[HaBo]

easteregg · 02.12.10, 13:19

heyho

ich hab grad folgendes als mail von strato bekommen, bin mir irgendwie aber nicht sicher, ob das wirklich ernst ist oder gefälschter spam.

Zitat:

ein kompromittierter Server ist in der Regel nur sehr schwer als ein solcher zu erkennen, da Angreifer sogenannte Rootkits installieren.

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach einem Einbruch auf dem kompromittierten Server installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Auf diese Weise versuchen Eindringlinge ihre Spuren zu verwischen; "ls" zeigt bestimmte Dateien nicht an, "ps" listet diverse Prozesse des Eindringlings nicht auf und Logins werden nicht mitgeloggt. Zudem wird meist noch ein versteckter SSH-Daemon gestartet, der auf einem beliebigen Port auf Befehle wartet. Bei aktuellen Angriffen lässt sich zumindest (noch) in der Liste der offenen Verbindungen eine Vielzahl an Verbindungsversuchen auf SSH-Ports anderer Rechner beobachten. Zudem versucht sich der kompromittierte Server via IRC mit Bot-Netzen zu verbinden.

Zurzeit beobachten wir eine deutliche Zunahme von Angriffen auf Server, deren Software nicht auf dem aktuellen Stand ist. Angreifer versuchen auf diesem Weg, root-Zugriff auf den Servern zu erlangen. Bei einem erfolgreichen Einbruch wird häufig der übernommene Server wiederum als Rampe für weitere Angriffe auf dritte Systeme in Form von DoS-Attacken oder Brute-Force-SSH-Scans missbraucht.

Auf vielen Servern befinden sich derzeit immer noch unsichere Versionen des FTP-Servers ProFTPd. Wir empfehlen dringendst, entsprechende Sicherheitsupdates einzuspielen, den Dienst zu stoppen oder ggf. den FTP-Dienst zu ersetzen.

Stoppen können Sie den FTP-Dienst meist mittels /etc/init.de/xinetd stop

Weitere Informationen zur Sicherheitslücke in ProFTPd finden Sie im Kundenservicebereich in den Technischen News in den Beiträgen von 08.11.2010 und 12.11.2010.

Wir empfehlen Ihnen die regelmäßige Nutzung des Tools chkrootkit, das eine Vielzahl von Rootkits identifiziert. Die Installation erfolgt unter Debian und Ubuntu mittels "apt-get install chkrootkit", bei openSUSE mit "yast -i chkrootkit". Je nach verwendetem Repository kann die installierte Version von chkrootkit veraltet sein. Um die neuste Version zu erhalten, können Sie diese selbst aus dem Sourcecode erzeugen. Gehen Sie dazu als Benutzer root wie folgt vor:

cd /root
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit-0.49/
make sense

Führen Sie danach chkrootkit aus. Wenn Sie chkrootkit aus dem Repository Ihrer Distribution installiert haben, genügt der Aufruf von "chkrootkit". Wenn Sie chkrootkit selbst kompiliert haben, führen Sie bitte "/root/chkrootkit-0.49/chkrootkit" aus.
Lesen Sie sorgfältig die Ausgaben auf der Konsole.

Zeilen wie die folgenden sollen Sie alarmieren:

Checking ifconfig... INFECTED
Checking pstree... INFECTED
Searching for t0rns v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Checking bindshell... INFECTED (PORTS: 465)
chkproc: Warning: Possible LKM Trojan installed
Checking bindshell... INFECTED (PORTS: 465)
Checking chkutmp... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 15781 pts/0 -bash

Diese Zeilen sind nicht einfach nur Beispiele, sondern entstammen einem aktuellen Fall!

Ein weiteres Indiz dafür, dass Ihr Server kompromittiert ist, liegt in der Datei /root/.ssh/authorized_keys. Enthält diese SSH-Keys, die Ihnen nicht bekannt sind, so können Sie davon ausgehen, dass ein Angreifer auf Ihrem Server root-Zugriff erlangt hat.

Da chkrootkit nicht alle ausgetauschten Dateien findet und die händische Korrektur keine 100%-ige Sicherheit bietet, empfehlen wir Ihnen, bei einem solchen Fund umgehend eine Datensicherung durchzuführen und das System neu zu installieren. Nur so ist sichergestellt, dass keine Hintertür übersehen wird. Bitte verwenden Sie unbedingt neue Passwörter, da die alten dem Eindringling im Zweifel bereits bekannt sein dürften.

Bitte aktualisieren Sie nach der Neuinstallation regelmäßig die eingesetzte Software, um erneuten Einbrüchen vorzubeugen.

Bei den virtuellen Servern haben wir Abwehrmaßnahmen getroffen, um der Verbreitung der Angriffe entgegenzuwirken:

Wir haben gestern (30.11.2010), um ca. 20.45 Uhr eine Überwachung auf allen V-Server-Hardwarenodes aktiviert. Diese überprüft alle V-Server permanent, ob die Prozesse "/usr/sbin/sshd -p 59997" oder "dd_ssh" laufen und beendet diese dann vollständig. Dies sind aktuell Prozesse, die gestartet werden, nachdem das System von Dritten übernommen wurde (in erster Linie durch die Sicherheitslücke im ProFTPd). Zudem wird eine Firewall-Regel aktiviert, welche ausgehenden IRC-Traffic von diesem System nach außen verwirft. Diese Regel kann durch einen Reboot deaktiviert werden. Der "dd_ssh"-Prozess ist genau der Prozess, der SSH-Scans durchführt, eine ausgehende IRC-Verbindung herstellt und von dort Befehle empfängt. Der Prozess "sshd -p 59997" bietet eine offene Root-Shell für ein Login. Vorbeugend wird eine weitere Firewall-Regel für V-Server aktiviert, die eingehenden Traffic auf Port 21 verwirft, wenn eine verwundbare proftpd-Version gefunden wird.

Ihr STRATO Server Team.

warum soll ich das von nem anderen server runterladen und selbst kompilieren?
im strato kundenlogin is auf jeden fall nen ähnlicher artikel drin, allerdings soll ich dort das paket über die paket verwaltung installieren.
kann es sein, dass es sich hierbei also um spam handelt?

**xeno** · 02.12.10, 13:33

Die URL ist korrekt, chkrootkit liegt nun mal da

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Anzeige

- Anzeige -

easteregg · 02.12.10, 13:41

okay gut, wenn mir jetzt noch jemand den falsepositive von plesk mit bindhshell auf port 465 bestätigen kann und mir bestätig, dass es dort nunmal sich um das xinetd handelt, was drauf läuft, dann bin ich wieder etwas ruhiger!

beavisbee · 02.12.10, 15:23

Da war Strato aber langsam...
Der Bug im proFTPd ist seit Anfang November bekannt, mein Provider hat mich glaub am 18. oder 19. November darüber informiert und ich hab mich mal noch ein wenig schlau gemacht:

wenn du Debian(Lenny) verwendest (hab ich das noch richtig so im Hinterkopf?) und proftpd direkt aus den Debian-Repositories verwendest (und die security-repos auch drin hast), dann solltest du die Version proftpd-1.3.1-17lenny4 laufen haben.

Die Lücke betrifft jedoch laut bugs.debian.org und bugs.proftpd.org nur Versionen ab 1.3.2rc3.

Quellen:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=602313
http://bugs.proftpd.org/show_bug.cgi?id=3521#c7

edit:
Ich persönlich bleibe bei meinem Root-Server bei der stabilen, wenn auch relativ alten, Version von proftpd und bekomme somit wenigstens weiterhin Security-Updates von Debian... wenn du dir jetzt die 1.3.3c, wo der Fehler behoben ist, selbst kompilierst, dann musst du halt selbst dran bleiben, dich über neue Lücken zu informieren und immer selbst updaten.

Sollte also Strato wirklich deinen FTP-Port blocken, weil du 'ne Version < 1.3.3c verwendest, dann verweis sie auf die eben geposteten Links.

easteregg · 02.12.10, 15:47

die lücke betraf auf die plesk proftp version (... i hate plesk so much)
aber das ist schon lange gepatched und installiert

das war nur ne aufforderung zum checken vom server, da die wohl massenweise gehackte kisten bei sich stehen haben.

interessant is auch nen false positive im zusammenhang mit chkrootkit und plesk, worauf aber nirgends hingewiesen wird.
aber sollte alles sauber sein und läuft

beavisbee · 02.12.10, 16:01

Zitat:

Zitat von easteregg

(... i hate plesk so much)

( so why do you use it? is there no vserver without it on the market?

*g* )

easteregg · 02.12.10, 16:37

bestimmt gibts da welche, aber das is kein v sondern r

und there is no advertising employer without plesk on their servers where im used to work

und es gibt unheimlich viele kunden, die halt eben plesk haben wollen

erklär mal nen kunden, das plesk blöd ist, der aber die nette klicki klicki oberfläche haben will, damit er seine mails verwalten kann

ich bin quasi gezwungen, selbst würd ich mich nie und nimmer auf plesk einlassen.... aber das is ne andere story, das hier ist auf jeden fall gelöst

danke!

Inliferty · 02.12.10, 20:42

Hey vielleicht in dem Zusammenhang noch intressant:

Zitat:

Der Einbruch hat am 28. November stattgefunden und wurde am 1. Dezember entdeckt. Kurz darauf haben die Entwickler die Änderungen rückgängig gemacht. Da es sich um den Hauptserver des Projekts handelt, der über rsync auch die Mirrors speist, wurde der verseuchte Code vermutlich noch bis einschließlich heute auch über die offiziellen Spiegelserver ausgeliefert.

Quelle: http://www.heise.de/newsticker/meldu...D-1146211.html

Also ist wohl jeder betroffen der in diesem Zeitraum seinen ProFTPd selbst kompiliert hat.

MfG
Inliferty

beavisbee · 02.12.10, 22:21

Thx für den Hinweis. Ziemlich dreister Angriff...
Bin ich froh, dass ich bei der stabilen Version von Debian geblieben bin

**bitmuncher** · 02.12.10, 23:05

Da steht ja auch nicht umsonst in der Mail "Je nach verwendetem Repository kann die installierte Version von chkrootkit veraltet sein. Um die neuste Version zu erhalten, können Sie diese selbst aus dem Sourcecode erzeugen." Debian stable war aber von der IAC-Remote-Root-Lücke tatsächlich nie betroffen. Wer allerdings unstable oder testing im Einsatz hat und nicht regelmässig Updates fährt, sollte sein System ggf. überprüfen. Dort trat die Lücke zumindest kurzzeitig auch bei Debian auf.

Der Header der Mail sieht jedenfalls sauber aus und ging bei mir prinzipiell nur über Strato-Rechner.

Viel faszinierender an der Meldung finde ich aber, dass der dd_ssh wieder zum Einsatz kommt. Der wurde schon bei diversen phpmyadmin-Lücken eingesetzt. Es handelt sich dabei um einen SSH-Bruteforcer, der seine ermittelten Daten an einen zusätzlich eingeschleusten Bot weiterreicht, der sich wiederum in einem IRC-Netzwerk meldet. Zumeist sind das in Perl geschriebene Bots, so dass man das IRC-Netzwerk relativ leicht ermitteln kann. Es scheint also immer noch Server zu geben, bei denen sich SSH-Bruteforce wirklich lohnt, sonst würde der dd_ssh wohl kaum noch eingesetzt werden.

beavisbee · 02.12.10, 23:28

es lebe fail2ban...

(und natürlich zusätzlich deaktivierter root-zugang @sshd...)

Anzeige

- Anzeige -

02.12.10, 13:33	#2 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	Die URL ist korrekt, chkrootkit liegt nun mal da ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

02.12.10, 13:41	#3 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 62	okay gut, wenn mir jetzt noch jemand den falsepositive von plesk mit bindhshell auf port 465 bestätigen kann und mir bestätig, dass es dort nunmal sich um das xinetd handelt, was drauf läuft, dann bin ich wieder etwas ruhiger! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

02.12.10, 15:47	#5 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 62	die lücke betraf auf die plesk proftp version (... i hate plesk so much) aber das ist schon lange gepatched und installiert das war nur ne aufforderung zum checken vom server, da die wohl massenweise gehackte kisten bei sich stehen haben. interessant is auch nen false positive im zusammenhang mit chkrootkit und plesk, worauf aber nirgends hingewiesen wird. aber sollte alles sauber sein und läuft __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

02.12.10, 16:37	#7 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 62	bestimmt gibts da welche, aber das is kein v sondern r und there is no advertising employer without plesk on their servers where im used to work und es gibt unheimlich viele kunden, die halt eben plesk haben wollen erklär mal nen kunden, das plesk blöd ist, der aber die nette klicki klicki oberfläche haben will, damit er seine mails verwalten kann ich bin quasi gezwungen, selbst würd ich mich nie und nimmer auf plesk einlassen.... aber das is ne andere story, das hier ist auf jeden fall gelöst danke! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

02.12.10, 23:05	#10 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 443	Da steht ja auch nicht umsonst in der Mail "Je nach verwendetem Repository kann die installierte Version von chkrootkit veraltet sein. Um die neuste Version zu erhalten, können Sie diese selbst aus dem Sourcecode erzeugen." Debian stable war aber von der IAC-Remote-Root-Lücke tatsächlich nie betroffen. Wer allerdings unstable oder testing im Einsatz hat und nicht regelmässig Updates fährt, sollte sein System ggf. überprüfen. Dort trat die Lücke zumindest kurzzeitig auch bei Debian auf. Der Header der Mail sieht jedenfalls sauber aus und ging bei mir prinzipiell nur über Strato-Rechner. Viel faszinierender an der Meldung finde ich aber, dass der dd_ssh wieder zum Einsatz kommt. Der wurde schon bei diversen phpmyadmin-Lücken eingesetzt. Es handelt sich dabei um einen SSH-Bruteforcer, der seine ermittelten Daten an einen zusätzlich eingeschleusten Bot weiterreicht, der sich wiederum in einem IRC-Netzwerk meldet. Zumeist sind das in Perl geschriebene Bots, so dass man das IRC-Netzwerk relativ leicht ermitteln kann. Es scheint also immer noch Server zu geben, bei denen sich SSH-Bruteforce wirklich lohnt, sonst würde der dd_ssh wohl kaum noch eingesetzt werden. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

02.12.10, 15:23	#4 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 77	Da war Strato aber langsam... Der Bug im proFTPd ist seit Anfang November bekannt, mein Provider hat mich glaub am 18. oder 19. November darüber informiert und ich hab mich mal noch ein wenig schlau gemacht: wenn du Debian(Lenny) verwendest (hab ich das noch richtig so im Hinterkopf?) und proftpd direkt aus den Debian-Repositories verwendest (und die security-repos auch drin hast), dann solltest du die Version proftpd-1.3.1-17lenny4 laufen haben. Die Lücke betrifft jedoch laut bugs.debian.org und bugs.proftpd.org nur Versionen ab 1.3.2rc3. Quellen: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=602313 http://bugs.proftpd.org/show_bug.cgi?id=3521#c7 edit: Ich persönlich bleibe bei meinem Root-Server bei der stabilen, wenn auch relativ alten, Version von proftpd und bekomme somit wenigstens weiterhin Security-Updates von Debian... wenn du dir jetzt die 1.3.3c, wo der Fehler behoben ist, selbst kompilierst, dann musst du halt selbst dran bleiben, dich über neue Lücken zu informieren und immer selbst updaten. Sollte also Strato wirklich deinen FTP-Port blocken, weil du 'ne Version < 1.3.3c verwendest, dann verweis sie auf die eben geposteten Links.

02.12.10, 22:21	#9 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 77	Thx für den Hinweis. Ziemlich dreister Angriff... Bin ich froh, dass ich bei der stabilen Version von Debian geblieben bin

02.12.10, 23:28	#11 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 77	es lebe fail2ban... (und natürlich zusätzlich deaktivierter root-zugang @sshd...)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

seltsame mail von strato