PDA

Bekijk Volledige Versie : Disable IRC



snaaps
16/08/05, 16:22
hallo,

Is er een manier om ervoor te zorgen dat er geen IRC van mijn servers gedraaid kan worden?

Volgens mij ondervindt ik hier enorm veel last van.
Ik heb nu al drie keer een zeer hoge load gehad door het proces eggdrop.
Als ik mij niet vergis wordt dit gebruikt door IRC?

Gl0be
16/08/05, 16:32
klopt eggdrop (http://www.eggheads.org/) is een soort bot voor Mirc. Maar hoe je het kunt blokkeren geen idee

snaaps
16/08/05, 16:35
Ik heb de klant nu 24 uur de tijd gegeven om deze MIRC te verwijderen.
Staat duidelijk ik mijn voorwaardes dat wij dit niet tolareren.

royen99
16/08/05, 16:37
Origineel geplaatst door Gl0be
klopt eggdrop (http://www.eggheads.org/) is een soort bot voor Mirc. Maar hoe je het kunt blokkeren geen idee

Voor IRC, niet voor mIRC...

Zorg ervoor dat klanten geen binaries kunnen starten en/of geen background processen kunnen draaien.

(bijvoorbeeld door de dirs waar de users toegang tot hebben te mounten met de optie noexec).

GlobalServe
16/08/05, 16:46
Blokker op de firewall de poorten voor irc.
Wel UDP en TCP blockeren.

Ofwel met een IDS (Intrusion Detection System) Systeem werken.

snaaps
16/08/05, 16:46
welke poorten gebruikt IRC?

port 6668?

Triloxigen
16/08/05, 16:51
6667

royen99
16/08/05, 16:51
Origineel geplaatst door GlobalServe
Blokker op de firewall de poorten voor irc.
Wel UDP en TCP blockeren.


Werkt voor 70/80% van de gevallen (als de IRCd op de std porten 6666-6669,7000 draait). IRCd's kan je echter op elke gewenste (>1024) port laten draaien als user, hetzelfde geldt voor o.a. een eggdrop bot.

snaaps
16/08/05, 16:53
Je bedoelt dat de gebruiker zelf een poort kan toewijzen?

royen99
16/08/05, 16:54
Origineel geplaatst door snaaps
Je bedoelt dat de gebruiker zelf een poort kan toewijzen?

Yeps.. al is 6667 de meest voorkomende.
(echter, de port is gewoon een instelling in een config bestandje.... elke port boven de 1024 is dus te gebruiken).

//edit: porten onder de 1024 kan ook, echter enkel met root access.

snaaps
16/08/05, 17:02
waar kan eggdrop nog meer voor worden gebruikt?
Ik heb nu de account gesuspend maar nu heb ik weer een hoge load door die eggdrop.

eggdrop inmidddels alweer gekilled.

D. ter Horst
16/08/05, 17:04
Eggdrop kun je van alles mee doen, je kunt er een xdcc server van maken (een soort public FTP server, daar kun je het het best mee vergelijken), stats mee genereren... naja eigenlijk gewoon alles wat je kunt bedenken wat output kan geven :)

royen99
16/08/05, 17:10
Oorspronkelijke hoofdfunctie is een soort van geautomatiseerde chat moderator. (het netjes houden van een irc channel).

Tegenwoordig wordt het voor van alles gebruikt, zoals gezegd dcc servers, trivia pursuit games, flooding, spamming, botnets, geven van informatie.. tsja.. van alles dus.

snaaps
16/08/05, 17:11
A, iets gevonden:

find / | grep eggdrop <enter>
[root@ccc4 bfd-0.9]# find / | grep eggdrop
/usr/local/directadmin/customapache/curl-7.13.0/index/.dat/doc/eggdrop.doc
/usr/local/directadmin/customapache/curl-7.13.0/index/.dat/doc/man1/eggdrop.1
/usr/local/directadmin/customapache/curl-7.13.0/index/.dat/eggdrop-1.6.6
/usr/local/directadmin/customapache/curl-7.13.0/index/.dat/eggdrop
/usr/local/directadmin/customapache/curl-7.13.0/index.php/.dat/doc/eggdrop.doc
/usr/local/directadmin/customapache/curl-7.13.0/index.php/.dat/doc/man1/eggdrop.1
/usr/local/directadmin/customapache/curl-7.13.0/index.php/.dat/eggdrop-1.6.6
/usr/local/directadmin/customapache/curl-7.13.0/index.php/.dat/eggdrop
/usr/local/directadmin/customapache/curl-7.13.0/.../doc/eggdrop.doc
/usr/local/directadmin/customapache/curl-7.13.0/.../doc/man1/eggdrop.1
/usr/local/directadmin/customapache/curl-7.13.0/.../eggdrop-1.6.6
/usr/local/directadmin/customapache/curl-7.13.0/.../eggdrop
/usr/local/directadmin/customapache/gd-2.0.33/test/.../.dat/doc/eggdrop.doc
/usr/local/directadmin/customapache/gd-2.0.33/test/.../.dat/doc/man1/eggdrop.1
/usr/local/directadmin/customapache/gd-2.0.33/test/.../.dat/eggdrop-1.6.6
/usr/local/directadmin/customapache/gd-2.0.33/test/.../.dat/eggdrop
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.bash/doc/eggdrop.doc
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.bash/doc/man1/eggdrop.1
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.bash/eggdrop-1.6.6
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.bash/eggdrop
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.log/doc/eggdrop.doc
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.log/doc/man1/eggdrop.1
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.log/eggdrop-1.6.6
/usr/local/directadmin/customapache/libmcrypt-2.5.7/libltdl/.log/eggdrop
/var/www/html/webmail/tmp/info_ehardware.nl_localhost/trash/.bash/.log/doc/eggdrop.doc
/var/www/html/webmail/tmp/info_ehardware.nl_localhost/trash/.bash/.log/doc/man1/eggdrop.1
/var/www/html/webmail/tmp/info_ehardware.nl_localhost/trash/.bash/.log/eggdrop-1.6.6
/var/www/html/webmail/tmp/info_ehardware.nl_localhost/trash/.bash/.log/eggdrop
/var/tmp/.stelkers/doc/eggdrop.doc
/var/tmp/.stelkers/doc/man1/eggdrop.1
/var/tmp/.stelkers/eggdrop-1.6.6
/var/tmp/.stelkers/eggdrop
[root@ccc4 bfd-0.9]#

wat wij opvalt is dus .....tmp/info_hardware_localhost.......

Esbes
16/08/05, 17:12
Hoe kan je eigenlijk zo'n eggdrop het beste verwijderen van je server?

snaaps
16/08/05, 17:16
Ja dat wil ik ook wel weten, en kan dit eigelijk zomaar?

Ik wordt een beetje gek hier:

eerst een aanval op mijn eerste server (serload 188+)
toe poging inbraak via shell op mijn 5e server
en nu dit weer

dit allemaal binnen 3 dagen

royen99
16/08/05, 17:22
Origineel geplaatst door snaaps
A, iets gevonden:

find / | grep eggdrop <enter>
[root@ccc4 bfd-0.9]# find / | grep eggdrop
/usr/local/directadmin/customapache/curl-7.13.0/index/.dat/doc/eggdrop.doc
[ .... ]
/var/tmp/.stelkers/eggdrop
[root@ccc4 bfd-0.9]#

wat wij opvalt is dus .....tmp/info_hardware_localhost.......

Gezien die paden lijkt het er op dat iemand zich in elk geval via "oneigenlijke" manieren zichzelf toegang heeft gegeven tot het systeem. In directories als /home/user/public (of iets dergelijks) kan ik het nog indenken, maar het lijkt me sterk dat een gewone gebruiker iets zou mogen neerzetten binnen /usr/local/directadmin/customapache/gd-2.0.33 ...

verwijderen is uiteraard makkelijk, je weet waar ze staan, gewoon een rm -rf <naam van eggdrop dir>

Ik zou ook even naar het beveiligings aspect van die betreffende server kijken.....

Mikey
16/08/05, 17:26
is het niet verstandiger door eerst te kijken naar welk netwerk en chan deze bot connect. Misschien dat je er dan ook nog achter komt van wie deze is.

snaaps
16/08/05, 17:27
uhh hoe zien we dat?

xserve
16/08/05, 17:29
Origineel geplaatst door snaaps
Ja dat wil ik ook wel weten, en kan dit eigelijk zomaar?

Ik wordt een beetje gek hier:

eerst een aanval op mijn eerste server (serload 188+)
toe poging inbraak via shell op mijn 5e server
en nu dit weer

dit allemaal binnen 3 dagen
Misschien een firewall op je servers zetten en enkel de poorten open zetten die je gebruikt, zoals:
web, imap, pop, ssh, smtp en dergelijke.

Misschien is dit een snelle oplossing?

Mikey
16/08/05, 17:36
Origineel geplaatst door snaaps
uhh hoe zien we dat?

voor al uw zorgen : http://www.eggheads.org/

Sernate
16/08/05, 17:49
Dit is denk ik niet door een van je klanten gedaan.

Ziet er sterk naar uit dat ze je server zijn binnegekomen via /tmp (google 'secure /tmp')

Ik zou behalve de directory's waar de eggdrops staan eens goed in de log files kijken, en de rest van het systeem inspecteren of er nog meer kwaad gedaan is.

chkrootkit ( http://www.chkrootkit.org/ ) of rootkit hunter ( http://www.rootkit.nl/) er over heen gooien kan ook zeker geen kwaad.

Om eventueel te achterhalen waar de eggdrops naar verbinden, elke eggdrop maakt gebruikt van een configuratie bestand, standaard genaamd eggdrop.conf of iets in die trend. in dit bestand staat vermeld waar de eggdrop naar connect etc.

Cybafish
16/08/05, 18:34
Eh, bijna, er stond /var/tmp ;) Directory waarin MySQL doorgaans zijn socket in gooit.

luser
16/08/05, 18:35
Deze heeft waarschijnlijk ook een 777, ook voor de tmp van die webmail. Deze mount je beter met noexec.

Sernate
16/08/05, 18:54
Origineel geplaatst door Cybafish
Eh, bijna, er stond /var/tmp ;) Directory waarin MySQL doorgaans zijn socket in gooit.

ah, my bad.. verkeerd gelezen :)

RayManZ
16/08/05, 19:06
http://www.eth0.us/tmp

Erg handig :)

Ik had hier eerst ook last van. Toen /tmp beveiligd en ook nog mod_sec ingestalleerd. Nu nergens meer last van. Wel zie ik soms pogingen, maar die falen allen door mod_sec :D

snaaps
16/08/05, 20:00
ok:

maar als ik dus: df -h |grep tmp uitvoer gebeurd er niks.
dit terwij ik toch echt een /tmp directory zie.

[root@ccc4 curl-7.13.0]# cat /etc/fstab |grep tmp
none /dev/shm tmpfs defaults 0 0
Hier zie je dus ook niks.

moet ik nu gewoon verder met de stap Create a ~800Mb partition?
en alles blijven volgen?

RayManZ
16/08/05, 20:09
Ja inderdaad. Alleen zou ik aanraden dit niet zomaar te doen als je niet weet wat je doet :) Het kan namelijk op fout gaan. Wellicht even proberen op een test server?

luser
16/08/05, 20:28
Doe gewoon dit:
pico /etc/fstab

Zet het volgende erbij vanonder:
tmpfs /tmp tmpfs nodev,nosuid,noexec,size=512m 0 0

sluiten & saven, dan type je mount /tmp

EDIT: testen of het werkt kan je simpel:
cd /tmp

pico test.c:
# include <std io.h>

int main(void) {
printf("bleh testje\n");
}

Dan gc c -o test test .c, als je dan . /test doet moet je perm denied krijgen.

EDIT2: Wat spaces wegens mod security hier.

snaaps
16/08/05, 23:49
Ik heb alle eggdrops en spy..nog wat verwijderd van mijn server.
Ik heb de TMP directory succesvol beveiligd.
Bedankt voor jullie hulp!

wv-
17/08/05, 00:28
ik zou toch niet teveel vertrouwen op die noexec. Het kan scriptkiddies buiten houden, maar het zeer simpel omzeilbaar

luser
17/08/05, 00:33
Er komt idd nog veel meer bij te kijken maar alle kleine beetjes helpen ;)

snaaps
17/08/05, 01:50
Ben inmiddels begonnen met het verbetern van de veiligheid.
Jemig wat kom ik nog een hoop tegen!
Ik ben voor mijzelf een simpele html pagina aanhet maken hoe en welke stappen je allemaal moet nemen om een server te installeren en beveiligen.
Zal het binnenkort wel ff posten hier ergens op dit forum, zodat andere mensen er ook iets aan hebben en of er nog meer bij kan!

dreamhost_nl
17/08/05, 10:23
Origineel geplaatst door snaaps
Zal het binnenkort wel ff posten hier ergens op dit forum, zodat andere mensen er ook iets aan hebben en of er nog meer bij kan!

Dat is uiteraard aardig, maar de evt. tekortkomingen in je beveiliging lever je dan wel op een presenteerblaadje... ;)