Onderwerp: Gehacked? Veel GB's traffic per maand!?

Beste allemaal,

Ik heb een dedicated server bij Leaseweb met Centos 5.2 en DirectAdmin. Tot een paar maanden geleden ging dat allemaal prima; todat ik voor maart opeens 600 euri's moest bijbetalen voor het dataverkeer.

Een poosje geleden was er wel een probleem met Roundcube; maar deze is inmiddels geupdated naar de laatste versie. Ook Centos is inmiddels 5.3. Ik dacht dat daarmee de problemen waren opgelost.

Als ik echter bij de stats kijk voor April dan zit ik alweer op 6.1 TB (!) terwijl ik maar 2 TB heb. Dat wordt dus weer een leuke rekening. Vorige week vrijdag is de laatste keer dat ik yum update heb uitgevoerd; en sinds die datum was het rustig; tot gistermiddag/avond:

20:00 - 21:00 7.24 MB 17.66 MB 24.90 MB
19:00 - 20:00 4.64 MB 26.42 GB 26.42 GB
18:00 - 19:00 4.43 MB 4.59 GB 4.60 GB
17:00 - 18:00 23.27 MB 34.12 MB 57.39 MB

De dus de nodige GB's over de balk. Er draaien een paar websites die weinig tot geen bezoekers hebben. De /home/ directory is 1.2 GB groot, en de groote vhost is 500 mb. omdat zij 450mb. aan mail hebben staan.

Wat kan hier aan de hand zijn?

Vraag om een herinstall anders?
en load je spullen opnieuw op (nadat je nagekeken hebt of daar het probleem niet inzit)

Nou een herinstall vind ik wel erg rigoreus :-/

En met spullen opnieuw uploaden bedoel je de bestaande websites/scripts ed. ? Zoveel zijn het er niet.

Met:

du -sk * | sort

Kom ik niet echt grote dirs tegen

En deze is ook wel interessant:

top - 11:48:01 up 7 days, 12:58, 1 user, load average: 1.00, 1.01, 1.00
Tasks: 195 total, 2 running, 192 sleeping, 0 stopped, 1 zombie
Cpu(s): 19.5%us, 5.6%sy, 0.0%ni, 74.7%id, 0.1%wa, 0.0%hi, 0.1%si, 0.0%st
Mem: 2074232k total, 1299304k used, 774928k free, 269700k buffers
Swap: 4008120k total, 88k used, 4008032k free, 705660k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3176 apache 25 0 5228 3064 1292 R 100.0 0.1 10852:41 perl
1 root 15 0 2064 592 512 S 0.0 0.0 0:03.47 init
2 root RT -5 0 0 0 S 0.0 0.0 0:00.30 migration/0
3 root 34 19 0 0 0 S 0.0 0.0 0:00.01 ksoftirqd/0
4 root RT -5 0 0 0 S 0.0 0.0 0:00.00 watchdog/0
5 root RT -5 0 0 0 S 0.0 0.0 0:00.08 migration/1
6 root 34 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/1
7 root RT -5 0 0 0 S 0.0 0.0 0:00.00 watchdog/1
8 root RT -5 0 0 0 S 0.0 0.0 0:00.19 migration/2
9 root 34 19 0 0 0 S 0.0 0.0 0:00.01 ksoftirqd/2
10 root RT -5 0 0 0 S 0.0 0.0 0:00.00 watchdog/2
11 root RT -5 0 0 0 S 0.0 0.0 0:00.15 migration/3

Je bent overduidelijk onbekend met dit soort rakkers.
Een checklist

- Check dmv. ps -aux of er rare processen draaien
- Draai chkrootkit
- Check je /var/tmp /tmp en dergelijk op vage scripts (denk aan ... directories, bestanden watmet een . (hidden) beginnen)

//edit, kill dat perl process, zal me niks verbazen als het udp.pl is....

check eventueel ook je traffic met bijv. tethereal ofzo

Ik check m'n traffic met VNSTAT en het volgende commando watch -n 1 netstat -ta geeft:

tcp 0 0 GIY001.local:51750 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:imaps c92-143.blackberry.ne:46506 ESTABLISHED
tcp 0 0 ns2.artdigital.nl:58446 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:imaps bda001.bis.eu.blackbe:53730 ESTABLISHED
tcp 0 0 ns2.artdigital.nl:48311 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:37604 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:51850 69.57.160.2:afs3-fileserver ESTABLISHED
tcp 0 0 GIY001.local:imaps bda059.bis.eu.blackbe:37264 ESTABLISHED
tcp 0 0 ns2.artdigital.nl:37651 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:48039 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:45089 83.170.110.178:ircd ESTABLISHED
tcp 0 0 ns2.artdigital.nl:34075 83.170.110.178:ircd ESTABLISHED
tcp 0 0 GIY001.local:imaps bda186.bis.eu.blackbe:43654 ESTABLISHED
tcp 0 0 GIY001.local:imaps bda060.bis.eu.blackbe:43820 ESTABLISHED

Oorspronkelijk geplaatst door Ronald2

Een poosje geleden was er wel een probleem met Roundcube; maar deze is inmiddels geupdated naar de laatste versie. Ook Centos is inmiddels 5.3. Ik dacht dat daarmee de problemen waren opgelost.

Als 'ze' door een hack ergens al eenmaal binnen zijn, is het probleem niet opgelost met wat updates hier en daar. Je hebt waarschijnlijk gratis wat extra programmatuur gekregen en wellicht is zelfs een cronjob aangemaakt om te zorgen dat je gratis programmatuur elke keer opnieuw opstart.

Je hebt echt een gronderige check nodig over wat er allemaal op staat wat er niet hoort. En een programmatje van 100 KB kan makkelijk een paar TB aan dataverkeer doen.

chkrootkit geeft overal: nothing found

echter dit stukje vind ik vreemd:

Searching for suspicious files and dirs, it may take a while...
/usr/lib/gtk-2.0/immodules/.relocation-tag /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/HTML/Parser/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Module/Build/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Mail/SpamAssassin/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/URI/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/IO/Socket/SSL/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Digest/SHA1/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Net/CIDR/Lite/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Net/SSLeay/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Net/IP/.packlist /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Sys/Hostname/Long/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/auto/Storable/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/auto/Digest/.packlist /lib/.libcrypto.so.0.9.8e.hmac /lib/.libcrypto.so.6.hmac

kill dat perl process nou maar, dan stop je tijdelijk met het versturen van UDP pakketjes.

Wat draait er allemaal op die sites van je (klanten?) ?

//edit;

Ben ff een kijkje gaan nemen op de 83.x ircd. And you never guess what i found.

Oorspronkelijk geplaatst door xserve

Als 'ze' door een hack ergens al eenmaal binnen zijn, is het probleem niet opgelost met wat updates hier en daar. Je hebt waarschijnlijk gratis wat extra programmatuur gekregen en wellicht is zelfs een cronjob aangemaakt om te zorgen dat je gratis programmatuur elke keer opnieuw opstart.

Je hebt echt een gronderige check nodig over wat er allemaal op staat wat er niet hoort. En een programmatje van 100 KB kan makkelijk een paar TB aan dataverkeer doen.

ehmm ja, daar was ik inmiddels ook achter ja

Ik geef:

kill 3176

Geen output, top zegt dat hij nog steeds loopt:

killall 3176
3176: no process killed

Ook geen effect

pkill perl

Zal ff wat screenshotjes uploaden.

pkill perl

Geen resultaat, hij blijft lopen

kill -9 3176

did the job. Nu ben ik benieuwd wat er aan de hand is en hoe ik het weg krijg :-/