Onderwerp: Server wordt gebruikt om mee te scannen / brute forcen

In de afgelopen paar dagen heb ik al 2 abuse meldingen ontvangen over een server. Schijnt dat de server brute force doet op poort 22. Dit heb ik kunnen achterhalen door alle uitgaande verbindingen te loggen met iptables. Ik zie inderdaad een heleboel uitgaande verbindingen op poort 22 op random IP adressen.

Via 'ps' kom ik geen vreemd process tegen.
Via 'netstat' zie ik dat er geen verbindingen actief zijn.
Rootkit hunter kan geen rootkit vinden.
Bestand /etc/passwd ziet er schoon uit.

In welke hoek kan ik nog meer zoeken?

Via een PHP of perl script wellicht wat op een hostingaccount staat?
Even zoeken op .pl / .sh files etc. die afgelopen dagen zijn aangepast?

Code:

[root@server bin]# pwd
/tmp/.ICE-unix/socket/bin
[root@server bin]# ls
decompress_long  decompress_short  ew3  keyscan  pnscan  ssl.ex
[root@server bin]#

Volgens mij is dit het.

De server-status pagina van Apache (mits je Apache gebruikt) is vaak ook een goede plek om te kijken of je iets kunt vinden. Wel adviseer ik om de ExtendedStatus aan te zetten.

Meestal gebruik ik voor dit soort dingen tcpdump en dan filteren op de specifieke poort in verbose mode. Als het via perl gaat (deze week nog een server van een klant gehad die deel uitmaakte van een botnet) kun je dit met ps axufwfw wel vinden en dan met een lsof -p op het process id en dan kom je wel ergens in een map uit. Vaak in de /tmp of ergens diep in het hostingpakket.

Edit: Sorry, door de reactie van bovenstaande poster had ik niet gezien dat dit topic al bijna een paar weken oud is.

Inderdaad al laat, maar voor als iemand anders hier tegenaan loopt wellicht nog van belang:

In aanvulling daarop: kijk ook even naar het datum/tijdstempel van de bestanden in /tmp
en zoek vervolgens op post acties in de apache logfile van dat tijdstip, dat kan een idee geven mbt welke website / welke url misbruikt wordt. Ook ongewone hosts in de xferlog (buitenlandse) zijn interessant om na te gaan.

Dit soort zooi wordt meestal gestart vanuit Apache, dus inderdaad /server-status opvragen met ExtendedStatus is een goede check. Als je je hosting omgeving draait middels SuExec, suPHP of de andere soortgelijke varianten dan zou het gestartte proces ook moeten draaien als die user. Een check op processen die niet user root hebben (of andere systeem daemons) zou ook een goede check moetenz ijn.

Dit soort dingen zijn eigenlijk vrij simpel te detecteren.

De bende in /tmp/.ICE-unix/ lijkt mij inderdaad niet in orde :-)

tcpdump lijkt mj niet zo zinvol, daarmee kun je het misbruik eventueel bevestigen maar het brengt je niet verder naar de veroorzaker.

Is het inmiddels al gelukt? Anders is herinstallatie wellicht een oplossing? Belangrijke bestanden backuppen en vervolgens weer terug zetten?

Oorspronkelijk geplaatst door MKB Webhoster

Is het inmiddels al gelukt? Anders is herinstallatie wellicht een oplossing? Belangrijke bestanden backuppen en vervolgens weer terug zetten?

Na 4 maanden mag ik toch hopen dat het opgelost is

Oorspronkelijk geplaatst door systemdeveloper

Na 4 maanden mag ik toch hopen dat het opgelost is

Gezien zijn topic kicks en wat vage reacties, is hij vast ergens posts voor nodig