diwaffm
Mar 04, 2016
view1924
view7
0
Goto Top

Webserver von Virus befallen

GermanQuestionViruses, TrojansSecurity
Hi Leute,

der Webserver eines Kunden (eine Kiste unter openSUSE, die bei ihm im Büro steht) ist wohl von einem Virus befallen, der Mails verschickt, die vorgeben eine Rechnungvon KPN zu sein.

Im /tmp Verzeichnis gibt es ein Verzeichnis /kpn, das sämtlich für den Mailversand benötigten Dateien enthält.
Außerdem sind dort die beiden skripte "send.php" und "send.py" abgelegt sowie ein bash-Skript um den Versand zu starten.
Die Empfänger sind in einer Textsdatei abgelegt:
-rw-r--r-- 1 root root 485630 Mar  4 14:39 .j0ins3
-rw-r--r-- 1 root root    139 Mar  4 10:26 .t3st
-rw-r--r-- 1 root root 746720 Mar  4 09:14 Factuur 0001923.rar
-rw-r--r-- 1 root root  19855 Mar  3 09:41 KPNCompleetVoordelen_V1_0.jpg
-rw-r--r-- 1 root root  12925 Mar  3 09:41 KPN_Logo.jpg
-rw-r--r-- 1 root root   2908 Mar  3 09:41 avast-mail-stamp.png
-rw-r--r-- 1 root root 249691 Mar  4 13:46 emails.txt
-rw-r--r-- 1 root root   3739 Mar  3 10:05 msg.txt
-rw-r--r-- 1 root root   1295 Mar  4 10:13 msg.txt.tar
-rw-r--r-- 1 root root   3803 Mar  4 14:39 msg2.txt
-rw-r--r-- 1 root root   1505 Feb 10 21:08 send.php
-rw-r--r-- 1 root root   3249 Mar  4 09:14 send.py
-rw-r--r-- 1 root root     35 Feb 12 22:54 smtp.txt
-rw-r--r-- 1 root root    682 Feb 22 15:27 start
-rw-r--r-- 1 root root    751 Jan 12 23:33 start2

Als erste Maßnahme habe ich postfix beendet, dann die messagequeue geleert (da waren noch 2600 Mails drin).
Anschließend habe ich das o.g. Verzeichnis umbenannt und allen Dateien das "ausführbar"-Tag entzogen.

Nach dem Start von postfix herrscht jetzt seit gut 2 Stunden Ruhe.

Interessant wäre zu wissen, um welchen Virus es sich handelt und wie er auf den Rechner gekommen ist.

Any hints?

Ciao

dirk
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 298205

Url: https://administrator.de/contentid/298205

Printed on: April 23, 2024 at 07:04 o'clock

7 Comments
Latest comment
Goto Top
Mitglied: 119944
119944 Mar 04, 2016 updated at 16:02:21 (UTC)
Goto Top
Moin,

dann hatte der Apache oder die Applikation darin wohl eine Sicherheitslücke.
Wurden hier immer alle Updates installiert (Host + Applikation)?

(eine Kiste unter openSUSE, die bei ihm im Büro steht)
Ansonsten gibts bestimmt bloß eine Portweiterleitung auf das System oder? Das ist natürlich das schlechteste was man machen kann...

Hier sollte man einige Dinge überdenken:
  • Reverse Proxy statt Portweiterleitung (nur über Domainname anstatt IP erreichbar)
  • DMZ ohne Zugriff nach außen oder in das interne Netz
  • unbenötigte Pakete deinstallieren
  • SELinux

Schon bei Punkt 1 müssten dann 99% der Bots an der Firewall hängen bleiben, da diese das Internet einfach nach offenen Ports abscannen.

Links:
https://www.cais.de/apache/2-4-absichern

VG
Val
Member: diwaffm
diwaffm Mar 04, 2016 at 16:04:38 (UTC)
Goto Top
Wenn ich das richtig sehe, hängt die Kiste DIREKT mit einer festen IP im Netz. Er dient als Webserver im Internet. Vom daher fällt eine Trennung vom Internet aus.

Apache und dessen STatus schaue ich mir an - dass da evtl. nicht alle Updates installiert wurde, kann durchaus sein...

Ciao

dirk
Member: kaiand1
kaiand1 Mar 04, 2016 at 16:06:45 (UTC)
Goto Top
Nun durch mind. 1 Sicherheitslücke die gefunden wurde.
Aber dazu muss halt alle Dienste Bekannt sein was dort läuft und ob diese auf Aktuellen Stand sind ect... Logfiles wenn noch Vorhanden sind könnten Hilfreich sein.
Das du den Mailserver Beendet hast ist gut aber Besser währe es den Zugang zum Internet zu Kappen sowie den Server zu Isolieren falls dort noch weitere Schadsoftware drauf ist die weitere Rechner Infizieren will.
Das du die Mailshlange gelöscht hast nicht nicht gut und Hoffe das du davon ein Backup hast. Da es ein Kundenserver ist kann dort auch Wichtige Mails mit drin sein (Rechnung ect) wo die Software ein OK Bekommen hat das der Mailserver die Angenommen hat und damit als Versendet Makiert was aber nicht Stimmt wegen deiner Löschung.
Aber den Server solltet ihr Sichern und Komplett neu Aufsetzten sowie die Lücke Suchen und Schließen.
Es kann durch eine Webanwendung/Script gekommen sein oder aber durch schwache Passwörter oder.... gibt halt viele Wege...
Hilfreich ist halt das Erstellungsdatum der Files bzw wann diese Geändert/Genutzt wurden falls davon noch Logfiles vorhanden sind....
Zudem sollten vor Ort auch alle anderen PCs geprüft werden ob da nicht ggfs auch Betroffen sind...
Dazu wie ist der Server am Router angebunden? DMZ ? Portfreigabe für Webserver ect?
Darüber kannst du den Bereich auch was Eingrenzen...
Member: Chonta
Chonta Mar 04, 2016 at 16:18:39 (UTC)
Goto Top
Hallo,

auch alle cronjobs und so prüfen, nicht das es da einen gibt der das Zeug wieder anlegt.
Wie sind die iptables Regeln?
Geht der Zugriff auf den Server über ssh mit Passwort oder nur mit Keys?
Was sagt last ? (wer hat sich wann eingelogt und von welcher IP)

Gruß

Chonta
Mitglied: 119944
119944 Mar 04, 2016 updated at 16:28:25 (UTC)
Goto Top
Zitat von @diwaffm:

Wenn ich das richtig sehe, hängt die Kiste DIREKT mit einer festen IP im Netz. Er dient als Webserver im Internet. Vom daher fällt eine Trennung vom Internet aus.
Ich hab nie etwas von einer Trennung vom Internet gesagt, dass ein Webserver aus dem Internet erreichbar sein muss sollte jedem klar sein!
Aber in einem eigenen VLAN oder DMZ wo über die Firewall nur eingehende Verbindungen (am besten über Reverse Proxy) von außen zugelassen werden und das System sonst nicht raus darf wäre der Mailversand überhaupt nicht möglich gewesen!

Ansonsten lies dir mal den letzten NASA Hack durch und sei froh, dass nichts weiter passiert ist (hoffentlich?).

Edit:
Im Top mal geschaut ob nicht noch irgendwas komisches läuft?

VG
Val
Mitglied: 108012
108012 Mar 04, 2016 at 17:25:50 (UTC)
Goto Top
Hallo,

das könnte der CTB-Locker Virus sein und ja es gibt zu dem Suchbegriff "Virus KPN Compleet Voordelen"
eine Menge Treffer aber alles auf niederländisch und das ist nicht so meine Sache.

Man sollte eventuell mal folgendes versuchen bzw. abändern;
- UTM anstatt einer reinen Firewall
- Server in die DMZ stellen und diese mit einem Radius Server absichern
- Einen Proxy Server wie Squid oder NGix vor die Server in der DMZ stellen
- Einen AV Schutz auf dem OpenSUSE Server installieren der dann die Mails ein- und ausgehend checken lassen
- Den besagten Server auf jeden Fall neu aufsetzten und das Backup wieder einspielen und dann alles durchpatchen

Denn an Deiner Protokolldatei sieht man ja schon das dort jemand root Rechte erlangt hat und dann lieber
alles neu und frisch aber sicher sein dass da nicht noch ganz andere Sachen schlummern.

Gruß
Dobby
Member: Lochkartenstanzer
Lochkartenstanzer Mar 05, 2016 at 10:46:32 (UTC)
Goto Top
Moin,

Mein Vorschlag bei kompromittierten Server:

  • Backup, ggf noch ein Image für die forensische Analyse
  • Frisch aufsetzena uf aktuellen patchstand
  • Diffs machen zum Backup
  • Prüfen, ob bei den diffs auffälligkeinte sind.
  • Reine daten einspielen.
  • Den rest mti den Image forensisch analysieren.

"Eoin Reparieren" von beinem kompromittzierten System birg t imme rdie Gefahr, daß irgendwo noch eine Landmine oder Zeitbombe sitzt.

lks
GermanQuestionViruses, TrojansSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment