Server hacked
Hallo Liste,
heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web Server:
Von Tiger:
NEW: --WARN-- [lin002i] The process `58' is listening on socket 48544
(TCP) on every interface.
NEW: --WARN-- [lin002i] The process `mocks' is listening on socket
26689 (TCP) on every interface.
NEW: --WARN-- [lin003w] The process `testme' is listening on socket
8888 (TCP on every interface) is run by www-data.
Und von Aide:
added:/usr/include/file.h
added:/usr/include/hosts.h
added:/usr/include/log.h
added:/usr/include/proc.h
added:/usr/lib/libsh
added:/usr/lib/libsh/.bashrc
added:/usr/lib/libsh/.backup
added:/usr/lib/libsh/.backup/ps
added:/usr/lib/libsh/.backup/ifconfig
added:/usr/lib/libsh/.backup/netstat
added:/usr/lib/libsh/.backup/top
added:/usr/lib/libsh/.backup/ls
added:/usr/lib/libsh/.backup/find
added:/usr/lib/libsh/.backup/lsof
added:/usr/lib/libsh/.backup/pstree
added:/usr/lib/libsh/.backup/md5sum
added:/usr/lib/libsh/utilz
added:/usr/lib/libsh/utilz/synscan.tgz
added:/usr/lib/libsh/utilz/mirk.tgz
added:/usr/lib/libsh/utilz/mocks-0.0.2
added:/usr/lib/libsh/utilz/mocks-0.0.2/src
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/COPYING
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.conf
added:/usr/lib/libsh/utilz/mocks-0.0.2/README
added:/usr/lib/libsh/utilz/mocks-0.0.2/TODO
added:/usr/lib/libsh/utilz/mocks-0.0.2/build
added:/usr/lib/libsh/utilz/mocks-0.0.2/CHANGELOG
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.log
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.pid
added:/usr/lib/libsh/.sniff
added:/usr/lib/libsh/.sniff/shsniff
added:/usr/lib/libsh/.sniff/shp
added:/usr/lib/libsh/shsb
added:/usr/lib/libsh/hide
added:/usr/lib/libsh/.owned
added:/usr/sbin/ttyload
added:/dev/srd0
added:/lib/libproc.a
added:/lib/libproc.so.2.0.6
added:/lib/lidps1.so
added:/lib/libsh.so
added:/lib/libsh.so/shdcf
added:/lib/libsh.so/shhk
added:/lib/libsh.so/shhk.pub
added:/lib/libsh.so/shrs
added:/lib/libsh.so/bash
added:/lib/libncurses.so.4
added:/sbin/ttyload
added:/sbin/ttymon
changed:/usr/share/doc
changed:/usr/share/man/man1
changed:/usr/bin
changed:/usr/bin/md5sum
changed:/usr/bin/find
changed:/usr/bin/top
changed:/usr/bin/pstree
changed:/usr/bin/lsof
changed:/usr/lib
changed:/usr/sbin
changed:/usr/sbin/lsof
changed:/dev
changed:/dev/log
changed:/bin/ls
changed:/bin/ps
changed:/bin/netstat
changed:/lib
changed:/sbin
changed:/sbin/ifconfig
Das stellte sich als ein SSH Daemon, ein IRC Bouncer, ein SOCKS Proxy
und zwei Dinge mit Weboberfläche auf port 8888 raus.
Einige Dateien waren noch extra mit ext2 Attributen geschützt ("chattr
-isa" damit man löschen durfte...)
Das ganze hatt eine offene IRC Verbindung zu einem ebenfalls gehackten Server.
Außerdem waren noch zwei Log Säuberungs Skripte dabei.
chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
Originale ersetzt.
Kennt jemand das Teil und weiß was das ist, wie man das sicher los
wird (am besten ohne alles platt zu machen...) ?
Andreas
Reply to: