Hi, On Thu, 25 Aug 2005, Bernd Obermayr wrote:
SuSE 8.2, alle Updates gemacht
[...]
Als ich den syslogd restarten wollte kam eine Meldung von einem Programm iroffer [1]
[erster google treffer] iroffer is a software program that acts as a fileserver for IRC. It is similar to a FTP server or WEB server, but users can download files using the DCC protocol of IRC instead of a web browser.
ibico kent personal work In kent die Dateien: ls netstat ps pstree socklist syslog.conf top
d.h. auf deinem System sind jetzt Dateien eines (schlechten) rootkits installiert. Und mindestens die oben angegebenen Befehle sind kompromitiert.
In /usr/share gibts die Datei ... mit dem Inhalt:
cd /dev/net/.../personal/iroffer
chown lp.lp .* *
./kjournald -u lp a.c -b
cd /
das ist der "versteckte" Aufruf eines "Schadprogrammes". Sprich du hast einfach nur einen kjournald mehr in ps. Allerdings frage ich mich dann, wieso das rootkit ps ausgetauscht hat, wenn nachher doch noch solche seltsamen "Tricks" angewendet werden.
Diese Dateien lassen sich nicht löschen!
sehr gut. Kannst du mir die dann mal bitte per PM zuschicken? Danach sag ich dir dann auch wie du die wieder los wirst *g*
Also das Fragezeichen im Subject hätte ich mir wohl sparen können ;)
jup
Der Server wurde offensichtlich gehackt, vermutlich am 11.8.05 um 23:11.
Ich konnte bisher keinerlei Hinweise auf iroffer und Linux finden Unter Windows scheint das bekannt zu sein.
s.o.
Ich muss also den Server neu installieren.
ja definitiv. Vorher mußt du aber zuerst herausfinden wie der Angreifer auf dein System kam.
Die Frage ist, wie wurde der Server gehackt? Der einzige nach Aussen offene port ist ssh, der einzige erlaubte user ist unprivilegiert und ist mittels keyfile abgesichert. Das Passwort ist nicht trivial ;)
a) openssh hat einen noch unbekannten "bug" b) du hast uns angelogen :)
Die Neuinstallation werde ich wohl nutzen um auf SuSE 9.1 umzusteigen. Die Frage ist welche Teile der Konfiguration sind gehackt?
im Zweifelsfall alle.
Es läuft postfix, dhcp, bind9, samba-2.2.8.a, squid, apache,
da fallen mir dann doch gleich mal bind9, samba und apache sehr negativ auf ;) Wie sicher bist du, dass der Angreifer nicht über einen dieser Dienste kam?
ssh, yp, postgres, xinetd, mysql und die sonstigen Standarddienste
mysql das selbe Spiel.
Wo finde ich Informationen dazu?
Informationen wozu? Welchen Teil der cfg du weiter benutzen kannst? Im allgemeinen darfst du von einem kompromitierten Rechner nichts wiederverwenden. Die Platten müssen vor der Neuinstallation an einem anderen System komplett genullt werden (dd if=/dev/zero) Das Bios solltest du zurücksetzen bzw. mit etwas das einwandfreiem ersetzen. Allerdings hört sich deine Beschreibung nicht so an, als wäre das ein "ernstzunehmender" Hack. Sprich Scriptkiddie on Tour.
[2] In diesen Verzeichnissen waren auch Dateien die ich aber gelöscht habe.
falscher Fehler. Wenn du deine "Beweise" löschst, wie willst du dann herausfinden, wie der Angreifer in dein System kam? Greetings Daniel -- If you don't think that women are explosive then drop one.