Daniel Lord schrieb:
Hi,
On Thu, 25 Aug 2005, Bernd Obermayr wrote:
Daniel Lord schrieb:
[erster google treffer] iroffer is a software program that acts as a fileserver for IRC. It is similar to a FTP server or WEB server, but users can download files using the DCC protocol of IRC instead of a web browser.
Genau das hab ich auch gefunden, das klingt aber doch noch recht harmlos ;)
ist es auch. Es ist nur ein Programm mit dem Warez, Pr0n oder was auch immer das "Herz begehrt" von diversen release groups auf "billige Server gestellt wird. Tröstlich :-/
rootkit, gut, nicht ums verrecken ist mir der Begriff eingefallen :) Nun weiss ich wieder wie das Tool hiess: chkrootkit Nützt es noch was, damit den server zu checken?
jein, wenn du was findest gut. Wenn du nichts findest heißt das nur, dass das rootkit besser als chkrootkit oder einfach nur unbekannt ist.
Habs jetzt einfach mal installiert und probiert, hier die letzten Zeilen (vorher nur ..nothing found)
Searching for Madalin rootkit default files... Possible Madalin rootkit installed
ok, Madalin rootkit damit hat das Kind evtl. schon einen Namen.
Checking `bindshell'... INFECTED (PORTS: 4000)
auf port 4000 hast du eine weitere Möglichkeit deinen Server zu administrien wie mir scheint.
Nicht dass ich wüsste..
Checking `lkm'... You have 81 process hidden for ps command
IMHO versteckt SuSEs ps selber Prozesse sonst ist das auf jedenfall kein gutes Zeichen ;)
frx:~/bin/chkrootkit-0.45 # ./chkrootkit -x lkm ROOTDIR is `/' ### ### Output of: ./chkproc -v -v -p 1 ### [...] PID 1254: not in ps output CWD 1254: /dev/net/.../work/fedssh2 (deleted) EXE 1254: /bin/bash PID 1424: not in ps output CWD 1424: /dev/net/.../work/fedssh2 (deleted) EXE 1424: /dev/net/.../work/fedssh2/exploit (deleted) PID 2250: not in ps output CWD 2250: /dev/net/.../work/fedssh2 (deleted) EXE 2250: /dev/net/.../work/fedssh2/exploit (deleted) PID 14295: not in ps output CWD 14295: / EXE 14295: /usr/bin/smbd -D PID 14306: not in ps output CWD 14306: /tmp/.../.../parliament (deleted) [...] PID 15322: not in ps output CWD 15322: /dev/net/.../personal/iroffer (deleted) EXE 15322: /dev/net/.../personal/iroffer/kjournald (deleted) [...] PID 20473: not in ps output CWD 20473: /dev/net/.../personal/iroffer (deleted) EXE 20473: /dev/net/.../personal/iroffer/kjournald (deleted) PID 20783: not in ps output CWD 20783: /dev/net/.../personal/iroffer (deleted) EXE 20783: /dev/net/.../personal/iroffer/kjournald (deleted) usw.
chkproc: Warning: Possible LKM Trojan installed
Aha, jetzt wird es schon interessanter. Es scheint als wäre ein spezielles Kernelmodul geladen, das dem Angreifer die Arbeit erleichtert. Allerdings wundert mich dann, dass du das rootkit gefunden hast. Ist das Modul brauchbar findest du auf einem normalen System genau gar nichts davon.
Checking `sniffer'... eth0: PROMISC PF_PACKET(/usr/sbin/pppd, /usr/sbin/dhcpd) eth1: PF_PACKET(/usr/sbin/pppd)
das ist noch normal.
Checking `chkutmp'... the name `ty,pid,ruser,args' is not a tty
da hat jemand an /var/log/utmp gespielt und was kaputt gemacht.
Ja die Datei ist weg.
Diese Dateien lassen sich nicht löschen!
sehr gut. Kannst du mir die dann mal bitte per PM zuschicken? Danach sag ich dir dann auch wie du die wieder los wirst *g*
Okay ;)
chattr -i <datei> rm -f <datei>
Das hab ich schon versucht, geht nicht.. frx:/dev/net/.../kent # chattr -i ls frx:/dev/net/.../kent # mv ls ls-bad mv: cannot move `ls' to `ls-bad': Permission denied frx:/dev/net/.../kent # rm ls rm: cannot remove `ls': Permission denied frx:/dev/net/.../kent # frx:/dev/net # lsattr -R ... suS--adAc------ .../kent .../kent: --------------- .../kent/netstat --------------- .../kent/ps --------------- .../kent/ls --------------- .../kent/top --------------- .../kent/pstree --------------- .../kent/syslog.conf --------------- .../kent/socklist --------------- .../personal .../personal: --------------- .../work .../work: --------------- .../ibico
aber bitte vorher sichern ;)
Zum Hintergrund: Ich habe den Kunden vor 2 Mon. übernommen, der Server war offen wie ein Scheunentor.
Damit ist dann auch klar, dass das rootkit da schon etwas länger drauf ist. Du hast nicht zufällig ein kernelupdate gemacht, oder es
Doch uname -r 2.4.20-4GB-athlon Vorher war da glaube ich, 2.4.18-4GB
irgendwie anderst hinbekommen das LKM zu entladen? ;) Eine weitere wahrscheinliche Möglichkeit ist ein Angriff von innen. Das ist IMHO ausgeschlossen.
[...] Geiz ist geil... Die DSL Flat kostet nichts und das "bischen" zusätzlicher Traffic ist zu aktzeptieren *g*
Schön doof, naja ich hab ja was davon ;)
Ich muss also den Server neu installieren.
ja definitiv. Vorher mußt du aber zuerst herausfinden wie der Angreifer auf dein System kam.
Genau, deswegen frag ich ja ;)
1. Herausfinden wann der Einbruch stattfand. ls -l <rootkit> /var/log/* # alles zusammensuchen was irgendwie interessant ist. ...
2. Herausfinden wie der Angreifer auf das System kam /var/log # (remote syslog oder Glück)
Okay :)
...
In deinem Fall dürfte das Apache und Mysql Log wahrscheinlich interessant sein.
3. Angreifer beobachten. - eigenes LKM (umständlich) Hab grad ein Brett vorm Kopf: LKM was ist das? - tty logger - tcpdump auf einem weiteren System mitlaufen lassen. ...
[...]
Portscan von aussen zeigt nur ssh an. Mehr wurde nicht geprüft, der Kunde hielt das für unnötig.
portscan? nmap? Wenn nmap, dann mit welchen Optionen?
nmap -sT -p- -P0 Gerade eben: Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-08-25 21:15 CEST Interesting ports on <Adresse gelöscht> (The 65532 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 35721/tcp open unknown Der letzte Port war da vorher nicht :( /var/log/firewall: Aug 11 23:19:54 frx kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=85.186.224.83 DST=84.150.214.196 LEN=48 TO S=0x00 PREC=0x00 TTL=120 ID=32877 DF PROTO=TCP SPT=2936 DPT=35721 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (02040 5AC01010402) Aug 11 23:19:55 frx kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=85.186.224.83 DST=84.150.214.196 LEN=48 TO S=0x00 PREC=0x00 TTL=120 ID=32878 DF PROTO=TCP SPT=2936 DPT=35721 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (02040 5AC01010402) Aug 11 23:19:56 frx kernel: SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=85.186.224.83 DST=84.150.214.196 LEN=48 TO S=0x00 PREC=0x00 TTL=120 ID=32880 DF PROTO=TCP SPT=2936 DPT=35721 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (02040 5AC01010402) [...] Aug 11 23:27:53 frx kernel: eth0: Promiscuous mode enabled. Aug 11 23:27:55 frx kernel: eth0: Promiscuous mode enabled. Aug 11 23:27:55 frx kernel: Kernel logging (proc) stopped. Aug 11 23:27:55 frx kernel: Kernel log daemon terminating. Da wird man ja richtig zum Detektiv ;)
Wenn der Rechner vom Angreifer wirklich benutzt und nicht nur gekapter wurde, dann kannst du den Einbruchszeitpunkt anhand des entstandenen/abgerechneten Traffics ermitteln. Ausserdem sollten sich dann auf dem Rechner noch einige wahrscheinlich recht große Dateien finden, die da nichts zu suchen haben.
Ja die such ich mal.
Greetings Daniel
-- Gruss Bernd