7
Webserver von Virus befallen
Hi Leute,
der Webserver eines Kunden (eine Kiste unter openSUSE, die bei ihm im Büro steht) ist wohl von einem Virus befallen, der Mails verschickt, die vorgeben eine Rechnungvon KPN zu sein.
Im /tmp Verzeichnis gibt es ein Verzeichnis /kpn, das sämtlich für den Mailversand benötigten Dateien enthält.
Außerdem sind dort die beiden skripte "send.php" und "send.py" abgelegt sowie ein bash-Skript um den Versand zu starten.
Die Empfänger sind in einer Textsdatei abgelegt:
Als erste Maßnahme habe ich postfix beendet, dann die messagequeue geleert (da waren noch 2600 Mails drin).
Anschließend habe ich das o.g. Verzeichnis umbenannt und allen Dateien das "ausführbar"-Tag entzogen.
Nach dem Start von postfix herrscht jetzt seit gut 2 Stunden Ruhe.
Interessant wäre zu wissen, um welchen Virus es sich handelt und wie er auf den Rechner gekommen ist.
Any hints?
Ciao
dirk
der Webserver eines Kunden (eine Kiste unter openSUSE, die bei ihm im Büro steht) ist wohl von einem Virus befallen, der Mails verschickt, die vorgeben eine Rechnungvon KPN zu sein.
Im /tmp Verzeichnis gibt es ein Verzeichnis /kpn, das sämtlich für den Mailversand benötigten Dateien enthält.
Außerdem sind dort die beiden skripte "send.php" und "send.py" abgelegt sowie ein bash-Skript um den Versand zu starten.
Die Empfänger sind in einer Textsdatei abgelegt:
-rw-r--r-- 1 root root 485630 Mar 4 14:39 .j0ins3
-rw-r--r-- 1 root root 139 Mar 4 10:26 .t3st
-rw-r--r-- 1 root root 746720 Mar 4 09:14 Factuur 0001923.rar
-rw-r--r-- 1 root root 19855 Mar 3 09:41 KPNCompleetVoordelen_V1_0.jpg
-rw-r--r-- 1 root root 12925 Mar 3 09:41 KPN_Logo.jpg
-rw-r--r-- 1 root root 2908 Mar 3 09:41 avast-mail-stamp.png
-rw-r--r-- 1 root root 249691 Mar 4 13:46 emails.txt
-rw-r--r-- 1 root root 3739 Mar 3 10:05 msg.txt
-rw-r--r-- 1 root root 1295 Mar 4 10:13 msg.txt.tar
-rw-r--r-- 1 root root 3803 Mar 4 14:39 msg2.txt
-rw-r--r-- 1 root root 1505 Feb 10 21:08 send.php
-rw-r--r-- 1 root root 3249 Mar 4 09:14 send.py
-rw-r--r-- 1 root root 35 Feb 12 22:54 smtp.txt
-rw-r--r-- 1 root root 682 Feb 22 15:27 start
-rw-r--r-- 1 root root 751 Jan 12 23:33 start2Als erste Maßnahme habe ich postfix beendet, dann die messagequeue geleert (da waren noch 2600 Mails drin).
Anschließend habe ich das o.g. Verzeichnis umbenannt und allen Dateien das "ausführbar"-Tag entzogen.
Nach dem Start von postfix herrscht jetzt seit gut 2 Stunden Ruhe.
Interessant wäre zu wissen, um welchen Virus es sich handelt und wie er auf den Rechner gekommen ist.
Any hints?
Ciao
dirk
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 298205
Url: https://administrator.de/forum/webserver-von-virus-befallen-298205.html
Ausgedruckt am: 20.04.2025 um 02:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
dann hatte der Apache oder die Applikation darin wohl eine Sicherheitslücke.
Wurden hier immer alle Updates installiert (Host + Applikation)?
Hier sollte man einige Dinge überdenken:
Schon bei Punkt 1 müssten dann 99% der Bots an der Firewall hängen bleiben, da diese das Internet einfach nach offenen Ports abscannen.
Links:
https://www.cais.de/apache/2-4-absichern
VG
Val
dann hatte der Apache oder die Applikation darin wohl eine Sicherheitslücke.
Wurden hier immer alle Updates installiert (Host + Applikation)?
(eine Kiste unter openSUSE, die bei ihm im Büro steht)
Ansonsten gibts bestimmt bloß eine Portweiterleitung auf das System oder? Das ist natürlich das schlechteste was man machen kann...Hier sollte man einige Dinge überdenken:
- Reverse Proxy statt Portweiterleitung (nur über Domainname anstatt IP erreichbar)
- DMZ ohne Zugriff nach außen oder in das interne Netz
- unbenötigte Pakete deinstallieren
- SELinux
Schon bei Punkt 1 müssten dann 99% der Bots an der Firewall hängen bleiben, da diese das Internet einfach nach offenen Ports abscannen.
Links:
https://www.cais.de/apache/2-4-absichern
VG
Val
Wenn ich das richtig sehe, hängt die Kiste DIREKT mit einer festen IP im Netz. Er dient als Webserver im Internet. Vom daher fällt eine Trennung vom Internet aus.
Apache und dessen STatus schaue ich mir an - dass da evtl. nicht alle Updates installiert wurde, kann durchaus sein...
Ciao
dirk
Apache und dessen STatus schaue ich mir an - dass da evtl. nicht alle Updates installiert wurde, kann durchaus sein...
Ciao
dirk
Nun durch mind. 1 Sicherheitslücke die gefunden wurde.
Aber dazu muss halt alle Dienste Bekannt sein was dort läuft und ob diese auf Aktuellen Stand sind ect... Logfiles wenn noch Vorhanden sind könnten Hilfreich sein.
Das du den Mailserver Beendet hast ist gut aber Besser währe es den Zugang zum Internet zu Kappen sowie den Server zu Isolieren falls dort noch weitere Schadsoftware drauf ist die weitere Rechner Infizieren will.
Das du die Mailshlange gelöscht hast nicht nicht gut und Hoffe das du davon ein Backup hast. Da es ein Kundenserver ist kann dort auch Wichtige Mails mit drin sein (Rechnung ect) wo die Software ein OK Bekommen hat das der Mailserver die Angenommen hat und damit als Versendet Makiert was aber nicht Stimmt wegen deiner Löschung.
Aber den Server solltet ihr Sichern und Komplett neu Aufsetzten sowie die Lücke Suchen und Schließen.
Es kann durch eine Webanwendung/Script gekommen sein oder aber durch schwache Passwörter oder.... gibt halt viele Wege...
Hilfreich ist halt das Erstellungsdatum der Files bzw wann diese Geändert/Genutzt wurden falls davon noch Logfiles vorhanden sind....
Zudem sollten vor Ort auch alle anderen PCs geprüft werden ob da nicht ggfs auch Betroffen sind...
Dazu wie ist der Server am Router angebunden? DMZ ? Portfreigabe für Webserver ect?
Darüber kannst du den Bereich auch was Eingrenzen...
Aber dazu muss halt alle Dienste Bekannt sein was dort läuft und ob diese auf Aktuellen Stand sind ect... Logfiles wenn noch Vorhanden sind könnten Hilfreich sein.
Das du den Mailserver Beendet hast ist gut aber Besser währe es den Zugang zum Internet zu Kappen sowie den Server zu Isolieren falls dort noch weitere Schadsoftware drauf ist die weitere Rechner Infizieren will.
Das du die Mailshlange gelöscht hast nicht nicht gut und Hoffe das du davon ein Backup hast. Da es ein Kundenserver ist kann dort auch Wichtige Mails mit drin sein (Rechnung ect) wo die Software ein OK Bekommen hat das der Mailserver die Angenommen hat und damit als Versendet Makiert was aber nicht Stimmt wegen deiner Löschung.
Aber den Server solltet ihr Sichern und Komplett neu Aufsetzten sowie die Lücke Suchen und Schließen.
Es kann durch eine Webanwendung/Script gekommen sein oder aber durch schwache Passwörter oder.... gibt halt viele Wege...
Hilfreich ist halt das Erstellungsdatum der Files bzw wann diese Geändert/Genutzt wurden falls davon noch Logfiles vorhanden sind....
Zudem sollten vor Ort auch alle anderen PCs geprüft werden ob da nicht ggfs auch Betroffen sind...
Dazu wie ist der Server am Router angebunden? DMZ ? Portfreigabe für Webserver ect?
Darüber kannst du den Bereich auch was Eingrenzen...
Hallo,
auch alle cronjobs und so prüfen, nicht das es da einen gibt der das Zeug wieder anlegt.
Wie sind die iptables Regeln?
Geht der Zugriff auf den Server über ssh mit Passwort oder nur mit Keys?
Was sagt last ? (wer hat sich wann eingelogt und von welcher IP)
Gruß
Chonta
auch alle cronjobs und so prüfen, nicht das es da einen gibt der das Zeug wieder anlegt.
Wie sind die iptables Regeln?
Geht der Zugriff auf den Server über ssh mit Passwort oder nur mit Keys?
Was sagt last ? (wer hat sich wann eingelogt und von welcher IP)
Gruß
Chonta
Zitat von @diwaffm:
Wenn ich das richtig sehe, hängt die Kiste DIREKT mit einer festen IP im Netz. Er dient als Webserver im Internet. Vom daher fällt eine Trennung vom Internet aus.
Ich hab nie etwas von einer Trennung vom Internet gesagt, dass ein Webserver aus dem Internet erreichbar sein muss sollte jedem klar sein!Wenn ich das richtig sehe, hängt die Kiste DIREKT mit einer festen IP im Netz. Er dient als Webserver im Internet. Vom daher fällt eine Trennung vom Internet aus.
Aber in einem eigenen VLAN oder DMZ wo über die Firewall nur eingehende Verbindungen (am besten über Reverse Proxy) von außen zugelassen werden und das System sonst nicht raus darf wäre der Mailversand überhaupt nicht möglich gewesen!
Ansonsten lies dir mal den letzten NASA Hack durch und sei froh, dass nichts weiter passiert ist (hoffentlich?).
Edit:
Im Top mal geschaut ob nicht noch irgendwas komisches läuft?
VG
Val
Hallo,
das könnte der CTB-Locker Virus sein und ja es gibt zu dem Suchbegriff "Virus KPN Compleet Voordelen"
eine Menge Treffer aber alles auf niederländisch und das ist nicht so meine Sache.
Man sollte eventuell mal folgendes versuchen bzw. abändern;
- UTM anstatt einer reinen Firewall
- Server in die DMZ stellen und diese mit einem Radius Server absichern
- Einen Proxy Server wie Squid oder NGix vor die Server in der DMZ stellen
- Einen AV Schutz auf dem OpenSUSE Server installieren der dann die Mails ein- und ausgehend checken lassen
- Den besagten Server auf jeden Fall neu aufsetzten und das Backup wieder einspielen und dann alles durchpatchen
Denn an Deiner Protokolldatei sieht man ja schon das dort jemand root Rechte erlangt hat und dann lieber
alles neu und frisch aber sicher sein dass da nicht noch ganz andere Sachen schlummern.
Gruß
Dobby
das könnte der CTB-Locker Virus sein und ja es gibt zu dem Suchbegriff "Virus KPN Compleet Voordelen"
eine Menge Treffer aber alles auf niederländisch und das ist nicht so meine Sache.
Man sollte eventuell mal folgendes versuchen bzw. abändern;
- UTM anstatt einer reinen Firewall
- Server in die DMZ stellen und diese mit einem Radius Server absichern
- Einen Proxy Server wie Squid oder NGix vor die Server in der DMZ stellen
- Einen AV Schutz auf dem OpenSUSE Server installieren der dann die Mails ein- und ausgehend checken lassen
- Den besagten Server auf jeden Fall neu aufsetzten und das Backup wieder einspielen und dann alles durchpatchen
Denn an Deiner Protokolldatei sieht man ja schon das dort jemand root Rechte erlangt hat und dann lieber
alles neu und frisch aber sicher sein dass da nicht noch ganz andere Sachen schlummern.
Gruß
Dobby
Moin,
Mein Vorschlag bei kompromittierten Server:
"Eoin Reparieren" von beinem kompromittzierten System birg t imme rdie Gefahr, daß irgendwo noch eine Landmine oder Zeitbombe sitzt.
lks
Mein Vorschlag bei kompromittierten Server:
- Backup, ggf noch ein Image für die forensische Analyse
- Frisch aufsetzena uf aktuellen patchstand
- Diffs machen zum Backup
- Prüfen, ob bei den diffs auffälligkeinte sind.
- Reine daten einspielen.
- Den rest mti den Image forensisch analysieren.
"Eoin Reparieren" von beinem kompromittzierten System birg t imme rdie Gefahr, daß irgendwo noch eine Landmine oder Zeitbombe sitzt.
lks
