ubuntuusers.de

Hallo!

Als ich heute Vormittag auf meinen Webserver geschaut habe und "top" aufgerufen habe, waren dort über 10 Prozesse des Programms "wssh" zu sehen die unter dem Benutzer "www-data" liefen. "www-data" ist ja der Apache, aber was ist dieses "wssh"? Ich habe dann per "killall wssh" die Prozesse beendet, doch kurz darauf tauchte schon wieder ein Prozess davon auf. Ein "which wssh" brachte kein Ergebnis. Ein "find / | grep wssh" brachte dann zu Tage das sich das Programm in "/tmp" befindet. Die Datei ist ausführbar und 3,5 MB groß. Als sie aktiv war stieg die CPU-Last und die Netzauslastung deutlich an. Seit dem ich es gekillt habe ist alles wieder auf normale Werte zurückgegangen.

Hat jemand von Euch eine Idee?

Vielen Dank und viele Grüße, Alex

Ein executable, was in /tmp liegt? Dem ersten Anschein nach bedenklich. Was genau heisst die Datei und was ergibt eine Ausgabe von file

Ja, das finde ich eben auch bedenklich irgendwie.

ls gibt folgendes: -rwxr-xr-x 1 www-data www-data 3,5M 2009-01-12 02:41 wssh

file gibt das hier: wssh: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.2.0, statically linked, stripped

Hmm, geh mal davon aus, dass Dein Server kompromitiert ist. Das ist zwar der "worst case", aber davon mußt Du ausgehen. Mach ein Backup und trenne den Server vom Netz und setze ihn komplett neu auf. http://faq.hosteurope.de/index.php?cpid=11754 fand ich eigentlich ganz gut.

Mich würde die Datei intressieren. Hättest du was dagegen sie hochzuladen?

comm_a_nder schrieb:

Mach ein Backup und trenne den Server vom Netz und setze ihn komplett neu auf.

Am besten aber nicht genau so, wie er vorher war, denn dann ist er innerhalb kürzester Zeit wieder geknackt. Was hast du denn darauf an Software laufen?

wssh klingt für mich nach 'nem abgewandelten SSH-Server, also einer Backdoor für den Cracker. Ist aber nur 'ne Vermutung. (Kann man u.U. mit sudo netstat -tulpen herausfinden.)

Wenn er als www-data läuft ist zumindestens schon mal einigermaßen klar, wie er befallen wurde.

comm_a_nder schrieb:

Wenn er als www-data läuft ist zumindestens schon mal einigermaßen klar, wie er befallen wurde.

Recht hast du. Also beschränkt sich die Suche schon mal auf die installierten Web-Applikationen (am besten inkl. Versionsnummer auflisten).

Hi!

Also der Server ist erstmal vom Netz - das hatte ich auch gleich gemacht.

@Blattlaus: Ich habe die Datei auf einen anderen Server von mir hochgeladen: http://www.rhaij.org/tmp/wssh.zip

Ich habe mal in die apache error.log geschaut und habe die Stelle gefunden wo das Teil reingekommen ist:

[Mon Jan 12 01:50:08 2009] [error] [client 89.203.161.188] File does not exist: /var/www/nonexistenshit
[Mon Jan 12 01:50:08 2009] [error] [client 89.203.161.188] File does not exist: /var/www/mail
[Mon Jan 12 01:50:08 2009] [error] [client 89.203.161.188] File does not exist: /var/www/bin
[Mon Jan 12 01:50:08 2009] [error] [client 89.203.161.188] File does not exist: /var/www/rc
[Mon Jan 12 01:50:08 2009] [error] [client 89.203.161.188] File does not exist: /var/www/roundcube
--01:50:09--  http://85.214.32.216/wssh
           => `wssh'
Connecting to 85.214.32.216:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3,569,280 (3.4M) [application/octet-stream]

    0K .......... .......... .......... .......... ..........  1%  791.85 KB/s
   50K .......... .......... .......... .......... ..........  2%    2.45 MB/s
  100K .......... .......... .......... .......... ..........  4%    2.21 MB/s
  150K .......... .......... .......... .......... ..........  5%    2.43 MB/s
  200K .......... .......... .......... .......... ..........  7%    1.29 MB/s
  250K .......... .......... .......... .......... ..........  8%   29.96 MB/s
  300K .......... .......... .......... .......... .......... 10%    2.58 MB/s
  350K .......... .......... .......... .......... .......... 11%   13.96 MB/s
  400K .......... .......... .......... .......... .......... 12%    2.52 MB/s
  450K .......... .......... .......... .......... .......... 14%    2.00 MB/s
  500K .......... .......... .......... .......... .......... 15%   12.67 MB/s
  550K .......... .......... .......... .......... .......... 17%    1.12 MB/s
  600K .......... .......... .......... .......... .......... 18%   26.69 MB/s
  650K .......... .......... .......... .......... .......... 20%    2.03 MB/s
  700K .......... .......... .......... .......... .......... 21%   26.81 MB/s
  750K .......... .......... .......... .......... .......... 22%    2.49 MB/s
  800K .......... .......... .......... .......... .......... 24%    1.37 MB/s
  850K .......... .......... .......... .......... .......... 25%   22.60 MB/s
  900K .......... .......... .......... .......... .......... 27%    1.55 MB/s
  950K .......... .......... .......... .......... .......... 28%   21.57 MB/s
 1000K .......... .......... .......... .......... .......... 30%    1.51 MB/s
 1050K .......... .......... .......... .......... .......... 31%   27.12 MB/s
 1100K .......... .......... .......... .......... .......... 32%    2.12 MB/s
 1150K .......... .......... .......... .......... .......... 34%   26.78 MB/s
 1200K .......... .......... .......... .......... .......... 35%    2.51 MB/s
 1250K .......... .......... .......... .......... .......... 37%   27.79 MB/s
 1300K .......... .......... .......... .......... .......... 38%    2.60 MB/s
 1350K .......... .......... .......... .......... .......... 40%    3.44 MB/s
 1400K .......... .......... .......... .......... .......... 41%    1.95 MB/s
 1450K .......... .......... .......... .......... .......... 43%    1.35 MB/s
 1500K .......... .......... .......... .......... .......... 44%   25.86 MB/s
 1550K .......... .......... .......... .......... .......... 45%    2.46 MB/s
 1600K .......... .......... .......... .......... .......... 47%   10.76 MB/s
 1650K .......... .......... .......... .......... .......... 48%    2.98 MB/s
 1700K .......... .......... .......... .......... .......... 50%   13.49 MB/s
 1750K .......... .......... .......... .......... .......... 51%    2.68 MB/s
 1800K .......... .......... .......... .......... .......... 53%    1.63 MB/s
 1850K .......... .......... .......... .......... .......... 54%   27.28 MB/s
 1900K .......... .......... .......... .......... .......... 55%    2.91 MB/s
 1950K .......... .......... .......... .......... .......... 57%   11.17 MB/s
 2000K .......... .......... .......... .......... .......... 58%    1.34 MB/s
 2050K .......... .......... .......... .......... .......... 60%   26.96 MB/s
 2100K .......... .......... .......... .......... .......... 61%    2.36 MB/s
 2150K .......... .......... .......... .......... .......... 63%    9.14 MB/s
 2200K .......... .......... .......... .......... .......... 64%    3.02 MB/s
 2250K .......... .......... .......... .......... .......... 65%    7.16 MB/s
 2300K .......... .......... .......... .......... .......... 67%    2.52 MB/s
 2350K .......... .......... .......... .......... .......... 68%    2.64 MB/s
 2400K .......... .......... .......... .......... .......... 70%    1.67 MB/s
 2450K .......... .......... .......... .......... .......... 71%   17.63 MB/s
 2500K .......... .......... .......... .......... .......... 73%    2.65 MB/s
 2550K .......... .......... .......... .......... .......... 74%   13.01 MB/s
 2600K .......... .......... .......... .......... .......... 76%    1.33 MB/s
 2650K .......... .......... .......... .......... .......... 77%   28.08 MB/s
 2700K .......... .......... .......... .......... .......... 78%    2.56 MB/s
 2750K .......... .......... .......... .......... .......... 80%   19.75 MB/s
 2800K .......... .......... .......... .......... .......... 81%    2.84 MB/s
 2850K .......... .......... .......... .......... .......... 83%    6.37 MB/s
 2900K .......... .......... .......... .......... .......... 84%    3.57 MB/s
 2950K .......... .......... .......... .......... .......... 86%    3.33 MB/s
 3000K .......... .......... .......... .......... .......... 87%    1.64 MB/s
 3050K .......... .......... .......... .......... .......... 88%    1.19 MB/s
 3100K .......... .......... .......... .......... .......... 90%   25.07 MB/s
 3150K .......... .......... .......... .......... .......... 91%    2.22 MB/s
 3200K .......... .......... .......... .......... .......... 93%   25.48 MB/s
 3250K .......... .......... .......... .......... .......... 94%    2.41 MB/s
 3300K .......... .......... .......... .......... .......... 96%    6.77 MB/s
 3350K .......... .......... .......... .......... .......... 97%    1.21 MB/s
 3400K .......... .......... .......... .......... .......... 98%   25.74 MB/s
 3450K .......... .......... .......... .....                100%    2.30 MB/s

01:50:10 (2.93 MB/s) - `wssh' saved [3569280/3569280]

Da vorher nach "rc" und "roundcube" gesucht wurde denke ich fast das Ding ist durch Roundcube-Mail reingekommen. Es lief Version 0.1-RC1. Apache ist Version 2.2.8

Oha...da wurde schon die ganze Zeit irgendwas versucht. Hier eine Datei "wcube". Ich habe in der Logdatei viele solcher Einträge, immer mit anderen IPs:

[Sun Jan 11 06:59:02 2009] [error] [client 216.245.195.242] File does not exist: /var/www/nonexistenshit
[Sun Jan 11 06:59:02 2009] [error] [client 216.245.195.242] File does not exist: /var/www/mail
[Sun Jan 11 06:59:02 2009] [error] [client 216.245.195.242] File does not exist: /var/www/bin
[Sun Jan 11 06:59:02 2009] [error] [client 216.245.195.242] File does not exist: /var/www/rc
[Sun Jan 11 06:59:02 2009] [error] [client 216.245.195.242] File does not exist: /var/www/roundcube
--06:59:06--  http://85.214.64.225/wcube
           => `wcube'
Connecting to 85.214.64.225:80... connected.
HTTP request sent, awaiting response... 404 Not Found
06:59:06 ERROR 404: Not Found.

chmod: cannot access `wcube': No such file or directory

Scheint ein üblicher Exploit von Roundcube zu sein...

• http://directadmin.com/forum/showthread.php?p=147661

• http://www.directadmin.com/forum/showthread.php?p=147344

Ja, das hatte ich auch grad herausgefunden. http://www.webhostingtalk.com/showthread.php?t=748555 ☺ Gut, directadmin benutze ich nicht, aber wie gesagt Roundcube. So was blödes aber auch.

Den Roundcube-Ordner hab ich erstmal verschoben so das er nicht mehr erreichbar ist. Die Frage ist jetzt nur ob ich den Server einfach wieder so online bringen sollte - natürlich nachdem ich das alles beseitigt habe was da nicht hingehört. Oder ist es besser doch alles neu aufzusetzen? So wie ich die Posts zu dem Exploit gelesen habe macht das Ding "nur" einen DoS auf andere Webserver.

proximacentauri schrieb:

Oder ist es besser doch alles neu aufzusetzen?

Ja, ein einmal kompromittiertes System MUSS man neu aufsetzen.

proximacentauri schrieb:

Ja, das hatte ich auch grad herausgefunden. http://www.webhostingtalk.com/showthread.php?t=748555 ☺ Gut, directadmin benutze ich nicht, aber wie gesagt Roundcube. So was blödes aber auch.

Dia aktuelle Version ist ja auch 0.2-stable.

Den Roundcube-Ordner hab ich erstmal verschoben so das er nicht mehr erreichbar ist.

Wenn er sich noch im DocumentRoot befindet, ist er trotzdem erreichbar.

Die Frage ist jetzt nur ob ich den Server einfach wieder so online bringen sollte - natürlich nachdem ich das alles beseitigt habe was da nicht hingehört. Oder ist es besser doch alles neu aufzusetzen?

Das kommt einer Wette gleich. Das wssh-Binary hatte den Besitzer www-data. Wenn du jetzt darauf wettest, dass dem Angreifer das gereicht hat, und er keine Root-Rechte erlangt hat, lässt du dir per find alle Dateien anzeigen, die www-data gehören, und löschst alles verdächtige. Wenn du sicher gehen willst, setzt du neu auf.

Um genau zu sehen, wie der Angreifer reingekommen ist, könntest du übrigens mal das access.log zur Zeit des Exploits betrachten. Im error.log siehst du ja nur die Testballons und die Auswirkung in Gestalt der wget-Ausgabe.

Ob ihr mir das glaubt oder nicht, vorgestern hatte ich die aktuelle Rouncube Version auf meinen zweiten Server installiert. Diese Woche wollte ich das nun auch auf dem jetzt betroffenen System machen. Blöd gelaufen.

Eigentlich will ich es ja nicht, aber ich denke auch das eine komplette Neuinstallation sinnvoller ist. Tja, da widersteht der Server tapfer und treu seit ca. 2 Jahren sämtlichen Angriffen und nem Haufen Spam, ackert sich durch dicke Updates und jetzt haben "die" ihn doch gekriegt. *schnief*

Backup läuft und gleich morgen früh gehts ran. Und nein, ich schiebe das Backup nicht 1:1 zurück. 😉

Sollte ich bis auf weiteres auf Roundcube verzichten? Die aktuelle Version soll gegen diese Art von Angriff ja immun sein. Hm, vielleicht schau ich mir auch mal Horde/IMP oder Squirrelmail an...