Webserver 75 aktive Tasks Verdacht auf Schadscripte

Mitglied: wescraven07

wescraven07 (Level 2) - Jetzt verbinden

14.04.2016, aktualisiert 21:03 Uhr, 1776 Aufrufe, 24 Kommentare, 1 Danke

Moin moin Admins,
folgende Frage:
ich habe einen Managed Server und seit heute morgen ziemlich Probleme mit der Performance und einieg Aktionen laufen in einen Timeout. Ich habe den Verdacht, das irgendwelche "bösen" Scriptchen ausgeführt werden.
In der Prozessübersicht werden mir 70 aktive Task angezeigt, grösstenteils PERL Scripte (Siehe Screen)

Dazu zwei Fragen:
ich möchte die Scripte alle beenden, um zu sehen,ob das Besserung bringt.
Zum einen wie kann ich sehen, was da genau ausgeführt wird?

Zum anderen kann man ja sehen, dass bei 3 Scripten bei Time 60 oder 70 und bei einem sogar 267:07:07 steht. Sind dass Stunden:Minuten:Sekunden? Hiesse dass, der Prozess wird seit 267 Stundnen ausgeführt? Ist das normal? Wo kann ich sehen, seit wann der Prozess ausgeführt wird?

Wäre prima, wenn Ihr mir das den ein oder anderen Tip geben könnt.

Danke schonmal Greetz
screen - Klicke auf das Bild, um es zu vergrößern
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 21:53 Uhr

Moin,

TIME+ zeigt die CPU-zeit an, die die entsprechenden Proizesse "verbraten" haben.

Hiesse dass, der Prozess wird seit 267 Stundnen ausgeführt?

Nein, sondern daß er schon 267 CPU_Stunden verbraten hat. Je nachdem, welchen Anteil er bekommt kann das durchaus heißen, daß er ein vielfaches davon schon läuft.

Ist das normal?

Können wir nciht wissen, solange wir nicht wissen, was auf Dienem Webserver läuft. Nutzt Du überhaupt perl?


Wo kann ich sehen, seit wann der Prozess ausgeführt wird?

Ein ps aux soltle Dir da Auskunft geben.

lks


Siehe anderen Kommentar.
Bitte warten ..
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 21:36 Uhr
Zitat von @wescraven07:

Moin moin Admins,

Moin,

In der Prozessübersicht werden mir 70 aktive Task angezeigt, grösstenteils PERL Scripte (Siehe Screen)

Das ist aber nicht sehr aussagekräftig.


Dazu zwei Fragen:
ich möchte die Scripte alle beenden, um zu sehen,ob das Besserung bringt.

killall -9 perl

Zum einen wie kann ich sehen, was da genau ausgeführt wird?

ps aux

Zum anderen kann man ja sehen, dass bei 3 Scripten bei Time 60 oder 70 und bei einem sogar 267:07:07 steht. Sind dass Stunden:Minuten:Sekunden?

Ja.

Hiesse dass, der Prozess wird seit 267 Stundnen ausgeführt?

Nein, das heißt der hat 267 CPU-Stunden "verbraten" Laufen kann er durchaus schon mehrere Wochen.

Ist das normal?

Kommt drafu an, Manchmal schon manchmal nicht. Kommt drauf an, was Dein System so treibt und ob das so gehört.

Wo kann ich sehen, seit wann der Prozess ausgeführt wird?

ps aux
lsof

Wäre prima, wenn Ihr mir das den ein oder anderen Tip geben könnt.

s.o.

N'Abend noch.

lks
Bitte warten ..
Mitglied: Vision2015
14.04.2016 um 21:36 Uhr
Nabend

und ein netstat -tapen sagt dir wer was wohin tut....

was sagt den dein Managed Server Admin dazu ? :-) face-smile

Frank
Bitte warten ..
Mitglied: wescraven07
14.04.2016 um 21:40 Uhr
Ja, wir nutzen PERL. Wir sind im Moment dabei einen neuen Webshop aufzusetzen und der alte, der im Moment läuft nutzt Perl.
Es ist beispielweise so, dass Bestätigungsemails bei Bestellungen seit heute nicht mehr ankommen, weder beim Kunden, noch bei unserer Buchhaltung.

Kann dass damit zusammenhängen, dass da ein Prozess im Loop läuft?
Bitte warten ..
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 22:13 Uhr
Zitat von @wescraven07:

Ja, wir nutzen PERL. Wir sind im Moment dabei einen neuen Webshop aufzusetzen und der alte, der im Moment läuft nutzt Perl.

o.k Dann ist es schonmal normal, daß Perl läuft.

Es ist beispielweise so, dass Bestätigungsemails bei Bestellungen seit heute nicht mehr ankommen, weder beim Kunden, noch bei unserer Buchhaltung.

Dann wirf mal tcpdump oder wireshark an und horch mit, wenn eine mail rausgeht. ggf einfach eine Testbestellung im Shop machen.

Kann dass damit zusammenhängen, dass da ein Prozess im Loop läuft?

Möglich. Ist aber schwer zu sagen, ohne Euer System zu kennen.

lks
Bitte warten ..
Mitglied: wescraven07
14.04.2016, aktualisiert um 22:12 Uhr
Habe ich eben zweimal, beide male kommt keine Email an. wie funktioniert das genau mit tcpdump oder rwiresharp?

Achso, was ich noch vergessen hatte: Es dauert seit heute acuh sicher 30 Sekunden, bis ich mit SSH eingeloggt bin, auch nicht normal...
Bitte warten ..
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 22:18 Uhr
Zitat von @wescraven07:

Habe ich eben zweimal, beide male kommt keine Email an. wie funktioniert das genau mit tcpdump oder rwiresharp?

oder
sollten Dir weiterhelfen. Allerdings ist die Frage, ob Du bei so wenig Linux-Wissen der richtige für die Analyse bist, vor allem wenn da wirklich Schadsoftware drauf sein sollte. Ruf mal Deinen Hoster an, wenn das wirklich ein managed Server ist.

Achso, was ich noch vergessen hatte: Es dauert seit heute acuh sicher 30 Sekunden, bis ich mit SSH eingeloggt bin, auch nicht normal...

vermutlich ziemlich hoher load. was sagt denn uptime oder iotop?

Du kannst natürlich die Radikalmethode wählen und einfach einen reboot machen. "reboot tut gut" wie der Windows-Admin zu sagen pflegt. :-) face-smile

lks
Bitte warten ..
Mitglied: Sheogorath
14.04.2016 um 23:08 Uhr
Moin,

Dann wirf mal tcpdump oder wireshark an und horch mit, wenn eine mail rausgeht. ggf einfach eine Testbestellung im Shop machen.

Logs wälzen wäre wohl die einfachere Variante.

Achso, was ich noch vergessen hatte: Es dauert seit heute acuh sicher 30 Sekunden, bis ich mit SSH eingeloggt bin, auch nicht normal...
Was sagen denn deine ping-Zeiten?

Ansonsten mal prüfen was die ganzen "bash"-Instanzen da machen.

Letztlich kann man sich aber nur @Vision2015 anschließen: Wenn der Server managed ist, solltest du deinen Server Admin fragen, was da schief läuft, immerhin bezahlst du ziemlich genau für sowas :D Kann natürlich sein, dass dieser sagt, du baust mit deiner Anwendung Mist.

Gruß
Chris
Bitte warten ..
Mitglied: wescraven07
15.04.2016, aktualisiert um 09:15 Uhr
Na ja, der Server wird von Strato "gemanaged" und die sagen, dass Sie an die Kundendaten nicht rankommen und dementsprechend nichts machen können. Der Tip von Strao war: Alles löschen, letzte Backup einspielen.

Habe mir eben mit ps aux nochmal die Prozesse angesehen und könnte mir vorstellen, die Ursache des Übels gefunden zu haben, es sei denn ein Prozess names "Fuck You" ist normal...siehe (screen).

Nur sehe ich nicht, wo das File liegt bzw. was da genu ausgeüführt wird...Gibt es eine Möglichkeit, das festzustellen..
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Lochkartenstanzer
15.04.2016 um 09:09 Uhr
Zitat von @wescraven07:

Na ja, der Server wird von Strato "gemanaged" und die sagen, dass Sie an die Kundendaten nicht rankommen und dementsprechend nichts machen können.

die müsen ja nicht an die Kudnendaten. Die können den traffic überwachen und Dir sagen, ob da irgendetwas ungewöhliches vorgeht. Und administrativen Zugriff auf die Kiste müssendie ja auch irgendwie haben, um die Kiste zu administrieren (oder was genau soll denn das managed sonst heißen?).

Der Tip von Strao war: Alles löschen, letzte Backup einspielen.

das wäre eine Möglichkeit, Aber hast Du denn einfach mal einen reboot versucht?

lks
Bitte warten ..
Mitglied: wescraven07
15.04.2016 um 09:24 Uhr
Ja, gester abend wurde der Server von Strato neu gestartet...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.04.2016 um 09:25 Uhr
Zitat von @wescraven07:

Ja, gester abend wurde der Server von Strato neu gestartet...

Hat es etwas gebracht?

lks
Bitte warten ..
Mitglied: wescraven07
15.04.2016 um 11:14 Uhr
Nein.

Aber ich hab ja vorhin einein Screenshot gepostet.
Es ist sind viele Prozesse namens "fuckyou" am Laufen, unter anderem auch der der seit 276 Stunden läuft seit 12. April...das passt ungefärh mit dem Start der Problem zusammen...ich finde nur im Moment keine Möglichkeit herauszufinden, wo die Datei oder das Script liegt und es zu löschen....
Bitte warten ..
Mitglied: Vision2015
15.04.2016 um 12:14 Uhr
hi,
wie ich schon mal sagte- ein netstat -tapen sagt dir wer was wohin tut....

das script zu löschen reicht nicht- du sollst sehen wie es reingekommen ist- und da dichtmachen!!!!
strato hätte den server sofort vom netz nehmen müssen- unverantwortlich sowas.
frank
Bitte warten ..
Mitglied: Sheogorath
15.04.2016 um 12:17 Uhr
Moin,

sieht in jedem Fall nach was häösslichem aus.

könnte dich ggf. zum Ziel führen, allerdings löst das löschen höchstens ein Symtom.

Ihr habt irgendwo auf dem server eine sicherheitslücke und die sollte geschlossen werden.

Gruß
Chris
Bitte warten ..
Mitglied: Chonta
15.04.2016 um 12:21 Uhr
Hallo,

wenn keiner von euch so ein Script gebaut hat und es Bestandteil eures systems ist, nein fuckyou ist nicht normal.
http://security.stackexchange.com/questions/87026/malware-script-upload ...

was sagt last? Das Listet die letzten Logins ins System auf. Ist da eine IP aus China oder sonstwo her?
Ist Iptables im Einsatz?
Ist der SSH Zugriff noch mit Passwort oder schon auf Keyonly gestellt?
Ist der sshlogin für root verboten?
Habt ihr eine Feste IP? Dann ssh nur für eure IP zulassen über IPTABLES.
Was für Cronjobs sind bei den einzelnen Benuzern eingerichtet?
Gibt es nues Systembenutzer?

Gruß

Chonta
Bitte warten ..
Mitglied: Lochkartenstanzer
15.04.2016 um 12:22 Uhr
Zitat von @wescraven07:

Nein.

Aber ich hab ja vorhin einein Screenshot gepostet.


War der screnshot vor ode rnach dem Neustart?

Weil wenn er nach dem angeblichen Neutsart geweswen sein soll, dann war da keiner. Sonst würde es keine älteren Prozesse als gestern Abend geben.

Es ist sind viele Prozesse namens "fuckyou" am Laufen, unter anderem auch der der seit 276 Stunden läuft seit 12. April...das passt ungefärh mit dem Start der Problem zusammen...ich finde nur im Moment keine Möglichkeit herauszufinden, wo die Datei oder das Script liegt und es zu löschen....

Image ziehen, Kiste platttmachen udn aus dem backup einspielen. dann das Image mit forensischen Tools analysieren.

Alles andere ist unverantwortlichm weil das nur der verbreitung von malware und SPAM Vorschub leistet.

Und vor allem jemanden himnzuziehen, der sich damit auskennt.

Stell mal ein, daß keinerlei Dienste außer ssh nach einem Reboot hochfahren und dann kannst Du Zug um Zug schauen, bei welchem Dienst die Prozesse wieder kommen. Dabei immer genau mit tcpdump mitschneiden, was auf den Interfaces passiert.


Du könntest auch mit
mitprotokollieren, wlche verbindungen auf und zugemacht werden.

lks
Bitte warten ..
Mitglied: wescraven07
15.04.2016 um 14:53 Uhr
Man man man, daran habe ich noch gar nicht gedacht...der Screenshot war nach dem angeblichen Neustart...

Ich denk da werd ich nochmal mit Strato sprechen müssen...
Bitte warten ..
Mitglied: 127944
127944 (Level 2)
15.04.2016 um 16:49 Uhr
Da musst du mit fast keinem mehr sprechen. Wenn du / ihr als Betreiber des Servers nicht wisst, was "fuckyou" eigentlich ist, dann habe ihr die Kontrolle über die Kiste verloren!

Image erstellen / erstellen lassen - neues OS hochziehen. Nebenher das Image untersuchen und hoffen, das ihr herausfindet, was ihr da falsch gemacht habt. Im Zweifel Fachmann ranlassen.
Bitte warten ..
Mitglied: LordGurke
16.04.2016, aktualisiert um 00:51 Uhr
Zitat von @Sheogorath:
könnte dich ggf. zum Ziel führen, allerdings löst das löschen höchstens ein Symtom.

Ja, aber zweifelsfrei sicherstellen kannst du das damit nicht, weil der Prozess eventuell mit anderem Standardsuchpfad gestartet wurde.

Zuerst sollte man den Prozess einfrieren, damit er nicht zwischendurch beendet wird.
Bei allen nachfolgend genannten Befehlen das <pid> durch die jeweilige PID des Prozesses ersetzen:

Wirklich Gewissheit bringt dir dann ein
Damit wird dir ausgegeben, welche Binary (kompletter Pfad) mit welchen Parametern gestartet wurde.

Mit
kann man bei der Gelegenheit noch nachschauen, welche File-Descriptor geöffnet wurden. Das können Dateien, aber auch Netzwerkverbindungen sein.

Zuletzt sollte man noch in Erfahrung bringen, wann der Prozess gestartet wurde:

Dort steht dann, welcher User den Prozess gestartet hat und auch, wann er erzeugt wurde. Mit den Infos kannst du dann durch Logfiles laufen und herausfinden, was zu diesem Zeitpunkt passiert ist - z.B. merkwürdige Aufrufe gegen Dateien des Webservers oder so...

Im Zweifel holt euch professionelle Hilfe ins Haus, damit festgestellt werden kann wie es dazu kommt dass da plötzlich unbekannte Prozesse laufen.
Bitte warten ..
Mitglied: MaximusPrime
16.04.2016 um 12:55 Uhr
Hallo,
habe zufällig einen Blogbeitrag mit dem selben Thema gesehen vielleicht hilft er bei der Fehlersuche
http://security.stackexchange.com/questions/87026/malware-script-upload ...

Lg Maximus Prime
Bitte warten ..
Mitglied: wescraven07
22.04.2016, aktualisiert um 10:47 Uhr
Kurzes Update, im Moment ist der Server wohl clean. Aber am Montag wird sich ein Linuxadmin das Ding ansehen.

Eine Frage an Euch trotzdem noch:

Heute morgen war de Webseite nicht erreichbar. Top hat 300 aktive Task php56-cgi ergeben, einige davon mit dem Vermerk <defunct>. ein
PS Aux

Hat ca. 30 Zeilen

/kunden/usr/bin/php56-cgi --php-ini /kunden/config/vhosts/11065/37436.ini

ergeben. Heisst dass dass eben 30 gleichzeitige Zugriffe auf die Webseite erfolgen und man in der 37436.ini die IP´s sehen könnte? Wie kann ich die 37436.ini öffnen?

Ich weiss, dass jetzt bestimmt wieder einige den Kopp gegen die Wand hauen werden, aber irgendwie muss man´s ja lernen.
Bitte warten ..
Mitglied: 127944
127944 (Level 2)
22.04.2016 um 12:05 Uhr
Zitat von @wescraven07:
Ich weiss, dass jetzt bestimmt wieder einige den Kopp gegen die Wand hauen werden,
exakt
aber irgendwie muss man´s ja lernen.
schau dem Fachmann über die Schulter.
Bitte warten ..
Mitglied: Chonta
22.04.2016, aktualisiert um 12:52 Uhr
Kurzes Update, im Moment ist der Server wohl clean. Aber am Montag wird sich ein Linuxadmin das Ding ansehen.
Sagt wer und auf welcher Grundlage basierend ist diese Annahme?

schau dem Fachmann über die Schulter.
Das reicht nicht.
Ich würde eine Linuxschulung empfehlen und dan gezieltes Selbsstudium in die verwendeten Programme.

Gruß

Chonta
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke26 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing26 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 1 TagFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Exchange Server
Mails fehlen im Exchange-Server 2016
it-basixsVor 1 TagFrageExchange Server4 Kommentare

Moin, moin zusammen. Ich habe leider ein Problem mit einem Exchange Server 2016 CU20 inkl. aller Patches. Laut Ereignisanzeige von POPcon, werden die Mails ...