Mailinglist Archive: opensuse-de (2118 mails)

< Previous Next >
Re: iroffer Server gehackt?
  • From: Daniel Lord <d_lord@xxxxxx>
  • Date: Thu, 25 Aug 2005 17:59:55 +0200
  • Message-id: <20050825155955.GB8898@xxxxxx>
Hi,

On Thu, 25 Aug 2005, Bernd Obermayr wrote:
> Daniel Lord schrieb:
> > [erster google treffer]
> > iroffer is a software program that acts as a fileserver for IRC. It
> > is similar to a FTP server or WEB server, but users can download
> > files using the DCC protocol of IRC instead of a web browser.
> Genau das hab ich auch gefunden, das klingt aber doch noch
> recht harmlos ;)

ist es auch. Es ist nur ein Programm mit dem Warez, Pr0n oder was
auch immer das "Herz begehrt" von diversen release groups auf
"billige Server gestellt wird.

> rootkit, gut, nicht ums verrecken ist mir der Begriff eingefallen :)
> Nun weiss ich wieder wie das Tool hiess: chkrootkit
> Nützt es noch was, damit den server zu checken?

jein, wenn du was findest gut. Wenn du nichts findest heißt das nur,
dass das rootkit besser als chkrootkit oder einfach nur unbekannt
ist.

> Habs jetzt einfach mal installiert und probiert,
> hier die letzten Zeilen
> (vorher nur ..nothing found)
>
> Searching for Madalin rootkit default files... Possible Madalin
> rootkit installed

ok, Madalin rootkit damit hat das Kind evtl. schon einen Namen.

> Checking `bindshell'... INFECTED (PORTS: 4000)

auf port 4000 hast du eine weitere Möglichkeit deinen Server zu
administrien wie mir scheint.

> Checking `lkm'... You have 81 process hidden for ps command

IMHO versteckt SuSEs ps selber Prozesse sonst ist das auf jedenfall
kein gutes Zeichen ;)

> chkproc: Warning: Possible LKM Trojan installed

Aha, jetzt wird es schon interessanter. Es scheint als wäre ein
spezielles Kernelmodul geladen, das dem Angreifer die Arbeit
erleichtert. Allerdings wundert mich dann, dass du das rootkit
gefunden hast. Ist das Modul brauchbar findest du auf einem normalen
System genau gar nichts davon.

> Checking `sniffer'... eth0: PROMISC PF_PACKET(/usr/sbin/pppd,
> /usr/sbin/dhcpd)
> eth1: PF_PACKET(/usr/sbin/pppd)

das ist noch normal.

> Checking `chkutmp'... the name `ty,pid,ruser,args' is not a tty

da hat jemand an /var/log/utmp gespielt und was kaputt gemacht.

> >>Diese Dateien lassen sich nicht löschen!
> >
> >
> > sehr gut. Kannst du mir die dann mal bitte per PM zuschicken? Danach
> > sag ich dir dann auch wie du die wieder los wirst *g*
> Okay ;)

chattr -i <datei>
rm -f <datei>

aber bitte vorher sichern ;)

> Zum Hintergrund: Ich habe den Kunden vor 2 Mon. übernommen, der
> Server war offen wie ein Scheunentor.

Damit ist dann auch klar, dass das rootkit da schon etwas länger
drauf ist. Du hast nicht zufällig ein kernelupdate gemacht, oder es
irgendwie anderst hinbekommen das LKM zu entladen? ;)
Eine weitere wahrscheinliche Möglichkeit ist ein Angriff von innen.

> Ich habe damals die Firewall neu konfiguriert (SuSEFirewall).
> Habe dem Kunden empfohlen, einen DSL Router mit Firewall oder
> eine spezielle Firewall zu kaufen und/oder einen Security Experten
> zu Rate zu ziehen (Ich bin keiner)
> Der Kunden hielt das für zu teuer... Auch weitere Prüfungen von mir
> wollte er nicht: "Es ist doch jetzt schon Jahre gelaufen..."
> Der Server ist 80km von mir weg, ich habe das alles jetzt per
> ssh Login ermittelt. Vor Ort bin ich erst am Samstag.

Geiz ist geil... Die DSL Flat kostet nichts und das "bischen"
zusätzlicher Traffic ist zu aktzeptieren *g*

> >>Ich muss also den Server neu installieren.
> >
> >
> > ja definitiv. Vorher mußt du aber zuerst herausfinden wie der
> > Angreifer auf dein System kam.
> Genau, deswegen frag ich ja ;)

1. Herausfinden wann der Einbruch stattfand.
ls -l <rootkit>
/var/log/* # alles zusammensuchen was irgendwie interessant ist.
...

2. Herausfinden wie der Angreifer auf das System kam
/var/log # (remote syslog oder Glück)
...

In deinem Fall dürfte das Apache und Mysql Log wahrscheinlich
interessant sein.

3. Angreifer beobachten.
- eigenes LKM (umständlich)
- tty logger
- tcpdump auf einem weiteren System mitlaufen lassen.
...


> Grad eben hab ich in der Ausgabe von last noch was entdeckt:

[...]

> service pts/0 h164-61-59-39.se Sun Apr 17 17:07 - 17:07 (00:00)
>
> Also wohl schon im April gehackt.
> Den User service gibt es nicht.

das war nicht zufällig der Account des vorherigen Admins? Wenn ja
dann ist er ziemlich weit rumgekommen ;) Amiland, Korea, ...

> >>Die Neuinstallation werde ich wohl nutzen um auf SuSE 9.1
> >>umzusteigen. Die Frage ist welche Teile der Konfiguration
> >>sind gehackt?
> >
> >
> > im Zweifelsfall alle.
> grrrrrrrrr

naja, so schlimm ist das nicht. Du mußt die cfg Dateien sowieso von
Hand durchgehen und an die neue SuSE anpassen. Btw. willst du nicht
lieber ein Debian oder Trustix nehmen? ;)

> Portscan von aussen zeigt nur ssh an.
> Mehr wurde nicht geprüft, der Kunde hielt das für unnötig.

portscan? nmap? Wenn nmap, dann mit welchen Optionen?

Wenn der Rechner vom Angreifer wirklich benutzt und nicht nur
gekapter wurde, dann kannst du den Einbruchszeitpunkt anhand des
entstandenen/abgerechneten Traffics ermitteln. Ausserdem sollten
sich dann auf dem Rechner noch einige wahrscheinlich recht große
Dateien finden, die da nichts zu suchen haben.

Greetings Daniel
--
"Every living thing dies alone." -- Donnie Darko

< Previous Next >
Follow Ups