Är jag hackad?

[ZilexuS]

Tjenare!

Jag har rensat upp den här tråden!

Det var tydligen något slags virus som jag hade fått in i servern som la sig i /tmp/.m/.
Jag har ingen aning om hur det hamnat där, det är det skumma.

Efter lite sökning hittade jag den här sidan och den här.
Så tror ni att jag kan vara hackad? Och i så fall hur?

Jag har inte haft ett phpbb-forum dock så har jag filuppladdnings scipt på sidan (med lösenordsskydd).

Jag letade igenom några filer och tittade lite i start.sh som låg i /tmp/m./.
Där stod det följande:

Kod: Markera allt

/#bin/bash
PATH="."
httpd
echo "Enjoy FloodBot based on OverKill"

Det låg även en httpd fil i samma mapp.

Bör jag vara orolig mer?

Här är alla filer som jag har sparat:

• c (mapp)
  • f.c
    j2.c
    j.c
    s.c
    stream.c
    tty.c
    v.c
  1
  b
  b2
  bang.txt
  c4
  f
  f4
  Guest.seen
  h
  httpd
  j
  j2
  mech.help
  mech.levels
  mech.pid
  mech.session
  mech.set
  s
  shiet.txt
  sl
  start.sh
  std
  stream
  talk
  tty
  usr
  v2
  x
  z

[tommol]

Lite lurigt verkar det ju.

Sökte lite & hittade några trådar på Franska.
http://forums.ovh.net/showthread.php?p=244383
http://forums.ovh.net/showthread.php?p=244092

Google kan säkert översätta dem.

Verkar ha med ircd att göra och/eller att öppna en bakdörr med wssh.
En tråd om sådana attacker.
http://www.directadmin.com/forum/showthread.php?t=29329


/Tom

[andol]

Givet att du inte känner sig säker på motsatsen så skulle jag gissa på att någon har nyttjat en svaghet i ditt php-skript, och därefter dumpat sagda filer under /tmp. Om det finns andra mappar i filsystemet där användaren www-data har skrivrättigheter så skulle jag även kolla dem.

[Rune.K]

...
Bör jag vara orolig mer?
...

Mitt råd är att du installerar om servern. Vad jag vet så är det, det enda tillförlitliga nuförtiden när man blivit hackad, med tanke på eventuella rootkits som kanske är installerade. Rootkits används bland annat för att modifiera program som top och netstat, så att de ger falsk information.
mvh /Rune

[ZilexuS]

Tack för alla svar!

Jag fick även höra av en vän att det finns ett säkerhetshål i Wordpress, ett CMS som jag använder till min hemsida, som gör att man kan ladda upp filer o.s.v.
Jag väntar dock ett tag med att installera om servern, men en redig backup på allt ska jag göra.

Men tack i alla fall, jag ska försöka att installera om så fort som möjligt men just nu så finns det inte läge för det. Jag har i alla fall satt rättigheterna på /tmp/.m till 000 så inga fler filer kommer in där.

[andol]

Det där att förutsäga worst-case-scenario, hurtillvida det är dags att installera om, etc är inte alltid helt självklart.

Givet att angriparen har utnyttjat ett hål i ett php-skript så torde denne som mest lyckats utföra åtgärder med webbserverns användare www-data. Med reservation för egna modifikationer så har denne användare i ett standardsystem endast skrivrättigheter till /tmp, /var/tmp och eventuellt någon ytterligare motsvarande katalog. Systemet i övrigt ska alltså vara opåverkat.

Sedan finns förstås risken att angriparen nyttjat ett (ännu okänt?) så kallat "local root exploit" och på så vis tillskansat sig root-rättigheter. Detta är alltid en reel risk. Å andra sidan kan man inte stirra sig helt bild på den risken, ty då skulle man ju till exempel aldrig kunna driva ett fleranvändarsystem.

Förstår dock inte riktigt vad du hoppas uppnå genom att sätta hårda rättigheter på just /tmp/.m? Givet sårbart skript går det ju precis lika bra att skapa en ny motsvarande katalog under /tmp?

Väl inne på ämnet säkerhet i samband med php-skript vill jag passa på att rekommendera boken Essential PHP Security.

[ZilexuS]

Jag kollade lite på själva "scriptet" när det kördes och det kördes av www-data.
Men när jag kollar på "Show Logins" på www-data så står det "No Logins Recorded".

Vad tycker ni att jag ska göra nu, förutom att installera om hela systemet, och hur?

Tack!

[Rasmus]

Skriptet verkar köra httpd i katalogen det körs ifrån, vilket katalog körs det ifrån? och vad finns i filen httpd?

[ZilexuS]

Jag kollade öppna filer för processen "httpd" och jag fann detta:
Current dir Directory 0 6275079 /tmp/.m (deleted)
Root dir Directory 4096 2 /
Program code Regular file 152108 6275104 /tmp/.m/httpd (deleted)

Även detta:
Open network connections

Type Protocol File Descriptor Details
IPV4 TCP 0u 213.112.36.198:46259 -> 72.8.167.243:ircd ESTABLISHED
IPV4 UDP 10u Receiving on *:45842

Om jag inte minns fel så var det just den där IPn som var ansluten när FloodBot var igång.
Det ser ju ut som att den försöker köra filerna i .m men hittar inte dem.

Det kan vara värt att nämna att jag kör en sBNC server med bara en bouncer på, som jag använder. Kan det ha någonting med saken att göra?
Vad tycker ni jag ska göra? Kan det vara httpd eller sbnc som är "hackade"?