Onderwerp: Backdoor op server - Hulp gezocht/advies gevraagd

Beste WHT-leden,

Door een brakke Joomla website, heb ik nu te maken met een verdacht proces wat meerdere keren per dag gestart wordt..
Rootkit hunter, maldet, clamav etc. gedraaid (en wel verdachte bestanden gevonden, in quarantaine/deleted) etc.
Echter kan ik niet traceren waar het probleem vandaan komt. Mijn kennis is te gering ... Onderhoud wordt normaal door externe partij gedaan, echter is hij momenteel niet beschikbaar..

Het betreft een mailer, welke via perl wordt gestart.
Zodra ik een lsof -i | grep smtp uitvoer, staat hier normaal gesproken alleen Exim.
Het lijkt er sterk op dat het script geiniteerd wordt middels een backdoor; Poort 39331 wordt geopend en het script begint als een gek te mailen en wordt de lijst gevuld met diverse mail connecties.

Helaas via de proc info te weinig informatie om te zien welk bestand er nou wordt aangeroepen etc...

De machine draait op Debian (DirectAdmin); concreet ben ik op zoek naar een Linux goeroe die dit probleem kan verhelpen, of kan aangeven dat het niet meer te verhelpen is en het beter is om de websites over te zetten en een clean install te doen b.v. (en dit bv ook kan uitvoeren)

Reacties mogen via PM of laat je mailadres achter, dan zal ik een reactie per mail geven!
Eventuele tips waar ik zelf nog zou kunnen zoeken, vind ik ook prima.. Leer graag :-)

Thanks!

gr. Niels

je kunt nog zelf zoeken:
maak een lijst van bestanden van max twee dagen voor het tijdstip van de eerste mailing oud en doorzoek die of er perl in staat.
#!/usr/bin/perl

Succes ermee!

Groeten,

Tsjêbbe

Ik zou eerst eens je website content scannen met bijvoorbeeld NeoPi. Mocht je de shell draaiende kunnen zien (ps afux) kun je even kijken wat hij precies doet door een "strace -p #PID #" te draaien (vervang #PID # met het programma ID van de shell).

Bedoel je met "diversen mail connecties" ook connecties vanaf verschillende ip's?
Anders kun je, als tijdelijke maatregel, eventueel het inkomende IP adres blokkeren.

Er is eigenlijk maar 1 oplossing, belangrijke data er af halen en opnieuw installeren

vaak is het een scriptje dat via een webpagina wordt geactiveerd, dan open blijft staan en z'n ding doet

zoek een naar nieuwe bestanden, vergelijk die met de snapshot op de backupserver

soms klinkt het allemaal ernstiger dan het is, files die via brakke joomla binnenkomen willen niet zeggen dat de server gehackt is (hooguit de website)

Oorspronkelijk geplaatst door t.bloo

vaak is het een scriptje dat via een webpagina wordt geactiveerd, dan open blijft staan en z'n ding doet

zoek een naar nieuwe bestanden, vergelijk die met de snapshot op de backupserver

soms klinkt het allemaal ernstiger dan het is, files die via brakke joomla binnenkomen willen niet zeggen dat de server gehackt is (hooguit de website)

Mee eens, maar hoe ga je het zeker weten dat er verder geen schadelijke dingen op de machine staan.
Ik zou in ieder geval het risico niet nemen.

Oorspronkelijk geplaatst door Marcellow

Er is eigenlijk maar 1 oplossing, belangrijke data er af halen en opnieuw installeren

De kans is miniem dat een reguliere joomla flaw tot een gecompromitteerde server leidt. Dat zou wat zijn om voor alle joomla hackjes een server opnieuw te moeten installeren... hee het is geen Windows!