Hi, On Thu, 25 Aug 2005, Bernd Obermayr wrote:
Daniel Lord schrieb:
[erster google treffer] iroffer is a software program that acts as a fileserver for IRC. It is similar to a FTP server or WEB server, but users can download files using the DCC protocol of IRC instead of a web browser. Genau das hab ich auch gefunden, das klingt aber doch noch recht harmlos ;)
ist es auch. Es ist nur ein Programm mit dem Warez, Pr0n oder was auch immer das "Herz begehrt" von diversen release groups auf "billige Server gestellt wird.
rootkit, gut, nicht ums verrecken ist mir der Begriff eingefallen :) Nun weiss ich wieder wie das Tool hiess: chkrootkit Nützt es noch was, damit den server zu checken?
jein, wenn du was findest gut. Wenn du nichts findest heißt das nur, dass das rootkit besser als chkrootkit oder einfach nur unbekannt ist.
Habs jetzt einfach mal installiert und probiert, hier die letzten Zeilen (vorher nur ..nothing found)
Searching for Madalin rootkit default files... Possible Madalin rootkit installed
ok, Madalin rootkit damit hat das Kind evtl. schon einen Namen.
Checking `bindshell'... INFECTED (PORTS: 4000)
auf port 4000 hast du eine weitere Möglichkeit deinen Server zu administrien wie mir scheint.
Checking `lkm'... You have 81 process hidden for ps command
IMHO versteckt SuSEs ps selber Prozesse sonst ist das auf jedenfall kein gutes Zeichen ;)
chkproc: Warning: Possible LKM Trojan installed
Aha, jetzt wird es schon interessanter. Es scheint als wäre ein spezielles Kernelmodul geladen, das dem Angreifer die Arbeit erleichtert. Allerdings wundert mich dann, dass du das rootkit gefunden hast. Ist das Modul brauchbar findest du auf einem normalen System genau gar nichts davon.
Checking `sniffer'... eth0: PROMISC PF_PACKET(/usr/sbin/pppd, /usr/sbin/dhcpd) eth1: PF_PACKET(/usr/sbin/pppd)
das ist noch normal.
Checking `chkutmp'... the name `ty,pid,ruser,args' is not a tty
da hat jemand an /var/log/utmp gespielt und was kaputt gemacht.
Diese Dateien lassen sich nicht löschen!
sehr gut. Kannst du mir die dann mal bitte per PM zuschicken? Danach sag ich dir dann auch wie du die wieder los wirst *g* Okay ;)
chattr -i <datei> rm -f <datei> aber bitte vorher sichern ;)
Zum Hintergrund: Ich habe den Kunden vor 2 Mon. übernommen, der Server war offen wie ein Scheunentor.
Damit ist dann auch klar, dass das rootkit da schon etwas länger drauf ist. Du hast nicht zufällig ein kernelupdate gemacht, oder es irgendwie anderst hinbekommen das LKM zu entladen? ;) Eine weitere wahrscheinliche Möglichkeit ist ein Angriff von innen.
Ich habe damals die Firewall neu konfiguriert (SuSEFirewall). Habe dem Kunden empfohlen, einen DSL Router mit Firewall oder eine spezielle Firewall zu kaufen und/oder einen Security Experten zu Rate zu ziehen (Ich bin keiner) Der Kunden hielt das für zu teuer... Auch weitere Prüfungen von mir wollte er nicht: "Es ist doch jetzt schon Jahre gelaufen..." Der Server ist 80km von mir weg, ich habe das alles jetzt per ssh Login ermittelt. Vor Ort bin ich erst am Samstag.
Geiz ist geil... Die DSL Flat kostet nichts und das "bischen" zusätzlicher Traffic ist zu aktzeptieren *g*
Ich muss also den Server neu installieren.
ja definitiv. Vorher mußt du aber zuerst herausfinden wie der Angreifer auf dein System kam. Genau, deswegen frag ich ja ;)
1. Herausfinden wann der Einbruch stattfand. ls -l <rootkit> /var/log/* # alles zusammensuchen was irgendwie interessant ist. ... 2. Herausfinden wie der Angreifer auf das System kam /var/log # (remote syslog oder Glück) ... In deinem Fall dürfte das Apache und Mysql Log wahrscheinlich interessant sein. 3. Angreifer beobachten. - eigenes LKM (umständlich) - tty logger - tcpdump auf einem weiteren System mitlaufen lassen. ...
Grad eben hab ich in der Ausgabe von last noch was entdeckt:
[...]
service pts/0 h164-61-59-39.se Sun Apr 17 17:07 - 17:07 (00:00)
Also wohl schon im April gehackt. Den User service gibt es nicht.
das war nicht zufällig der Account des vorherigen Admins? Wenn ja dann ist er ziemlich weit rumgekommen ;) Amiland, Korea, ...
Die Neuinstallation werde ich wohl nutzen um auf SuSE 9.1 umzusteigen. Die Frage ist welche Teile der Konfiguration sind gehackt?
im Zweifelsfall alle. grrrrrrrrr
naja, so schlimm ist das nicht. Du mußt die cfg Dateien sowieso von Hand durchgehen und an die neue SuSE anpassen. Btw. willst du nicht lieber ein Debian oder Trustix nehmen? ;)
Portscan von aussen zeigt nur ssh an. Mehr wurde nicht geprüft, der Kunde hielt das für unnötig.
portscan? nmap? Wenn nmap, dann mit welchen Optionen? Wenn der Rechner vom Angreifer wirklich benutzt und nicht nur gekapter wurde, dann kannst du den Einbruchszeitpunkt anhand des entstandenen/abgerechneten Traffics ermitteln. Ausserdem sollten sich dann auf dem Rechner noch einige wahrscheinlich recht große Dateien finden, die da nichts zu suchen haben. Greetings Daniel -- "Every living thing dies alone." -- Donnie Darko