Linux Server bootet nach Virus (mihai) nicht mehr
Unglücklicherweise habe ich heute nacht einen SuSE Linux 8.0 Professional Server offengelassen, d.h. SuSE Firewall 2 war vorübergehend nicht aktiviert. Um 2 Uhr nachts hat dann einer zugeschlagen (Verzeichnis /mihai und Dateien wie /.mihai, /mihai.tgz, /mihai/inst etc.). Dabei wurde durch /mihai/inst die Datei /etc/rc.d/rc.sysinit (mit einem Aufruf von wrapper) überschrieben und es wurden die Daten /usr/bin/wrapper und /usr/sbin/wrapper mit der Datei /mihai überschrieben. Ich bin mir nicht sicher, aber so wie es aussieht, wurden auch noch andere Dateien verändert/überschrieben (z.B. hat sendmail ein Änderungsdatum von heute nacht und ist wesentlich grösser als das Original). Sicherheitshalber habe ich vor einem Reboot /usr/bin/wrapper und /usr/sbin/wrapper gelöscht. Jetzt kann ich den Rechner jedoch nicht mehr booten. Nach dem Monten der Dateisysteme kommen noch die Meldungen: mounting local filesystems proc on /proctyp proc (rw) Danach passiert nichts mehr. Wie kriege ich jetzt die Kiste wieder in Gang? Es macht mir nichts aus, alles neu zu installieren, sofern mir dabei die Partitionen und vor allem das Filesystem auf hda3 intakt bleiben, da ich auf hda3 eine komplette Sicherung aller wichtigen Konfigurationsdateien und Datenfiles habe. Ich habe versucht ab CD das Ding wieder in Gang zu bringen, was aber auch nicht geht: - Neuinstallation Will meine HD partitionieren/überschreiben!?! - Update des bestehenden Systems Bleibt beim booten hängen (wie bei Normalstart) - Installiertes System starten Bleibt beim booten hängen (wie bei Normalstart) Was kann ich noch tun? Für jeden Tip bin ich dankbar. So sieht die Datei mihai/inst aus: --------------------------------------------------------------- #/bin/bash echo "Start Daemon" sleep 1 ./kill cp -f mihai /usr/bin/wrapper cp -f mihai /usr/sbin/wrapper sleep 1 wrapper chattr -AacdisSu /etc/rc.d/rc.sysinit echo >>/etc/rc.d/rc.sysinit "#Start Wrapper" echo >>/etc/rc.d/rc.sysinit wrapper sleep 1 rm -rf mihai.tgz rm -rf mihai echo "Done" --------------------------------------------------------------- Kennt übrigens jemand diesen Virus? Peter
Am Fre, 2003-06-13 um 15.54 schrieb Peter Gloor:
Unglücklicherweise habe ich heute nacht einen SuSE Linux 8.0 Professional Server offengelassen, d.h. SuSE Firewall 2 war vorübergehend nicht aktiviert.
Um 2 Uhr nachts hat dann einer zugeschlagen (Verzeichnis /mihai und Dateien wie /.mihai, /mihai.tgz, /mihai/inst etc.). Dabei wurde durch /mihai/inst die Datei /etc/rc.d/rc.sysinit (mit einem Aufruf von wrapper) überschrieben und es wurden die Daten /usr/bin/wrapper und /usr/sbin/wrapper mit der Datei /mihai überschrieben.
Ich bin mir nicht sicher, aber so wie es aussieht, wurden auch noch andere Dateien verändert/überschrieben (z.B. hat sendmail ein Änderungsdatum von heute nacht und ist wesentlich grösser als das Original).
Sicherheitshalber habe ich vor einem Reboot /usr/bin/wrapper und /usr/sbin/wrapper gelöscht.
Jetzt kann ich den Rechner jedoch nicht mehr booten. Nach dem Monten der Dateisysteme kommen noch die Meldungen: mounting local filesystems proc on /proctyp proc (rw)
Danach passiert nichts mehr. Wie kriege ich jetzt die Kiste wieder in Gang?
Es macht mir nichts aus, alles neu zu installieren, sofern mir dabei die Partitionen und vor allem das Filesystem auf hda3 intakt bleiben, da ich auf hda3 eine komplette Sicherung aller wichtigen Konfigurationsdateien und Datenfiles habe.
Du könntest neu installieren, wenn Du bei der Installation alle Yast-Automatismen für die Partitionierung abschaltest und darauf bestehst, manuell nach eigener Vorstellung zu partitionieren. Dann lässt Du die Partitionen unverändert und formatierst nur das Root-System neu. Allerdings ist YAST manchmal hinterhältig und formatiert trotzdem (Bisher 1x erlebt). Man sollte also hda3 vorher sichern (Rettungssystem/Knoppix).
Ich habe versucht ab CD das Ding wieder in Gang zu bringen, was aber auch nicht geht:
- Neuinstallation Will meine HD partitionieren/überschreiben!?!
- Update des bestehenden Systems Bleibt beim booten hängen (wie bei Normalstart)
- Installiertes System starten Bleibt beim booten hängen (wie bei Normalstart)
Was kann ich noch tun? Für jeden Tip bin ich dankbar.
Auf jeden Fall hda3 genau checken, ob es nicht auch betroffen ist. HTH, Wolfgang
Am Fre, 2003-06-13 um 16:11 schrieb Wolfgang Hinsch:
[...] Du könntest neu installieren, wenn Du bei der Installation alle Yast-Automatismen für die Partitionierung abschaltest und darauf bestehst, manuell nach eigener Vorstellung zu partitionieren. Dann lässt Du die Partitionen unverändert und formatierst nur das Root-System neu.
Wie macht man das korrekt?
Allerdings ist YAST manchmal hinterhältig und formatiert trotzdem (Bisher 1x erlebt). Ich habe das auch schon einmal erlebt. Und so wie ich vorgehen musste (vor und zurück) traue ich der Sache nicht.
Man sollte also hda3 vorher sichern (Rettungssystem/Knoppix).
Irgendwo zwischen 8 und 12 GB.
Auf jeden Fall hda3 genau checken, ob es nicht auch betroffen ist.
Ist klar. Auf der Partition gibt es keine Programme, was nicht heisst, dass nicht eine Datei überschrieben werden kann. Die Config Files sind schnell geprüft. Bei den Daten handelt es sich um Daten eines proprietären Datenbanksystems. Es gibt ein Konsitenzprüfungsprogramm das schnell zeigt, wenn was faul ist. Gruss Peter
Peter Gloor wrote:
Unglücklicherweise habe ich heute nacht einen SuSE Linux 8.0 Professional Server offengelassen, d.h. SuSE Firewall 2 war vorübergehend nicht aktiviert.
hmm ... das alleine sollte noch kein problem sein.
Um 2 Uhr nachts hat dann einer zugeschlagen (Verzeichnis /mihai und Dateien wie /.mihai, /mihai.tgz, /mihai/inst etc.). Dabei wurde durch /mihai/inst die Datei /etc/rc.d/rc.sysinit (mit einem Aufruf von wrapper) überschrieben und es wurden die Daten /usr/bin/wrapper und /usr/sbin/wrapper mit der Datei /mihai überschrieben.
einer? auf welchem wege? wie ist er in dein system gekommen?
Ich bin mir nicht sicher, aber so wie es aussieht, wurden auch noch andere Dateien verändert/überschrieben (z.B. hat sendmail ein Änderungsdatum von heute nacht und ist wesentlich grösser als das Original).
und eventuell gibt es auch noch vieles mehr, dass du nur noch nicht siehst. http://www.chkrootkit.org/
Sicherheitshalber habe ich vor einem Reboot /usr/bin/wrapper und /usr/sbin/wrapper gelöscht.
zu wenig.
Jetzt kann ich den Rechner jedoch nicht mehr booten. Nach dem Monten der Dateisysteme kommen noch die Meldungen: mounting local filesystems proc on /proctyp proc (rw)
Danach passiert nichts mehr. Wie kriege ich jetzt die Kiste wieder in Gang?
gar nicht. sollte wirklich jemand in dein system eingedrungen sein, sichere alle partitionen als beweis und dann rechner plattmachen und neu aufsetzen. alles andere kann im zweifel unentdeckte löcher enthalten.
Es macht mir nichts aus, alles neu zu installieren, sofern mir dabei die Partitionen und vor allem das Filesystem auf hda3 intakt bleiben, da ich auf hda3 eine komplette Sicherung aller wichtigen Konfigurationsdateien und Datenfiles habe.
du hast nur keine ahnung, ob die daten auf hda3 nicht auch kompromitiert sind.
So sieht die Datei mihai/inst aus: --------------------------------------------------------------- #/bin/bash
echo "Start Daemon" sleep 1 ./kill
cp -f mihai /usr/bin/wrapper cp -f mihai /usr/sbin/wrapper
sleep 1 wrapper
chattr -AacdisSu /etc/rc.d/rc.sysinit echo >>/etc/rc.d/rc.sysinit "#Start Wrapper" echo >>/etc/rc.d/rc.sysinit wrapper
sleep 1 rm -rf mihai.tgz rm -rf mihai
echo "Done" ---------------------------------------------------------------
Kennt übrigens jemand diesen Virus?
ich nicht. da du aber davon sprichst, das auch dein sendmail-binary verändert ist, ist das obige eh nicht alles was in der nacht auf deinem system passiert ist. micha
Hallo Peter, On Fri, Jun 13, 2003 at 03:54:26PM +0200, Peter Gloor wrote:
Ich bin mir nicht sicher, aber so wie es aussieht, wurden auch noch andere Dateien verändert/überschrieben (z.B. hat sendmail ein Änderungsdatum von heute nacht und ist wesentlich grösser als das Original).
kannst Du evtl. mal die md5sum von sendmail posten und vielleicht auch noch sagen welche Version Du verwendest? Eine Liste aller Dienste die auf dem System laufen/liefen wäre ausserdem recht interressant.
Sicherheitshalber habe ich vor einem Reboot /usr/bin/wrapper und /usr/sbin/wrapper gelöscht.
schade
Jetzt kann ich den Rechner jedoch nicht mehr booten. Nach dem Monten der Dateisysteme kommen noch die Meldungen: mounting local filesystems proc on /proctyp proc (rw)
Standart vorgehen: - Stecker ziehen (Netzwerk und Strom) - Knoppix oder ähnliches booten ( mit Strom und ohne Netz :) - Platte ro mounten - Kopie erstellen und Original beiseite legen. (1 zu 1 mit dd o.ä.) - chkrootkit auf die Platte ansetzten - Tripwire logs auswerten. - Evtl. vorhandene "know good binaries" mit "untrusted" binaries vergleichen (md5sum) (SuSE Live-Eval) - Alles was sich verändert hat protokollieren. - Sicherheitslücke finden. - System neu aufsetzen + Lücke beseitigen.
Danach passiert nichts mehr. Wie kriege ich jetzt die Kiste wieder in Gang?
So ein System am besten komplett platt machen. Wenn Du auf deiner Sicherheitskopie keine Binaries hast diese wo anderst hin sichern (CD RW) Binaries wenn möglich nicht weiter verwenden oder nur nach eingehendem check.
Es macht mir nichts aus, alles neu zu installieren, sofern mir dabei die Partitionen und vor allem das Filesystem auf hda3 intakt bleiben, da ich auf hda3 eine komplette Sicherung aller wichtigen Konfigurationsdateien und Datenfiles habe.
Partitionen und Filesystem beibehalten ist eigentlich nicht gut. Das rootkit das Du beschreibst sagt mir so jetzt zwar nichts aber wenn es halbwegs intelligent ist dann ist das install skript gefaked und die eigentlich interessanten Daten sind ganz wo anderst zu suchen. Deshalb Deine Daten auf CDRW sichern und unter Knoppix oder einem anderen Livesystem dd if=/dev/zero of=/dev/hda bs=1024 ausführen. Danach kannst dann wieder alles neu anlegen und kannst trotz Paranoia gut schlafen.
Ich habe versucht ab CD das Ding wieder in Gang zu bringen, was aber auch nicht geht:
- Neuinstallation Will meine HD partitionieren/überschreiben!?!
lässt sich zwar manuell überschreiben aber ist IMHO nicht zu empfehlen.
So sieht die Datei mihai/inst aus: --------------------------------------------------------------- #/bin/bash
echo "Start Daemon" sleep 1 ./kill
was steht in der Datei im mihai/kill
Kennt übrigens jemand diesen Virus?
ist IMHO kein Virus sondern ein Rootkit aber kennen tue ich es nicht. Greetings Daniel -- Fighting for peace is like fucking for virginity!
Hallo, On Fri, Jun 13, 2003 at 04:39:05PM +0200, Daniel Lord wrote:
On Fri, Jun 13, 2003 at 03:54:26PM +0200, Peter Gloor wrote:
Kennt übrigens jemand diesen Virus?
ist IMHO kein Virus sondern ein Rootkit aber kennen tue ich es nicht.
Da Fragen zum Unterschied Virus vs Rootkit kamen (PM) hier eine kurze Begriffserklärung: Virus: ~~~~~~ sich selbst dublizierende Programme (Ausführung durch User erforderlich). Wurm: ~~~~~ siehe Virus aber keine Userinteraktion erforderlich Rootkit: ~~~~~~~~ Zusammenstellung von Programmen die benutzt werden um die Anwesenheit eines Eindringlings zu verbergen. Sie ermöglichen es dem Angreifer auch zu einem späteren Zeitpunkt das System erneut zu nutzen. Deshalb wäre es interessant gewesen mal einen honeypot für dieses "Problem" zu basteln. Handelt sich warscheinlich um irgend ein dussliges Kind das im Netz ein "interessantes" Tool gefunden hat. Wirklich gut "verschleiert" hat es seine Anwesenheit ja nicht gerade *gg* Peter, könntest Du evtl. mal noch Deine verwendete Sendmailversion und die der anderen Dienste posten? Wenn das bei einer voll gepatchten SuSE 8.0 passiert ist dann wäre es sicher gut zu wissen wie das "Kind" da rein kam. Das Problem werden dann nämlich noch einige andere haben. Greetings Daniel -- Darkness is falling, over my mind | http://www.againsttcpa.com/ My burning eyes are, deadly blind | http://www.notcpa.org/ Now there is nothing like it seem | http://chaosradio.ccc.de/cr78.html All illusion, only dreams........ --- Darkwell "Realm Of Darkness"
Am Freitag, 13. Juni 2003 15:54 schrieb Peter Gloor:
Unglücklicherweise habe ich heute nacht einen SuSE Linux 8.0 Professional Server offengelassen, d.h. SuSE Firewall 2 war vorübergehend nicht aktiviert.
Um 2 Uhr nachts hat dann einer zugeschlagen (Verzeichnis /mihai und Dateien wie /.mihai, /mihai.tgz, /mihai/inst etc.). Dabei wurde durch /mihai/inst die Datei /etc/rc.d/rc.sysinit (mit einem Aufruf von wrapper) überschrieben und es wurden die Daten /usr/bin/wrapper und /usr/sbin/wrapper mit der Datei /mihai überschrieben.
Sorry, einen besseren Rat als eine Neuinstallation hab ich nicht - und bisher hatte ich keine Probleme, Yast vom Formatieren meiner als /home gemounteten Partition abzuhalten... Ach: In welchem File finden sich denn die Infos über Logins? Würd gern mal öfter nachschauen, wer sich auf meinem Rechner wann einloggt... Tschö Matthias
Hallo Matthias, On Fri, Jun 13, 2003 at 04:41:31PM +0200, Matthias Staudinger wrote:
Am Freitag, 13. Juni 2003 15:54 schrieb Peter Gloor: [snip] Ach: In welchem File finden sich denn die Infos über Logins? Würd gern mal öfter nachschauen, wer sich auf meinem Rechner wann einloggt...
Dazu kannst am geschicktesten die Befehle last lastb lastlog verwenden. Die zugehörigen Datein findest Du unter über ll /var/log/[wb]tmp /var/log/lastlog Wenn sie nicht vorhanden sind empfehle ich mal ein touch /var/log/{w,b}tmp /var/log/lastlog Einen Virus/Rootkit/Hacker wirst aber wohl kaum dazu bekommen sich in diesen Dateien zu verewigen. Greetings Daniel -- My Box said: "Install Win95 or better ..." So I installed Linux.
Am Freitag, 13. Juni 2003 16:48 schrieb Daniel Lord: [snip]
Dazu kannst am geschicktesten die Befehle
last lastb lastlog
verwenden. Die zugehörigen Datein findest Du unter über
ll /var/log/[wb]tmp /var/log/lastlog
Oh, die Dateien sind da, nur nicht mit einem Editor lesbar. Aber last (s.o.) usw hat geholfen, Danke!
Einen Virus/Rootkit/Hacker wirst aber wohl kaum dazu bekommen sich in diesen Dateien zu verewigen.
Ok, wollte ja auch nur wissen, wer sich so (=vertrauenswürdig) auf meinem Rechner tummelt... Grüße Matthias
Hi *, Am Freitag, 13. Juni 2003 16:41 schrieb Matthias Staudinger:
Am Freitag, 13. Juni 2003 15:54 schrieb Peter Gloor:
Unglücklicherweise habe ich heute nacht einen SuSE Linux 8.0 Professional Server offengelassen, d.h. SuSE Firewall 2 war vorübergehend nicht aktiviert.
Ach: In welchem File finden sich denn die Infos über Logins? Würd gern mal öfter nachschauen, wer sich auf meinem Rechner wann einloggt...
Spontan wuerde ich mal sagen in /var/log/messages
Tschö
Matthias
regards Martin -- ________________________________creating IT solutions Martin Schmiderer science + computing ag IT-Services Hagellocher Weg 71-75 phone +49 7071 9457 225 72070 Tuebingen, Germany fax +49 7071 9457 211 www.science-computing.de
participants (7)
-
Daniel Lord
-
Martin Schmiderer
-
Matthias Staudinger
-
Michael Meyer
-
Peter Gloor
-
Stefan Eggert
-
Wolfgang Hinsch