Hallo! Von seccheck erhielt ich u. a. folgende Meldungen: * Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat * Changes (+: new entries, -: removed entries): + ipx + isa-pnp appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern. Jürgen
Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
Zunächst mal: Don't Panic! - Wenn der PC kein wichtiger Server ist würde ich ihn zunächst mal vom Netz nehmen und im Single-User-Mode booten. Dadurch verliert der "Hacker" (wenn es denn einer war) seinen Einfluss auf das System. - Jetzt kann eine Analyse der vorhandenen Daten erfolgen: Hier bietet sich z.B. das Coroner's Toolkit an: http://www.porcupine.org/forensics/tct.html oder, um Rootkits aufzufspüren kann man auf Chkrootkit zurückgreifen: http://www.chkrootkit.org/ Wichtig bei zweiterem Tool ist, dass "saubere" Binaries von den wichtigsten Programmen wie ls, ifconfig usw. vorliegen, da chkrootkit darauf zurückgreift. Was es mit den Meldungen von seccheck auf sich hat weiss ich leider auch nicht, aber dass Dein User Passwort sich verändert hat scheint schonmal nichts gutes zu bedeuten. Wie ist Dein PC denn Konfiguriert? Welche Dienste laufen auf ihm? Wie ist er Netzwerktechnisch angebunden (Firewall, Art der Netzwerkanbindung). Gruß Sascha
Am Freitag, 24. Oktober 2003 20:50 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
Zunächst mal: Don't Panic! - Wenn der PC kein wichtiger Server ist würde ich ihn zunächst mal vom Netz nehmen und im Single-User-Mode booten. Dadurch verliert der "Hacker" (wenn es denn einer war) seinen Einfluss auf das System.
- Jetzt kann eine Analyse der vorhandenen Daten erfolgen: Hier bietet sich z.B. das Coroner's Toolkit an: http://www.porcupine.org/forensics/tct.html
oder, um Rootkits aufzufspüren kann man auf Chkrootkit zurückgreifen: http://www.chkrootkit.org/
Wichtig bei zweiterem Tool ist, dass "saubere" Binaries von den wichtigsten Programmen wie ls, ifconfig usw. vorliegen, da chkrootkit darauf zurückgreift.
Was es mit den Meldungen von seccheck auf sich hat weiss ich leider auch nicht, aber dass Dein User Passwort sich verändert hat scheint schonmal nichts gutes zu bedeuten.
Wie ist Dein PC denn Konfiguriert? Welche Dienste laufen auf ihm? Wie ist er Netzwerktechnisch angebunden (Firewall, Art der Netzwerkanbindung).
Gruß Sascha Hier ist das Ergebnis von chkrootkit:
linux1:/home/fahnenju/Updates/chkrootkit-0.42b # ./chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not infected Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... can't exec ./strings-static, not tested Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/5.8.1/i586-linux-thread-multi/.packlist /usr/lib/ perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Archive/ Tar/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Archive/Zip/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/Compress/ Zlib/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Convert/TNEF/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/Convert/ UUlib/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Digest/SHA1/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/Digest/ HMAC/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/HTML/Tagset/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/HTML/ Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/IO-stringy/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/Mail/ SpamAssassin/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Mail/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/Tk/.packlist /usr/ lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Unix/ Syslog/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/XML/Parser/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/XML/ Writer/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Locale/gettext/.packlist /usr/lib/ perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/ RRDp/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/RRDs/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/ MIME-tools/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Net/DNS/.packlist /usr/lib/perl5/ vendor_perl/5.8.1/i586-linux-thread-multi/auto/Net/ Server/.packlist /usr/lib/perl5/vendor_perl/5.8.1/ i586-linux-thread-multi/auto/Term/ReadLine/Gnu/.packlist Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit ... nothing found Searching for Romanian rootkit ... nothing found Searching for Suckit rootkit ... nothing found Searching for Volc rootkit ... nothing found Searching for Gold2 rootkit ... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... Checking `rexedcs'... not found Checking `sniffer'... PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0 Checking `w55808'... not infected Checking `wted'... not tested: can't exec ./chkwtmp Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... not tested: can't exec ./chklastlog linux1:/home/fahnenju/Updates/chkrootkit-0.42b # Jürgen
Jürgen Fahnenschreiber wrote:
Am Freitag, 24. Oktober 2003 20:50 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
[...]
Hier ist das Ergebnis von chkrootkit:
[...] Ok. Soweit sieht das ja alles gar nicht schlecht aus, aber hast Du auch die System-Binaries von einer 'sauberen' Quelle benutzt? Mal angenommen, dass Dein Host gehackt worden ist und es wurde bereits ein Rootkit installiert wäre es u.U. denkbar, (bzw. wahrscheinlich) dass chkrootkit die Infektion gar nicht mitbekommt. Die Zeile PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0 bedeutet, dass Deine Netzwerkinterfaces sich im PROMISC Mode befinden (Die Netzwerkkarte fühlt sich dann für alle Pakete die an Ihr vorbeikommen 'verantwortlich' und ermöglicht das mitloggen dieser Pakete). Dies könnte auf einen Netzwerksniffer hindeuten. Wenn Du also nicht selbst bewusst irgendwelche Software wie z.B. Ethereal oder Tcpdump (Ich *glaube* mal, das beide Programme diesen Modus unterstützen/voraussetzen) einsetzt, dann wäre das ein Iniz dafür, dass jemand Interesse an Deinem Host gefunden hat. Das ausspähen Deines Netzwerkverkehrs ermöglicht es dem Eindringling z.B. die i.d.R. unverschlüsselt übermittelten POP3-Kennwörter auszuspähen oder z.B. die oft nur MIME64 encodierten Webkennwörter, usw. Wann waren die ersten Anzeichen / Anomalien zu sehen? Wie war die Firewall konfiguriert? Welche Ports waren offen? Hast Du Die Möglchkeit Deinen Host von ausserhalb zu Scannen? Wurden neue User angelegt? Wann hat sich zuletzt jmd. erfolgreich eingeloggt ( # last ) Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen: awk, cut, echo, egrep, find, head, id, ls, netstat, ps, sed, strings, uname und übergib den Pfad der CD beim Aufruf von chkrootkit: ./chkrootkit -r /mnt/cdrom/bin (wenn sich die Files im Directory /bin auf der CD befinden) Gruß Sascha
Moin,
Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen:
ein SuSE-Life System oder z.B. Knoppix sollte funktionieren. Ich hatte in einem ähnlichen Fall einfach meinen Rechner platt gemacht und alle Daten neu aufgespielt (bis auf die User-Verzeichnisse). bis denn ... /Frank/
Frank Röske wrote:
Moin,
Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen:
ein SuSE-Life System oder z.B. Knoppix sollte funktionieren. Ich hatte in einem ähnlichen Fall einfach meinen Rechner platt gemacht und alle Daten neu aufgespielt (bis auf die User-Verzeichnisse).
Das ist eine Super Idee! Boote mit einer Knoppix oder Suse-Life-CD und mounte Dein Root - Filesystem z.B. uner /mnt/installed-sys/ und rufe dann chkrootkit mit dem folgenden Parameter auf: ./chkrootkit -r /mnt/installed-sys dann übernimmt chkrootkit den obigen Pfad als Rootsystem. Und noch eine Korrektur zu meiner Aussage gestern: Wenn man die binaries aus einer sauberen Quelle benutzen möchte, dann ist das der Parameter -p /pfad/zu/binaries und nicht wie geschildert -r. Da der Hacker (wenn es denn einer war) IMHO eher in die Kategorie ScriptKiddie einzuordnen ist (welcher ernsthafte Hacker ändert User-Passwörter ??) könnte auch die Suche mit rpm auf Spuren eines Einbruchs hindeuten. Mit rpm -verify PAKETNAME können die Paket auf Änderungen seit der Installation überprüft werden. Alternativ dazu kann man mit rpm -verify -all sich die Veränderungen bei allen Paketen ansehen. Konfigurationsdateien werden wohl fast überall auftauchen, aber wenn mal Binaries als verändert erscheinen, dann sollte man einen zweiten Blick riskieren ;-) So long Sascha
bis denn ... /Frank/
Am Samstag, 25. Oktober 2003 00:17 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Am Freitag, 24. Oktober 2003 20:50 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
[...]
Hier ist das Ergebnis von chkrootkit:
[...]
Ok. Soweit sieht das ja alles gar nicht schlecht aus, aber hast Du auch die System-Binaries von einer 'sauberen' Quelle benutzt?
Mal angenommen, dass Dein Host gehackt worden ist und es wurde bereits ein Rootkit installiert wäre es u.U. denkbar, (bzw. wahrscheinlich) dass chkrootkit die Infektion gar nicht mitbekommt.
Die Zeile
PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0
bedeutet, dass Deine Netzwerkinterfaces sich im PROMISC Mode befinden (Die Netzwerkkarte fühlt sich dann für alle Pakete die an Ihr vorbeikommen 'verantwortlich' und ermöglicht das mitloggen dieser Pakete). Dies könnte auf einen Netzwerksniffer hindeuten. Wenn Du also nicht selbst bewusst irgendwelche Software wie z.B. Ethereal oder Tcpdump (Ich *glaube* mal, das beide Programme diesen Modus unterstützen/voraussetzen) einsetzt, dann wäre das ein Iniz dafür, dass jemand Interesse an Deinem Host gefunden hat. Ich hab nessus und snort installiert. Ausserdem ist auch scanlogd installiert, aber ich weis leider nicht genau, wie ich von dem Meldungen krieg, ob ich gescannt wurde....
Das ausspähen Deines Netzwerkverkehrs ermöglicht es dem Eindringling z.B. die i.d.R. unverschlüsselt übermittelten POP3-Kennwörter auszuspähen oder z.B. die oft nur MIME64 encodierten Webkennwörter, usw.
Bevor mein Passwort verändert war, hatte ich DES. Mittlerweile hab ich auf MD5 umgestellt.
Wann waren die ersten Anzeichen / Anomalien zu sehen?
Plötzlich öffnete sich mal k3b, ohne das ich daran was machte. Kurz vor dem öffnen suchte eines meiner CD-ROM's eine CD (welche nicht im Laufwerk war). Der sicherste Beweis dürfte dann wohl das geänderte Passwort sein.
Wie war die Firewall konfiguriert? Hier ein Auszug:
Welche Ports waren offen? Laut nmap ist kein Port offen. Auf der SuSE 9.0 fand nmap noch keinen offenen Port! Unter SSuE 8.2 waren immer ipp, smtp, X11 offen Hast Du Die Möglchkeit Deinen Host von ausserhalb zu Scannen? Unter http://check.lfd.niedersachsen.de/start.php hab ich's mal
FW_QUICKMODE="no" FW_DEV_EXT="ppp0" FW_DEV_INT="" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" (hab ich erst nach dem geänderten Passwort auf yes!) FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="no" (war vorher auf yes und hab ich gestern Abend auf no) FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" probiert. Ergebnis (65534 überprüfte Ports bei aktivierter Firewall) : Bei Port 58000 und noch irgendwas hängte sich das ganze auf. Bis dorthin war aber nichts gefunden worden. Ergebnis(mit aktivierter Firewall) eines Online-Scans von www.anti-trojan.de: Scan complete! 356 ports scanned 0 open ports found
Wurden neue User angelegt? Sind die Gruppen "at" und "games" bei SuSE 9.0 standartmässig angelegt? Wann hat sich zuletzt jmd. erfolgreich eingeloggt ( # last ) Da werden nur root und fahnenju erwähnt. Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen: awk, cut, echo, egrep, find, head, id, ls, netstat, ps, sed, strings, uname und übergib den Pfad der CD beim Aufruf von chkrootkit: ./chkrootkit -r /mnt/cdrom/bin (wenn sich die Files im Directory /bin auf der CD befinden) Wie erstelle ich so eine CD?
Sascha Danke schon mal für Deine Hilfe! Jürgen
[...]
Ok. Soweit sieht das ja alles gar nicht schlecht aus, aber hast Du auch die System-Binaries von einer 'sauberen' Quelle benutzt?
Mal angenommen, dass Dein Host gehackt worden ist und es wurde bereits ein Rootkit installiert wäre es u.U. denkbar, (bzw. wahrscheinlich) dass chkrootkit die Infektion gar nicht mitbekommt.
Die Zeile
PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0
bedeutet, dass Deine Netzwerkinterfaces sich im PROMISC Mode befinden (Die Netzwerkkarte fühlt sich dann für alle Pakete die an Ihr vorbeikommen 'verantwortlich' und ermöglicht das mitloggen dieser Pakete). Dies könnte auf einen Netzwerksniffer hindeuten. Wenn Du also nicht selbst bewusst irgendwelche Software wie z.B. Ethereal oder Tcpdump (Ich *glaube* mal, das beide Programme diesen Modus unterstützen/voraussetzen) einsetzt, dann wäre das ein Iniz dafür, dass jemand Interesse an Deinem Host gefunden hat.
Ich hab nessus und snort installiert. Ausserdem ist auch scanlogd installiert, aber ich weis leider nicht genau, wie ich von dem Meldungen krieg, ob ich gescannt wurde....
Nessus ist ein Security -Audit Tool & Snort ein Network Intrusion Detection System. Sicherlich können beide Programme auch nach einem Einbruch hilfreiche Informationen bieten, aber Sie dienen eher der Prävention bzw. der aktiven Erkennung von Angriffen. Auch der Scanlogd dient zum erkennen von Portscans - jemand, der ein System bereits infiltriert hat ist meistens schon über den Status des Informationssammelns hinaus ;-)
Das ausspähen Deines Netzwerkverkehrs ermöglicht es dem Eindringling z.B. die i.d.R. unverschlüsselt übermittelten POP3-Kennwörter auszuspähen oder z.B. die oft nur MIME64 encodierten Webkennwörter, usw.
Bevor mein Passwort verändert war, hatte ich DES. Mittlerweile hab ich auf MD5 umgestellt.
Wenn ich Dich richtig verstehe meinst Du wohl, mit welchem Algorithmus die Kennwörter der Benutzerdatenbank werden. Ich meinte jedoch, dass der Angreifer - wenn er Deinen Netzwerk- verkehr abhören kann - all die Dinge abhören kann, die Du bei Deiner Kommunikation mit dem Internet erzeugst. U.A. auch Die Emails, die Du ggf. unverschlüsselt über das Internet versendest (z.B. auch die Beiträge die Du hier in der Newsgroup postest, wenn Du Sie von diesem System aus verschickst oder über einen Hub mit diesem System verbunden bist) oder Kennwörter die nicht über https:// verschickt werden oder POP3 Kennwörter usw. Wenn Du mal sehen möchtest, was alles so unverschlüsselt übers Netz geht, dann empfehle ich Dir die Installation von Ethereal (www.ethereal.com), das ist sehr aufschlussreich.
Wann waren die ersten Anzeichen / Anomalien zu sehen?
Plötzlich öffnete sich mal k3b, ohne das ich daran was machte. Kurz vor dem öffnen suchte eines meiner CD-ROM's eine CD (welche nicht im Laufwerk war). Der sicherste Beweis dürfte dann wohl das geänderte Passwort sein.
Wenn jmd. Dein System gehackt hat, war er in jedem Fall nicht besonders clever, wie Harald in seinem Posting schon beschrieben hat, ist es ziemlich blöd die Aufmerksamkeit so auf sich zu ziehen. Kannst Du ausschliessen, dass sich nicht jmd. einen Scherz erlaubt hat?
Wie war die Firewall konfiguriert?
Hier ein Auszug:
[...]
Wie war denn das System ans Internet angebunden? Per Ethernet/DSL-Router oder mit einer ISDN-Karte, Modem?
Welche Ports waren offen?
Laut nmap ist kein Port offen. Auf der SuSE 9.0 fand nmap noch keinen offenen Port! Unter SSuE 8.2 waren immer ipp, smtp, X11 offen
Hast Du Die Möglchkeit Deinen Host von ausserhalb zu Scannen?
Unter http://check.lfd.niedersachsen.de/start.php hab ich's mal probiert. Ergebnis (65534 überprüfte Ports bei aktivierter Firewall) : Bei Port 58000 und noch irgendwas hängte sich das ganze auf. Bis dorthin war aber nichts gefunden worden.
Ergebnis(mit aktivierter Firewall) eines Online-Scans von www.anti-trojan.de:
Scan complete! 356 ports scanned 0 open ports found
Was sagt netstat?
Wurden neue User angelegt?
Sind die Gruppen "at" und "games" bei SuSE 9.0 standartmässig angelegt?
AFAIK, schon.
Wann hat sich zuletzt jmd. erfolgreich eingeloggt ( # last )
Da werden nur root und fahnenju erwähnt.
Hätte mich gewundert, wenn ein 'Hacker' der das Rootpasswort ändert einen extra User anlegt ;-)
Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen: awk, cut, echo, egrep, find, head, id, ls, netstat, ps, sed, strings, uname und übergib den Pfad der CD beim Aufruf von chkrootkit: ./chkrootkit -r /mnt/cdrom/bin (wenn sich die Files im Directory /bin auf der CD befinden)
Wie erstelle ich so eine CD?
Frank hatte in seinem Posting eine bessere Idee: Starte das SuSE-Live System oder lade Dir die Knoppix Distribution runter (war neulich auch in der Ct auf CD dabei). Installiere chkrootkit dann auf dem Livesystem und mounte dann Dein root-System. Starte dann chkrootkit auf die folgende Art: ./chkrootkit -r /pfad/zu/mountpoint chkrootkit nimmt dann diesen Pfad als Root und überprüft das Filesystem unter zuhilfenahme der "sicheren" Dateien.
Sascha
Danke schon mal für Deine Hilfe! Jürgen
Am Freitag, 24. Oktober 2003 17:39 schrieb Jürgen Fahnenschreiber:
Von seccheck erhielt ich u. a. folgende Meldungen: * Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert!
Aber vielleicht ein Programm das Du gestartest hast. (Es sind alles Kernel-Module)
Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte.
Um Dein User-Passwort zu ändern braucht es root-Rechte. Warum sollte ein "Hacker" so blöd sein. dein user-Passwort zu ändern, wenn er schon root-Rechte hat?
Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen?
rpm -ya und dann über die Ausgabe nachdenken. Welche Dateien sollte ich kontrollieren? /var/log/message und nach den Kernelmodulen suchen...
Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Schadet sicher nicht (Wenn Du es nicht vergisst) Gruß Harald
participants (4)
-
Frank Röske -
Harald_mail@t-online.de -
Jürgen Fahnenschreiber -
Sascha Teifke