Jürgen Fahnenschreiber wrote:
Am Freitag, 24. Oktober 2003 20:50 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
[...]
Hier ist das Ergebnis von chkrootkit:
[...] Ok. Soweit sieht das ja alles gar nicht schlecht aus, aber hast Du auch die System-Binaries von einer 'sauberen' Quelle benutzt? Mal angenommen, dass Dein Host gehackt worden ist und es wurde bereits ein Rootkit installiert wäre es u.U. denkbar, (bzw. wahrscheinlich) dass chkrootkit die Infektion gar nicht mitbekommt. Die Zeile PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0 bedeutet, dass Deine Netzwerkinterfaces sich im PROMISC Mode befinden (Die Netzwerkkarte fühlt sich dann für alle Pakete die an Ihr vorbeikommen 'verantwortlich' und ermöglicht das mitloggen dieser Pakete). Dies könnte auf einen Netzwerksniffer hindeuten. Wenn Du also nicht selbst bewusst irgendwelche Software wie z.B. Ethereal oder Tcpdump (Ich *glaube* mal, das beide Programme diesen Modus unterstützen/voraussetzen) einsetzt, dann wäre das ein Iniz dafür, dass jemand Interesse an Deinem Host gefunden hat. Das ausspähen Deines Netzwerkverkehrs ermöglicht es dem Eindringling z.B. die i.d.R. unverschlüsselt übermittelten POP3-Kennwörter auszuspähen oder z.B. die oft nur MIME64 encodierten Webkennwörter, usw. Wann waren die ersten Anzeichen / Anomalien zu sehen? Wie war die Firewall konfiguriert? Welche Ports waren offen? Hast Du Die Möglchkeit Deinen Host von ausserhalb zu Scannen? Wurden neue User angelegt? Wann hat sich zuletzt jmd. erfolgreich eingeloggt ( # last ) Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen: awk, cut, echo, egrep, find, head, id, ls, netstat, ps, sed, strings, uname und übergib den Pfad der CD beim Aufruf von chkrootkit: ./chkrootkit -r /mnt/cdrom/bin (wenn sich die Files im Directory /bin auf der CD befinden) Gruß Sascha