[Nlnog] Botnet

Jeroen Wunnink jeroen at easyhosting.nl
Mon May 21 07:28:34 UTC 2007 

Iets wat je veel terug ziet bij webservers met veel klanten en PHP, 
kijk voor de zekerheid ook even na of de apache user geen cronjob 
heeft, want vaak word de bot op die manier weer gestart mocht 'ie 
gekilled worden.

Een aantal manieren om 't tegen te gaan:
mod_security in apache laden

fopen in php uitzetten (paardenmiddel, krijg je wel veel gezeur van 
klanten mee)

suphp draaien, dan kun je zien onder welke user de bot/bouncer is gestart.

Lelijk maar effectief, cronjob elke 5 minuten draaien (even aanpassen 
waar nodig): ps aux | grep apache | grep -v PHP | grep -v grep | awk 
'{print $2}' | xargs kill -9 > /dev/null 2> /dev/null
Mochten er dan processen onder apache gestart worden dan worden ze 
iig direct weer afgeschoten.

En vaak zijn de betreffende exploits niet zo heel moeilijk te vinden 
in je apache logs met wat zoekopdrachten als:
grep .txt * | grep -v robots | grep -v 404
grep =http * | grep txt | grep -v 404

Dan komen er waarschijnlijk wel wat resultaten naar voren met 
pogingen tot hacks d.m.v. remote url exploits.

Verder geeft 't zoeken naar bestanden op je filesystem met woorden 
als: 'bnc' 'psy' 'psybnc' 'udp.pl' ook wel aanwijzingen doordat je 
kunt zien waar de bots of IRC bouncers zijn neergezet.

Ook de /tmp partitie op noexec,nosuid zetten in je fstab is raadzaam 
zodat er vanuit daar al niks kan worden uitgevoerd.


At 14:22 19-5-2007, you wrote:
>Hoi,
>
>Wederom ben ik een botnet tegen gekomen dmv het tracen op een 
>gehackte dedicated server bij ons.
>Moet zeggen dat ik verrassend veel .nl machines tegen kom:
>http://www.proserve.nl/~peter/botnet6.txt
>Veel hosting toko's, dus vandaar dit mailtje.
>Omdat de IPs schijnbaar versleuteld zijn in de hostname, geeft de 
>uname in de userinfo nog het beste beeld.
>Het is een flink netje, met ook flink wat power zo te zien.
>In iedergeval, deze ircd draait op 217.160.203.83 poort 23.
>Zojuist heeft de eigenaar de ircd gekilled lijkt het, dus ik ben 
>benieuwd hoe het met de drones is afgelopen.
>
>
>Dit process viel op, en deze bleef ook draaien na een stop van apache.
>apache   23570 79.8  0.3  5108 3112 ?        R    06:25 345:14 /usr/sbin/httpd
>
>Met een lsof was het duidelijk:
>perl      26331   apache  206u     IPv4   15938897 
>TCP x.x.nl:55480->alb-server.de:telnet (SYN_SENT)
>
>Helaas heb ik het process zelf niet gevonden in de standraard temp 
>dirs, en ook heb ik nog niet kunnen vinden welke site hiervoor misbruikt is.
>Mochten mensen iets vinden, hoor ik het graag.
>
>Deze lijst mag gedistribueerd worden, overal waar jullie het handig vinden.
>
>--
>  /-    Met vriendelijke groet/With kind regards,    -\
><- Peter Batenburg - ProServe B.V. - www.proserve.nl ->
>  \-    tel: +31-78-6922222 - fax: +31-78-6922269    -/
>_______________________________________________
>NLNOG mailing list
>NLNOG at nlnog.net
>http://mailman.nlnog.net/mailman/listinfo/nlnog



Met vriendelijke groet,

Jeroen Wunnink,
EasyHosting B.V. Systeembeheerder
systeembeheer at easyhosting.nl

telefoon:+31 (035) 6285455              Postbus 48
fax: +31 (035) 6838242                  3755 ZG Eemnes

http://www.easyhosting.nl
http://www.easycolocate.nl

More information about the NLNOG mailing list