logdateien geben keinen aufschluss.

es ist Apache Version 1.3.20 und PHP php4 4.0.6-98

wir haben den phpupload erst mal abgeschaltet um zu sehen ob es daran liegt. problehm ist das er gebraucht wird.

bevor einer fragt die passwörter sind sofort geändert worden, hat aber nicht geholfen.

ich hoffe einer kann helfen.

mfg
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 01. Jun 2004 19:55   Titel:

Hi,

hast Du für die eingesetzten Programmversionen auch die nötigen patches installiert?
Du solltest aber auf jeden Fall ernsthaft darüber nachdenken, daß System komplett neu aufzusetzen!! Und dann bspw. mittels tripwire den Status kontrollieren.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

rumburack



Anmeldungsdatum: 01.06.2004
Beiträge: 3

BeitragVerfasst am: 01. Jun 2004 20:13   Titel:

ja patches sind installiert. ein neu aufsetzen ist leider nicht möglich da auf dem system ca 60 user sind.

ich wäre dankbar für hilfe die das sicherheitsloch schliest.

mfg
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 01. Jun 2004 20:21   Titel:

Dazu müßtest Du deutlich mehr Infos geben.
Z. B.:
- Distribution
- laufende Dienste/daemons (intern & extern)
- schreibt jeder Dienst/daemon ausführliche Logdateien
- hast Du schon mal nach einem rootkit gesucht
- bringt ein AV Scan etwas
- was sagt ein ps aux
- was sagt nmap/top/netstat (aktuelle Versionen nutzen!!)
- ist die etc/passwd & etc/group i. O.
- kannst Du das System eine zeitlang vom Netz nehmen
- etc.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

rumburack



Anmeldungsdatum: 01.06.2004
Beiträge: 3

BeitragVerfasst am: 01. Jun 2004 20:48   Titel:

dann fange ich mal klein an.

die dateien die benutzt werden sind:

-rwxr-xr-x 1 wwwrun www 6124 May 13 2001 slice3
-rwxr-xr-x 1 wwwrun www 25203 Oct 17 2000 smack
-rwxr-xr-x 1 wwwrun www 22799 Feb 18 2001 smurf5
-rwxr-xr-x 1 wwwrun www 30623 Sep 7 2001 smurf6
-rw-r--r-- 1 wwwrun www 19008 Aug 22 2001 smurf6-linux+LPG.c
-rwxr-xr-x 1 wwwrun www 13399 Aug 6 2000 stealth
-rwxr-xr-x 1 wwwrun www 6328 May 13 2001 stream
-rwxr-xr-x 1 wwwrun www 6392 May 13 2001 stream2
drwxr-xr-x 2 wwwrun www 4096 Nov 27 2001 strobe
-rwxr-xr-x 1 wwwrun www 14912 May 13 2001 synhose
-rwxr-xr-x 1 wwwrun www 17690 Feb 7 1996 synk
-rwxr-xr-x 1 wwwrun www 6928 May 13 2001 synk7
-rwxr-xr-x 1 wwwrun www 7760 May 13 2001 synsend
-rwxr-xr-x 1 wwwrun www 14828 May 13 2001 trash
-rwxr-xr-x 1 wwwrun www 17493 May 13 2001 trash2
-rwxr-xr-x 1 wwwrun www 13982 Nov 8 2000 udp
-rwxr-xr-x 1 wwwrun www 13687 Aug 22 2001 vadimI
-rwxr-xr-x 1 wwwrun www 2635 Aug 22 2001 vadimI.c
-rwxr-xr-x 1 wwwrun www 4848 May 13 2001 xdestroy
-rwxr-xr-x 1 wwwrun www 6360 May 13 2001 xshock

ps ax zeigt dann immer den Prozess an z.B. 7833 ? S 0:00 ./zbind

die datei ligt in /hackerfiles/tmp

die daten werden immer gelöscht

distru ist suse 7.3 mit confixx 2.0
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 02. Jun 2004 8:47   Titel:

Ich habe Dir gerade, wie letzte Nacht zugesagt, eine Email geschickt.

Solltest Du Fragen haben, antworte einfach auf die Email ... detailiertere Infos bitte nicht über das Forum.

Gruß & Viel Glück (wirst wohl heute einiges zu tun haben ... Wink )
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

cruxnor



Anmeldungsdatum: 17.05.2004
Beiträge: 19

BeitragVerfasst am: 02. Jun 2004 15:48   Titel:

Hi,

so wie es scheint ist keiner mit fundierten Sicherheitskentnissen in eurer Firma. Vielleicht wäre es auch ratsam in nächster Zeit einen externen in Ansprich zu nehmen, um gezielt Policies usw. aufzusetzen um wenigstens das Gröbste zu beseitigen.
War nur mal so en Gedanke Smile

ciau, cruxnor

PS: chkrootkit würd ich als nächstes mal drüberlaufen lassen
 
Benutzer-Profile anzeigen Private Nachricht senden

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 03. Jun 2004 8:15   Titel:

Hi,

nur zum Abschluß von meiner Seite aus:
da das Problem recht eng eingegrenzt werden konnte würde ich euch trotzdem vorschlagen, sämtliche Systemdateien (init Skripte, Konfigurationsdateien, Programme/Hardlinks/Softlinks, etc.) mit einer jungfräulichen Installation zu vergleichen.

Wäre es mein System, würde ich eine komplette Neuinstallation, wie schon per Email beschrieben, vorziehen (da weiß man, was man hat ... Wink ).

Alles Gute
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy