Webserver 75 aktive Tasks Verdacht auf Schadscripte

Mitglied: wescraven07

wescraven07 (Level 2) - Jetzt verbinden

14.04.2016, aktualisiert 21:03 Uhr, 1757 Aufrufe, 24 Kommentare, 1 Danke

Moin moin Admins,
folgende Frage:
ich habe einen Managed Server und seit heute morgen ziemlich Probleme mit der Performance und einieg Aktionen laufen in einen Timeout. Ich habe den Verdacht, das irgendwelche "bösen" Scriptchen ausgeführt werden.
In der Prozessübersicht werden mir 70 aktive Task angezeigt, grösstenteils PERL Scripte (Siehe Screen)

Dazu zwei Fragen:
ich möchte die Scripte alle beenden, um zu sehen,ob das Besserung bringt.
Zum einen wie kann ich sehen, was da genau ausgeführt wird?

Zum anderen kann man ja sehen, dass bei 3 Scripten bei Time 60 oder 70 und bei einem sogar 267:07:07 steht. Sind dass Stunden:Minuten:Sekunden? Hiesse dass, der Prozess wird seit 267 Stundnen ausgeführt? Ist das normal? Wo kann ich sehen, seit wann der Prozess ausgeführt wird?

Wäre prima, wenn Ihr mir das den ein oder anderen Tip geben könnt.

Danke schonmal Greetz
screen - Klicke auf das Bild, um es zu vergrößern
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 21:53 Uhr

Moin,

TIME+ zeigt die CPU-zeit an, die die entsprechenden Proizesse "verbraten" haben.

Hiesse dass, der Prozess wird seit 267 Stundnen ausgeführt?

Nein, sondern daß er schon 267 CPU_Stunden verbraten hat. Je nachdem, welchen Anteil er bekommt kann das durchaus heißen, daß er ein vielfaches davon schon läuft.

Ist das normal?

Können wir nciht wissen, solange wir nicht wissen, was auf Dienem Webserver läuft. Nutzt Du überhaupt perl?


Wo kann ich sehen, seit wann der Prozess ausgeführt wird?

Ein ps aux soltle Dir da Auskunft geben.

lks


Siehe anderen Kommentar.
Bitte warten ..
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 21:36 Uhr
Zitat von @wescraven07:

Moin moin Admins,

Moin,

In der Prozessübersicht werden mir 70 aktive Task angezeigt, grösstenteils PERL Scripte (Siehe Screen)

Das ist aber nicht sehr aussagekräftig.


Dazu zwei Fragen:
ich möchte die Scripte alle beenden, um zu sehen,ob das Besserung bringt.

killall -9 perl

Zum einen wie kann ich sehen, was da genau ausgeführt wird?

ps aux

Zum anderen kann man ja sehen, dass bei 3 Scripten bei Time 60 oder 70 und bei einem sogar 267:07:07 steht. Sind dass Stunden:Minuten:Sekunden?

Ja.

Hiesse dass, der Prozess wird seit 267 Stundnen ausgeführt?

Nein, das heißt der hat 267 CPU-Stunden "verbraten" Laufen kann er durchaus schon mehrere Wochen.

Ist das normal?

Kommt drafu an, Manchmal schon manchmal nicht. Kommt drauf an, was Dein System so treibt und ob das so gehört.

Wo kann ich sehen, seit wann der Prozess ausgeführt wird?

ps aux
lsof

Wäre prima, wenn Ihr mir das den ein oder anderen Tip geben könnt.

s.o.

N'Abend noch.

lks
Bitte warten ..
Mitglied: Vision2015
14.04.2016 um 21:36 Uhr
Nabend

und ein netstat -tapen sagt dir wer was wohin tut....

was sagt den dein Managed Server Admin dazu ? :-) face-smile

Frank
Bitte warten ..
Mitglied: wescraven07
14.04.2016 um 21:40 Uhr
Ja, wir nutzen PERL. Wir sind im Moment dabei einen neuen Webshop aufzusetzen und der alte, der im Moment läuft nutzt Perl.
Es ist beispielweise so, dass Bestätigungsemails bei Bestellungen seit heute nicht mehr ankommen, weder beim Kunden, noch bei unserer Buchhaltung.

Kann dass damit zusammenhängen, dass da ein Prozess im Loop läuft?
Bitte warten ..
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 22:13 Uhr
Zitat von @wescraven07:

Ja, wir nutzen PERL. Wir sind im Moment dabei einen neuen Webshop aufzusetzen und der alte, der im Moment läuft nutzt Perl.

o.k Dann ist es schonmal normal, daß Perl läuft.

Es ist beispielweise so, dass Bestätigungsemails bei Bestellungen seit heute nicht mehr ankommen, weder beim Kunden, noch bei unserer Buchhaltung.

Dann wirf mal tcpdump oder wireshark an und horch mit, wenn eine mail rausgeht. ggf einfach eine Testbestellung im Shop machen.

Kann dass damit zusammenhängen, dass da ein Prozess im Loop läuft?

Möglich. Ist aber schwer zu sagen, ohne Euer System zu kennen.

lks
Bitte warten ..
Mitglied: wescraven07
14.04.2016, aktualisiert um 22:12 Uhr
Habe ich eben zweimal, beide male kommt keine Email an. wie funktioniert das genau mit tcpdump oder rwiresharp?

Achso, was ich noch vergessen hatte: Es dauert seit heute acuh sicher 30 Sekunden, bis ich mit SSH eingeloggt bin, auch nicht normal...
Bitte warten ..
Mitglied: Lochkartenstanzer
14.04.2016, aktualisiert um 22:18 Uhr
Zitat von @wescraven07:

Habe ich eben zweimal, beide male kommt keine Email an. wie funktioniert das genau mit tcpdump oder rwiresharp?

oder
sollten Dir weiterhelfen. Allerdings ist die Frage, ob Du bei so wenig Linux-Wissen der richtige für die Analyse bist, vor allem wenn da wirklich Schadsoftware drauf sein sollte. Ruf mal Deinen Hoster an, wenn das wirklich ein managed Server ist.

Achso, was ich noch vergessen hatte: Es dauert seit heute acuh sicher 30 Sekunden, bis ich mit SSH eingeloggt bin, auch nicht normal...

vermutlich ziemlich hoher load. was sagt denn uptime oder iotop?

Du kannst natürlich die Radikalmethode wählen und einfach einen reboot machen. "reboot tut gut" wie der Windows-Admin zu sagen pflegt. :-) face-smile

lks
Bitte warten ..
Mitglied: Sheogorath
14.04.2016 um 23:08 Uhr
Moin,

Dann wirf mal tcpdump oder wireshark an und horch mit, wenn eine mail rausgeht. ggf einfach eine Testbestellung im Shop machen.

Logs wälzen wäre wohl die einfachere Variante.

Achso, was ich noch vergessen hatte: Es dauert seit heute acuh sicher 30 Sekunden, bis ich mit SSH eingeloggt bin, auch nicht normal...
Was sagen denn deine ping-Zeiten?

Ansonsten mal prüfen was die ganzen "bash"-Instanzen da machen.

Letztlich kann man sich aber nur @Vision2015 anschließen: Wenn der Server managed ist, solltest du deinen Server Admin fragen, was da schief läuft, immerhin bezahlst du ziemlich genau für sowas :D Kann natürlich sein, dass dieser sagt, du baust mit deiner Anwendung Mist.

Gruß
Chris
Bitte warten ..
Mitglied: wescraven07
15.04.2016, aktualisiert um 09:15 Uhr
Na ja, der Server wird von Strato "gemanaged" und die sagen, dass Sie an die Kundendaten nicht rankommen und dementsprechend nichts machen können. Der Tip von Strao war: Alles löschen, letzte Backup einspielen.

Habe mir eben mit ps aux nochmal die Prozesse angesehen und könnte mir vorstellen, die Ursache des Übels gefunden zu haben, es sei denn ein Prozess names "Fuck You" ist normal...siehe (screen).

Nur sehe ich nicht, wo das File liegt bzw. was da genu ausgeüführt wird...Gibt es eine Möglichkeit, das festzustellen..
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Lochkartenstanzer
15.04.2016 um 09:09 Uhr
Zitat von @wescraven07:

Na ja, der Server wird von Strato "gemanaged" und die sagen, dass Sie an die Kundendaten nicht rankommen und dementsprechend nichts machen können.

die müsen ja nicht an die Kudnendaten. Die können den traffic überwachen und Dir sagen, ob da irgendetwas ungewöhliches vorgeht. Und administrativen Zugriff auf die Kiste müssendie ja auch irgendwie haben, um die Kiste zu administrieren (oder was genau soll denn das managed sonst heißen?).

Der Tip von Strao war: Alles löschen, letzte Backup einspielen.

das wäre eine Möglichkeit, Aber hast Du denn einfach mal einen reboot versucht?

lks
Bitte warten ..
Mitglied: wescraven07
15.04.2016 um 09:24 Uhr
Ja, gester abend wurde der Server von Strato neu gestartet...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.04.2016 um 09:25 Uhr
Zitat von @wescraven07:

Ja, gester abend wurde der Server von Strato neu gestartet...

Hat es etwas gebracht?

lks
Bitte warten ..
Mitglied: wescraven07
15.04.2016 um 11:14 Uhr
Nein.

Aber ich hab ja vorhin einein Screenshot gepostet.
Es ist sind viele Prozesse namens "fuckyou" am Laufen, unter anderem auch der der seit 276 Stunden läuft seit 12. April...das passt ungefärh mit dem Start der Problem zusammen...ich finde nur im Moment keine Möglichkeit herauszufinden, wo die Datei oder das Script liegt und es zu löschen....
Bitte warten ..
Mitglied: Vision2015
15.04.2016 um 12:14 Uhr
hi,
wie ich schon mal sagte- ein netstat -tapen sagt dir wer was wohin tut....

das script zu löschen reicht nicht- du sollst sehen wie es reingekommen ist- und da dichtmachen!!!!
strato hätte den server sofort vom netz nehmen müssen- unverantwortlich sowas.
frank
Bitte warten ..
Mitglied: Sheogorath
15.04.2016 um 12:17 Uhr
Moin,

sieht in jedem Fall nach was häösslichem aus.

könnte dich ggf. zum Ziel führen, allerdings löst das löschen höchstens ein Symtom.

Ihr habt irgendwo auf dem server eine sicherheitslücke und die sollte geschlossen werden.

Gruß
Chris
Bitte warten ..
Mitglied: Chonta
15.04.2016 um 12:21 Uhr
Hallo,

wenn keiner von euch so ein Script gebaut hat und es Bestandteil eures systems ist, nein fuckyou ist nicht normal.
http://security.stackexchange.com/questions/87026/malware-script-upload ...

was sagt last? Das Listet die letzten Logins ins System auf. Ist da eine IP aus China oder sonstwo her?
Ist Iptables im Einsatz?
Ist der SSH Zugriff noch mit Passwort oder schon auf Keyonly gestellt?
Ist der sshlogin für root verboten?
Habt ihr eine Feste IP? Dann ssh nur für eure IP zulassen über IPTABLES.
Was für Cronjobs sind bei den einzelnen Benuzern eingerichtet?
Gibt es nues Systembenutzer?

Gruß

Chonta
Bitte warten ..
Mitglied: Lochkartenstanzer
15.04.2016 um 12:22 Uhr
Zitat von @wescraven07:

Nein.

Aber ich hab ja vorhin einein Screenshot gepostet.


War der screnshot vor ode rnach dem Neustart?

Weil wenn er nach dem angeblichen Neutsart geweswen sein soll, dann war da keiner. Sonst würde es keine älteren Prozesse als gestern Abend geben.

Es ist sind viele Prozesse namens "fuckyou" am Laufen, unter anderem auch der der seit 276 Stunden läuft seit 12. April...das passt ungefärh mit dem Start der Problem zusammen...ich finde nur im Moment keine Möglichkeit herauszufinden, wo die Datei oder das Script liegt und es zu löschen....

Image ziehen, Kiste platttmachen udn aus dem backup einspielen. dann das Image mit forensischen Tools analysieren.

Alles andere ist unverantwortlichm weil das nur der verbreitung von malware und SPAM Vorschub leistet.

Und vor allem jemanden himnzuziehen, der sich damit auskennt.

Stell mal ein, daß keinerlei Dienste außer ssh nach einem Reboot hochfahren und dann kannst Du Zug um Zug schauen, bei welchem Dienst die Prozesse wieder kommen. Dabei immer genau mit tcpdump mitschneiden, was auf den Interfaces passiert.


Du könntest auch mit
mitprotokollieren, wlche verbindungen auf und zugemacht werden.

lks
Bitte warten ..
Mitglied: wescraven07
15.04.2016 um 14:53 Uhr
Man man man, daran habe ich noch gar nicht gedacht...der Screenshot war nach dem angeblichen Neustart...

Ich denk da werd ich nochmal mit Strato sprechen müssen...
Bitte warten ..
Mitglied: 127944
127944 (Level 2)
15.04.2016 um 16:49 Uhr
Da musst du mit fast keinem mehr sprechen. Wenn du / ihr als Betreiber des Servers nicht wisst, was "fuckyou" eigentlich ist, dann habe ihr die Kontrolle über die Kiste verloren!

Image erstellen / erstellen lassen - neues OS hochziehen. Nebenher das Image untersuchen und hoffen, das ihr herausfindet, was ihr da falsch gemacht habt. Im Zweifel Fachmann ranlassen.
Bitte warten ..
Mitglied: LordGurke
16.04.2016, aktualisiert um 00:51 Uhr
Zitat von @Sheogorath:
könnte dich ggf. zum Ziel führen, allerdings löst das löschen höchstens ein Symtom.

Ja, aber zweifelsfrei sicherstellen kannst du das damit nicht, weil der Prozess eventuell mit anderem Standardsuchpfad gestartet wurde.

Zuerst sollte man den Prozess einfrieren, damit er nicht zwischendurch beendet wird.
Bei allen nachfolgend genannten Befehlen das <pid> durch die jeweilige PID des Prozesses ersetzen:

Wirklich Gewissheit bringt dir dann ein
Damit wird dir ausgegeben, welche Binary (kompletter Pfad) mit welchen Parametern gestartet wurde.

Mit
kann man bei der Gelegenheit noch nachschauen, welche File-Descriptor geöffnet wurden. Das können Dateien, aber auch Netzwerkverbindungen sein.

Zuletzt sollte man noch in Erfahrung bringen, wann der Prozess gestartet wurde:

Dort steht dann, welcher User den Prozess gestartet hat und auch, wann er erzeugt wurde. Mit den Infos kannst du dann durch Logfiles laufen und herausfinden, was zu diesem Zeitpunkt passiert ist - z.B. merkwürdige Aufrufe gegen Dateien des Webservers oder so...

Im Zweifel holt euch professionelle Hilfe ins Haus, damit festgestellt werden kann wie es dazu kommt dass da plötzlich unbekannte Prozesse laufen.
Bitte warten ..
Mitglied: MaximusPrime
16.04.2016 um 12:55 Uhr
Hallo,
habe zufällig einen Blogbeitrag mit dem selben Thema gesehen vielleicht hilft er bei der Fehlersuche
http://security.stackexchange.com/questions/87026/malware-script-upload ...

Lg Maximus Prime
Bitte warten ..
Mitglied: wescraven07
22.04.2016, aktualisiert um 10:47 Uhr
Kurzes Update, im Moment ist der Server wohl clean. Aber am Montag wird sich ein Linuxadmin das Ding ansehen.

Eine Frage an Euch trotzdem noch:

Heute morgen war de Webseite nicht erreichbar. Top hat 300 aktive Task php56-cgi ergeben, einige davon mit dem Vermerk <defunct>. ein
PS Aux

Hat ca. 30 Zeilen

/kunden/usr/bin/php56-cgi --php-ini /kunden/config/vhosts/11065/37436.ini

ergeben. Heisst dass dass eben 30 gleichzeitige Zugriffe auf die Webseite erfolgen und man in der 37436.ini die IP´s sehen könnte? Wie kann ich die 37436.ini öffnen?

Ich weiss, dass jetzt bestimmt wieder einige den Kopp gegen die Wand hauen werden, aber irgendwie muss man´s ja lernen.
Bitte warten ..
Mitglied: 127944
127944 (Level 2)
22.04.2016 um 12:05 Uhr
Zitat von @wescraven07:
Ich weiss, dass jetzt bestimmt wieder einige den Kopp gegen die Wand hauen werden,
exakt
aber irgendwie muss man´s ja lernen.
schau dem Fachmann über die Schulter.
Bitte warten ..
Mitglied: Chonta
22.04.2016, aktualisiert um 12:52 Uhr
Kurzes Update, im Moment ist der Server wohl clean. Aber am Montag wird sich ein Linuxadmin das Ding ansehen.
Sagt wer und auf welcher Grundlage basierend ist diese Annahme?

schau dem Fachmann über die Schulter.
Das reicht nicht.
Ich würde eine Linuxschulung empfehlen und dan gezieltes Selbsstudium in die verwendeten Programme.

Gruß

Chonta
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 21 StundenFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Soziale Netzwerke
Anzahl Postings auslesen
gelöst r2d2r3poVor 1 TagFrageSoziale Netzwerke13 Kommentare

Hallo, habe seit 2014 eine Fanpage und wir posten jeden Tag. Kennt jemand einen Weg wie man die Anzahl der Postings seit 2014 auslesen ...

Windows 10
Lizenzfrage WDS mit Windows 10 OEM und E3 für Enterprise
noodellsVor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen, ich habe mal eine generelle Lizenzfrage zum Thema WDS. Ich möchte mehrere PCs installieren, die schon vom Hersteller eine funktionierende Windows 10 ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 16 StundenFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Hardware
COM-Ports verstellen sich immer wieder
gelöst hanheikVor 1 TagFrageHardware6 Kommentare

Hallo, an 3 neuen Windows 10-Rechnern sind Strichcode-Scanner (mit RS232-Schnittstelle) per USB-Com-Adapter angeschlossen. Die anzusprechende Schnittstelle COMx ist jeweils in der Kassensoftware hinterlegt. Leider ...