Schadscript ausgeführt

  • Ich habe folgendes Script auf meinem Server entdeckt:


    Meine Crontabs waren folgendermaßen verändert:

    Code
    * * * * * /tmp/mc-root/update >/dev/null 2>&1


    Wer kann sehen welchen Schaden dies nun ausgelöst hat und wie ich das bestmöglich beheben kann? Danke!


    PS: Alle Vorkomnisse der falschen Cron-Kommandos, der update Datrein und der Ordner mech.dir habe ich nun gelöscht.

  • also es wird deine bash und sh übernommen .
    Was die einzelnen Dateien nun machen kann ich nicht sagen ,
    Nutzt zwar erst was wenn du herausgefunden hast, wie du infiziert wurdest
    aber ich würde in jedem Fall eine Neuinstallation empfehlen.


    gruss


    michi
    EDIT:
    viel war nicht aber ich hab das hier gefunden
    Bitcoin Mining Wurm
    vielleicht bringt es dich weiter

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

    Edited once, last by extremmichi ().

  • Die bash wird nicht übernommen. Es wird nur eine Datei mit dem Namen runtergeladen und dann ausgeführt aus /tmp.

    "Security is like an onion - the more you dig in the more you want to cry"

  • rootkithunter ist sehr vorbeugend das dein system auf sowas abcheckt aber ich denke du hast dein eigenes Sicherheitskonzept :)

  • Bei clamav spuckt Google aus das es eine Antivirus software ist .. seltsam eigentlich 8| SH kann alles sein. Würde das mal beobachten, welche Sicherheitsvorkehrungen hast du auf den Server eigentlich getroffen bzw. was benutzt du zum sichern deines Systems ?


    extremmichi Eine Neuinstallation muss doch nicht immer gleich sofort gemacht werden nur weil mein System infiziert worden ist oder ? Wie stellst du dir das z.B. im Bankwesen an ? Ach du Schande da ist ein Trojaner lass uns doch das ganze System samt Kundendaten einfach Platt machen und neu hoch ziehen (Kunden freuen sich :D ). Würde ehr ausfindig machen wie das Script auf dem Server gekommen ist, und wie ich das Leck schließen kann.

  • Habt ihr den Code vom Script überhaupt gelesen oder versteht ihr den einfach nicht? Ist ja schlimm, was da teilweise an Antworten kommt – vmk's Beitrag einmal ausgenommen… :whistling:


    Zurück zum Thema: Wenn dieses Script wirklich als root ausgeführt worden ist, ist alles weitere relativ sinnlos, da quasi alles passiert sein könnte. Neuinstallation und aus. Selbst wenn man die heruntergeladenen Dateien analysiert, könnte der Inhalt vor x Tagen ganz anders gewesen sein. Da macht es keinen Sinn weiter rum zu basteln. Alles sichern, möglichst die Schwachstelle finden, Lösung erarbeiten und alles neu einrichten. That's it. Falls das nicht als root lief, dürfte der Großteil davon schief gelaufen sein. Dann kann man über eine normale Lösung weiterreden, die ohne Neuinstallation auskommt. Aber so hört es sich nach den Schilderungen über die entfernten Dateien leider nicht an.


    @Blaster: Und der Vergleich mit den Banken ist nicht dein Ernst, oder?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Vielen Dank.


    Fakt ist:

    • Es wird wiederum ein Script heruntergeladen. Dieses Script ist exakt das gleiche welches hier ausgeführt wird. Es ist generell möglich das in der Vergangenheit so ein anderes Script geladen und ausgeführt wurde.
    • Das Script hat neue udn vermeintlich infizierte Versionen von clamav und sh heruntergeladen und integriert.
    • Das Sctipt hat Crontabs modifiziert (z.B. /etc/cron.hourly/update)


    Ich kann das System leider ohne weiteres nicht neu installieren. Die meisten Schaddateien habe ich zumindest manuell entfernt. Clamav habe ich deinstalliert und wieder insrtalliert. SH bleibnt eventuell infiziert. Wenn der Angreifer das Script der HTTP in der Vergangenheit ausgewechselt hat, ist "alles" weitere möglich.


    Sehr interessant ist in diesem Zusammenhang, dass genau dies wirklich ein Bitcoining Wurm zu sein scheint:
    Bitcoin Mining Wurm



    Demnach löst ein Dist-upgrade von Debian 6 auf Debian 7 das Problem vollständig, Ich werde danach nochmals mit rkhunter und dem neuen clamscan scannen. Ein Restrisiko ist nicht auszuschließen :(

  • Ich würde sagen es bleibt nichts anderes übrig als eine Neuinstallation, natürlich mit Sicherung der notwendigen Daten.


    Keiner kann hier sagen was durch die Infizierung verändert wurde und was der Angreifer bereits selbst verändert hat.


    Ich persönlich finde es schon fast fahrlässig, so ein infiziertes System einfach laufen zu lassen und zu hoffen das man alles gelöscht hat... Ist nur meine Meinung..

  • Wie hier bereits jemand geschrieben hat, handelt es sich um einen Bitcoin Mining Wurm. So wie das Script da aussieht wird weder clamav, bash oder sh ersetzt. Das Script arbeitet in der Form nur in /tmp. Es lädt die Dateien clamav und sh in das akuelle Verzeichnis (in diesem Fall /tmp) und macht sie ausführbar. Dann wird clamav in bash umbenannt. Anschließend werden die Programme gestartet und verbinden sich zu einem Mining Pool. Die Binaries bleiben im aktuellem Verzeichnis und ersetzen keine System Dateien. Sie werden nur so genannt, weil sie in der Prozessliste nicht auffallen sollen. Außerdem aktualisiert sich das Script über den angelegten Cronjob ständig selber, genauso wie die Binaries.


    Man kann natürlich trotzdem nicht sicher sein, das nicht mehr passiert ist. Das Script kann jederzeit ein anderes gewesen sein und auch beliebig andere Binaries geladen haben.

    Neun von zehn stimmen in meinem Kopf sagen ich bin nicht verrückt, die zehnte summt die Melodie von Tetris.

  • Was manche "Experten" hier von sich geben... Oh man...


    Zusätzlich zu den Ausführungen von vmk und stachi, kann man auch nicht sicher sein was die Vermeidlichen clamav und bash Programme machen. Diese könnten auch etwas nachgeladen haben. Wer weiß ob es nur ein Mining Wurm ist und nicht noch mehr im System versteckt hat?


    Absolutes Minimum wäre mal rkhunter durchlaufen zu lassen, und das im Rettungssystem.
    Aber ich persönlich könnte erst nach einer Neuinstallation wieder ruhig schlafen.

  • Also clamav und sh werden beide als bitccoinminer erkannt laut virustotal.
    Also ich denke er sollte einfach die datein und den cronjob löschen und zudr no0t dann wie perryflynn es gesagt hat mit rkhunter durchsuchen lassen

  • Ähhm, auch wenn ich jetzt der gefühlt 1000ste bin der das sagt: Mach den Server platt!


    Hier die Begründung:
    - es wurden dir unbekannte binaries auf dein System geladen und ausgeführt, welche Effekte diese hatten weißt du nicht
    Du kannst dein System von "innen" heraus nicht reparieren da du KEINER deiner dort vorhandenen Binaries trauen kannst, weiter ist ein Scan von außen mit 100%iger Tiefe von sehr aufwändig bis unmöglich zu bewerten....
    Nebenher bemerkt hat das Ding u.U. Sachen gelöscht die für den (sicheren) Betrieb deines Servers ganz gut wären... dein alter Crontab z.B. ist ja auch weg (crontab -r).... also wenn ich einen Virus/Worm vertreiben wollen würde, würde z.B. überlegen ob ich meinen Opfern nicht z.B. die Möglichkeit updates zu fahren nehmen würde... oder alle paar Tage / Wochen lässt man sich einen Log des Servers zustellen in dem vielleicht interessante Daten zu finden sind (nicht in deinem Interesse wie ich vermute) oder ..... die Möglichkeiten sind unbegrenzt.


    Lässt du den Server in gutem Glauben an "es war hoffentlich nicht mehr" weiterlaufen und wird dieser z.B. für Straftaten verwendet (häßliche Themen wie Kinderpornographie die verteilt wird etc.) dann bist du mindestens grob fahrlässig.... da du es spätestens nach diesen Foreneinträgen besser wissen MUSST.


    Von daher ganz klar: Daten sichern (zieh dir z.B. ein Image für eine virtuelle Maschine) und das Ding in den Äther gejagt.

  • *schäm* ..... mein Fehler, hatte ich nicht drauf geachtet - war irgendwie im "Shellshock" Wahn und da kam der Thread natürlich genau richtig. Sorry!