Na, wie sieht der Screenshot aus? Seltsamer Zufall. Auf einer Domain war durch einen Schludrigkeitsfehler im Paket einer kleinen Applikation eine Datenbank gelöscht. (anderes Thema, ist eigenen Artikel wert Ich hatte mich eingeloggt und traute meinen Augen nicht! Ein load von 17? Und haufenweise perl? PERL? Ich schreibe meine Scripte nicht mit PÖRL! Hhhm wen es interessiert, der lese weiter :-)

Nach dem ersten Schreck machte ich mich auf die Suche. Mit strace -p Nummer kann man einen laufenden Prozess beobachten. Wer das nicht kennt, dem empfehle ich die man page von strace, damit kann man eine Menge anfangen :-) Ok, was sieht man nun auf dem Screenshot? Genau, haufenweise Connect versuche zu einer IP. Wenn das mal kein DOS Angriff ist?! Ich habe mir noch einen weiteren Prozess angesehen, dort genau das selbe. Also da habe ich mir wohl einen ganz gemeinen Burschen eingefangen. Ich habe alle sichtbaren Prozesse abgeschossen und in einem zweiten Fenster einen rootkit Hunter laufen lassen. Nun wartete ich, was passiert -- Nichts. Na gut, da es schon spät war, ging ich ins Bett und schaute am nächsten Morgen noch einmal nach. Da waren wieder ein paar perl Prozesse und ein /usr/sbin/httpdds Prozess. Merkwürdiger Name! Äbrigens absolut nichts im www dazu zu finden. Ich dockte mich auch hier mit strace an und machte mir einen zweiten Kaffee. Die Suche nach rootkits blieb ohne Erfolg, gottseidank, aber 100% verlassen sollte man sich darauf nicht.

Wie man auf diesen Screenshot sehen kann, existiert ein /usr/sbin/httpdds

Die hier sichtbare Reihenfolge ist nicht chronologisch. Nicht wundern. Im Text ist die korrekte Schrittfolge wiedergegeben.

Prozess, der aber mit Bordmitteln im Filesystem nicht sichtbar ist. Eigentlich ein typisches Symptom für einen komprimitierten Server.

Da ich in ein paar Wochen sowieso auf einen anderen Rootserver (einen richtigen) wechseln möchte, wollte ich mir das neuaufsetzen sparen. Da ich auch zur Arbeit fahren musste, habe ich einfach folgendes gemacht: Ich habe wie im Screenshot ersichtlich mit ls und auch mit echo * die Datei httpdds nicht anzeigen können. Ok, dachte ich, dann lege ich die Datei eben an. Mit touch httpdds habe ich die Datei mit 0 Byte anlegen können. Nun war die Datei sichtbar. Ich habe nun den Prozess abgeschossen und bin zure Arbeit gefahren. Warum die Datei 0 Byte hat und nicht xxx Byte, ist mir nicht klar. Ich hätte erwartet, die wirkliche Datei nun sehen zu können. Ich hätte sie gerne untersucht. Bis heute sind keine neuen unbekannte Prozesse aufgetaucht. Ein schaler Beigeschmack bleibt dennoch. Der ungewünschte Mitfahrer hat diesen einen Tag nämlich ca. 11GB Traffic versursacht, nicht schlecht, für einen vserver, was? Glücklicherweise habe ich vor dem Killen mit strace -p mal geschaut und  gerade eine interessante Phase tracen können. schone Grüße an madirc. Kommentare sind erwünscht.
Zusammenfassung: ein neuer unbekannter Prozess, /usr/sbin/httpdds, getarnt, aber nicht vollständig unsichtbar Zeitweise hiessen die Perlprozesse übrigens klm. nur klm, weder zu klm, noch zu httpdds habe ich am 30.08.2007 und 31.08.2007 etwas in den Suchmaschinen finden können. Nun kommt ihr. Ich sichte noch mein restliches Material, evtl. kann ich den Artikel noch etwas ergänzen.

9 Kommentare

Linear

  • Daniel  

    Ja, echt witzig. Hab gerade was ähnliches auf "unserem" Server gesehen, in der Prozessliste tauchen mehrere "/usr/local/apache/bin/httpd -DSSL" auf, und ein "/apache/bin/httpd" ebenfalls. Beide Dateien existieren nicht, die Jobs laufen UID www-data, also vermutlich irgend eine Lücke in einem PHP-System, ist zumindest wahrscheinlich. Traffic seit gestern ca. 30 GB, und in den MRTG-Statistiken tauchts nicht auf, vermutlich wiel SYNs oder ähnliches nicht dabei sind. Jugend forscht, ich berichte, wenns was neues gibt.

    • bed  

      Aktuell ist gerade eine plesk sql-injection, aber hat wahrscheinlich nichts damit tu tun. Momentan ist Ruhe. Ich ziehe demnächst sowieso mit den 9 Domains auf einen "echten" Rootserver. Endlich weg vom veralteten suse 9.3 Dort kommt Debian und ich werde wahrscheinlich php nicht mehr mit mod_php zur Verfügung stellen. Bin gerade am untersuchen. Achja Plesk ist dann passé :-)

    • Daniel  

      Na nun ist etwas mehr Licht an die Sache gekommen. Ein Mitbewohner hat in seinem Media-Verzeichnis zum Plugin "gallery" zu WorldPress ein paar merkwürdige Dateien gefunden, eine cron.pid mit der pid von diesem merkwürdigen Prozess, eine httpd.so in der u.a. IRFR & Diroffer v1.3.b11 [20051213023024], Linux 2.6.14.3-vs2.0.1 steht, eine httpd.so~ (vermutlich Backup) & eine Datei Premonition.2007.iTALiAN.LD.DVDRip.XviD-SiLENT.avi Tja, was da wohl passiert ist ;-)

      Nach längerem Studium der MRTG-Bildchen sind nun die Downloads der AVI-Datei doch zu sehen, kurz & mit heftiger Bandbreite, > 10 MB/s. Die Jungs müssen eine ordentliche Anbindung haben, und sie müssen sich nun einen anderen Server suchen.

      • bed  

        Es bleibt einem Admin nichts anderes übrig, als wirklich oft und regelmäßig auf seinen Server zu schauen. Nix für "Ich will doch nur 'nen Gameserver installieren"-Noobs :-) Schade, das man so viel Zeit für Routineaufgaben verschwenden muss.

  • doom4  

    hat einer von euch rausgefunden wie derjenige zugang bekommen hat? liegt es an php?

    gruss

    • bed  

      Nee, leider auch nicht mehr weiterverfolgt. Aber mit php liegst du wahrscheinlich richtig ;-)

  • Daniel  

    Tja leider müssen wir uns um so ne Schei... kümmern. Wir haben ja auch nix anderes zu tun.

    Nein, es lag nicht an PHP. Es lag höchstweahrscheinlich an WordPress, welches auf PHP basiert.

    Seit dem Abschalten des WordPress-Plugins ist nichts weiter aufgefallen, wir gehen davon aus daß sie darüber rein gekommen sind.

    • bed  

      Ich habe kein Wordpress auf meinen Domains, das ist es also bei mir jedenfalls nicht gewesen.

  • codeman  

    Hallo Leute, wir betreiben einen Rootserver bei 1und1. Wir haben selbebige Probleme. Bei uns war(ist?) es wahrscheinlich ein Verzeichnis mit 777 und joomla. Der Krepel hat sich in .../domain.de/httpdocs/components/com_jomap/ eingenistet. Dabei wurde eine Datei Namens week und week~ angelegt. Diese enthalten folgenden Code:

    CODE:
    [IRFR         Diroffer v1.4.b03 [20051213024435], Linux 2.6.16.20-060620b] 

    und ist 256 byte groß. In einem Anderen Verzeichniss habe ich besagte Filmchen gefunden. dort ist die week 4kb groß und enthält ein Inhaltsverzeichniss des Ordners.

    Auffällig ist ein Prozess, welcher ca. 15min nach einem Neustart des Apachen erzeugt wird. Dieser stellt eine Verbindung im oberen IP-Breich zur verügung, welcher auf der Gegenseite immer auf den Port 6666 oder 6667 oder 6665 geht und bei mir httpd.conf heißt (Mein apache heißt aber httpd2-perfork). Kiegt ihr mit netstat -p. Mit lsof | grep 'ProzessID' fand ich auch jenen besagten httpd2-perfork als deletet Datei dieser ProzessID. Habe den kram jetzt gesicher, dem Verzeichniss alle rechte entzogen etc. Hat jemand noch neues zum Thema? Codeman

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Markdown-Formatierung erlaubt