Scheiß Kiddies

Boah wie ich das hasse... heute Nachmittag auf einmal ne Mail von Hosteurope "Ihr Server hatte heute einen Traffic von 46GB". Nanu, was ist denn da los?!? Ab auf den Server...
$ netstat -t
Nanu, was sind denn das für Verbindungen? Und wieso hört der Server auf einem mir unbekannten Port? *ersteAhnungKrieg* mal chkrootkit laufen lanssen... hm hat nix gefunden. Ich werf mal nen Blick in die /etc/passwd... Nanu?!? Also Systemaccounts haben ne Shell? Und was ist das? roott:0...?!? FUCK!

Na toll jetzt hab ich den ganzen Nachmittag damit verbracht, das System notdürftig abzusichern (vom Netz nehmen ist keine Alternative da ich keinen physikalischen Zugang dazu habe) und bin nun dabei in einer chroot-Umgebung ein neues Gentoo aufzusetzen. Ich hoffe, dass das Kiddie nicht zurückkommt bevor ich das System neu aufgesetzt habe, sonst war die ganze Arbeit umsonst *grummel*.

Btw kennt jemand ne Möglichkeit ohne physikalischen Zugriff ein Rettungssystem zu booten, zum Beispiel von einem Image oder so? Weil irgendwie muss ich den Kram aus der chroot-Umgebung ja noch ins root kriegen...

äh, bei 1&1 konnte man mit dem Webinterface das Rescue System booten,
sowas sollte es doch da auch geben !?!

http://www.rootforum.de/faq/index.ph...id=104&lang=de

Ne gibt es leider nicht...

aber rebooten kannst du die Kiste, nicht? Dann als root /dev/ram und das Dateisystemimage des Rettungssystems als initrd in den Bootloader, irgendsowas müsste gehen.
Musst dir halt 100pro sicher sein dass der Kram funktioniert und die Karre nicht irgendwo hängenbleibt.

Ich hab jetzt nen anderen Weg gefunden... ich missbrauche einfach die 1GB große Swap-Partition als Rescue-System. Bin gerade dabei ein Gentoo zu installieren, damit hab ich schon so einiges an erfahrung. Anschließend will ich die root-Partition teilen und das ganze System neu einteilen...

Aber ich hab inzwischen den Weg gefunden, den das Kiddie ins System nahm: Ein PHP-Script vom Kunden war extrem einfach zu exploiten :-(. Danach ist wahrscheinlich irgendein local exploit eingesetzt worden um root-Rechte zu erlangen.

Was ich daraus gelernt habe:
Statt PHP setze ich ab jetzt auf Hardened-PHP (da fehlt unter anderem die Fähigkeit, eine remote-Datei zu inkludieren) und zusätzlich kommt Apache von nun an in einen chroot-Käfig.

Das is das Risiko bei 'root Servern'.. HostEurope bietet für nur 149,- € immerhin das Neuaufsetzen des Systems, und man hat für solche Fälle ja ganze 2 GB Backuptraffic / Monat kostenfrei.. Oder auch eine eRIC Management Karte für nochmal 30, die zumindest halbwegs nützlich aussieht.. Fehlender physikalischer Zugriff suxx.

Hassu das inzwischen so ans laufen gebracht, oder ham Remote Hands noch was an dir verdient?

Was ham $kiddies alles schönes angestellt? Hast du irgendwelche aussagekräftigen Logs retten können, falls damit bösartigere Sachen angestellt wurden, für die du möglicherweise mal gerade stehen darfst?

Hab es ohne die Hilfe von HostEurope hingekriegt. Nachdem ich mir ziemlich sicher war, dass ich das System wieder einigermaßen dicht hatte, hab ich die Swappartition rausgenommen, mit ext3 formatiert und ein Gentoo drauf installiert. Anschließend gebooted und von dort aus die Hauptpartition mit parted verkleinert (ohne frisches Backup ist das echt DER Nervenkitzel *g*). Anschließend neue Partitionen angelegt: Eine für das neue OS, eine für das Rettungssystem. In den nächsten Tagen will ich dann auch noch /var, /tmp und die Kunden auf jeweils eigene Partitionen auslagern. Außerdem läuft Apache nun in einer chroot-Umgebung (das ist vieleicht ein Abenteuer, sowas vollständig mit PHP und CGI ans laufen zu kriegen).

Inzwischen weiß ich auch wo der Angriff her kam: http://www.heise.de/newsticker/meldung/51838
Schöner Mist, dass allow_url_fopen standartmäßig an ist. Hab es erst nicht geglaubt, musste nachgucken um mich zu überzeugen.

Allerdings weiß ich immer noch nicht, auf welche Weise die root-Rechte erlangt worden sind. Ich denk mal da komm ich auch nicht mehr hinter.