Da ich gerade dabei bin mit meinem ganzen Gerümpel auf einen neuen Server zu ziehen, habe ich zufälligerweise vor fünf Tagen wieder in /var/log/messages gesehen. Seltsamerweise fanden sich dort einige unschöne Versuche sich als root mit SSH einzuloggen protokolliert. Alle ohne Erfolg.
Auf dem Server, von dem das »Hammering« ausging, fand sich eine Webseite über die ich Kontakt mit dem Administrator aufnahm. Ich fragte ob er Ahnung davon hätte, was mit seinem Server gerade vor sich ginge. Ich dachte zunächst an einen kleinen Hacker der noch schnell ein paar Server mit Skripten zu kapern versucht, ehe er entdeckt wird.
Hi Rahim,
could it be possible that your server is hammering via SSH my server?
Mar 18 08:33:36 p15138109 sshd[1378]: Failed password for root from 217.199.164.132 port 53498 ssh2
.
.
.
and so onMaybe you should change your root password, if you can.
Thilo
Ein paar Stunden später bekam ich eine Antwort, in der sich Sohail, der root des anderen Servers, das er sich sofort darum kümmern würde.
Eine halbe Stunde später bekam ich diese E-Mail
it’s the new virus… called lol..
runs under the user apache… suggest you look through your logs as well.run top… see if you have a process along the lines of…
25063 apache 16 0 172 172 148 S 6.7 0.0 1:01 0 lolalso.. try ps -ef | grep lol… see if you get this..
[root@ns httpd]# ps -ef|grep lol
apache 25063 16461 0 Mar17 ttyp0 00:00:01 ./lol 30
apache 4920 25063 0 19:47 ttyp0 00:00:00 ./lol 30
apache 4921 25063 0 19:48 ttyp0 00:00:00 ./lol 30
apache 4922 25063 0 19:49 ttyp0 00:00:00 ./lol 30
apache 4923 25063 0 19:49 ttyp0 00:00:00 ./lol 30
apache 4925 25063 0 19:49 ttyp0 00:00:00 ./lol 30
apache 4927 25063 0 19:51 ttyp0 00:00:00 ./lol 30
apache 4928 25063 0 19:51 ttyp0 00:00:00 ./lol 30
apache 4930 25063 0 19:51 ttyp0 00:00:00 ./lol 30
apache 4934 25063 0 19:52 ttyp0 00:00:00 ./lol 30
apache 4935 25063 0 19:52 ttyp0 00:00:00 ./lol 30have you heard anything about this? know how to get rid of it? cos it keeps coming back everytime i remove it
Sohail.
Ein Wurm unter Linux, um ehrlich zu sein, habe ich davon noch nie was gehört.
Wenig später bekam ich diese E-Mail.
Thilo,
sorted the problem.. found out what it was..
there’s a new worm called ‘lol’… runs a process called ‘lol’ under the user ‘apache’.
installs itself through an exploit in awstats (statistics generator application) version 5.xkilled the processes, deleted all instances of the files and upgraded awstats to the latest version.. all seems fine so far.
let me know if there’s any more attacks to your machine.
regards,
Sohail.
Das Hammerings hat dann auch aufgehört. Wer also AWSTATS auf seinem Server verwendet, sollte wie Sohail, auf die neuste Version »updaten«.
Das Problem scheint sich auszuweiten, da ich in /var/log/messages elf weitere Server habe die Hammering auf meinen sshd machen. Genaueres zu dem Exploit von AWSTATS kann hier und hier gefunden werden.
3 Kommentare
Da ist der Kerl selbst schuld. Diese Fehler sind wirklich uralt. Es hilft allerdings ungemein, die Logs der Welt nicht zu zeigen und das Verzeichnis Passwortgeschützt, zu sichern. AWStats gehört sowieso zu den Programmen, die mit Vorsicht zu genießen sind. Ich verwende es zwar selbst auch, allerdings nicht erreichbar für Angriffe.
Eigentlich ist es gar kein Linux-Wurm, da AWStats auch auf anderen Betriebssystemen funktioniert.
Ich hab diese Einträge gestern auch in meinen Logs gesehen, habs eigentlich für ziemlich tumbe Versuche gehalten den root-Account meines Servers zu hacken. Jetzt weiss ich dank deines Postings wenigstens worum es sich wirklich handelt.