Daniel Lord schrieb:
Hi,
On Thu, 25 Aug 2005, Bernd Obermayr wrote:
SuSE 8.2, alle Updates gemacht
[...]
Als ich den syslogd restarten wollte kam eine Meldung von einem Programm iroffer [1]
[erster google treffer] iroffer is a software program that acts as a fileserver for IRC. It is similar to a FTP server or WEB server, but users can download files using the DCC protocol of IRC instead of a web browser. Genau das hab ich auch gefunden, das klingt aber doch noch recht harmlos ;)
ibico kent personal work In kent die Dateien: ls netstat ps pstree socklist syslog.conf top
d.h. auf deinem System sind jetzt Dateien eines (schlechten) rootkits installiert. Und mindestens die oben angegebenen Befehle sind kompromitiert.
grr
In /usr/share gibts die Datei ... mit dem Inhalt:
cd /dev/net/.../personal/iroffer
chown lp.lp .* *
./kjournald -u lp a.c -b
cd /
das ist der "versteckte" Aufruf eines "Schadprogrammes". Sprich du hast einfach nur einen kjournald mehr in ps. Allerdings frage ich mich dann, wieso das rootkit ps ausgetauscht hat, wenn nachher doch noch solche seltsamen "Tricks" angewendet werden.
hm? rootkit, gut, nicht ums verrecken ist mir der Begriff eingefallen :) Nun weiss ich wieder wie das Tool hiess: chkrootkit Nützt es noch was, damit den server zu checken? Habs jetzt einfach mal installiert und probiert, hier die letzten Zeilen (vorher nur ..nothing found) Searching for Madalin rootkit default files... Possible Madalin rootkit installed Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... INFECTED (PORTS: 4000) Checking `lkm'... You have 81 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... eth0: PROMISC PF_PACKET(/usr/sbin/pppd, /usr/sbin/dhcpd) eth1: PF_PACKET(/usr/sbin/pppd) ppp0: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `chkutmp'... the name `ty,pid,ruser,args' is not a tty chkutmp: nothing deleted
Diese Dateien lassen sich nicht löschen!
sehr gut. Kannst du mir die dann mal bitte per PM zuschicken? Danach sag ich dir dann auch wie du die wieder los wirst *g*
Okay ;) Zum Hintergrund: Ich habe den Kunden vor 2 Mon. übernommen, der Server war offen wie ein Scheunentor. Ich habe damals die Firewall neu konfiguriert (SuSEFirewall). Habe dem Kunden empfohlen, einen DSL Router mit Firewall oder eine spezielle Firewall zu kaufen und/oder einen Security Experten zu Rate zu ziehen (Ich bin keiner) Der Kunden hielt das für zu teuer... Auch weitere Prüfungen von mir wollte er nicht: "Es ist doch jetzt schon Jahre gelaufen..." Der Server ist 80km von mir weg, ich habe das alles jetzt per ssh Login ermittelt. Vor Ort bin ich erst am Samstag.
Ich muss also den Server neu installieren.
ja definitiv. Vorher mußt du aber zuerst herausfinden wie der Angreifer auf dein System kam. Genau, deswegen frag ich ja ;)
Die Frage ist, wie wurde der Server gehackt? Der einzige nach Aussen offene port ist ssh, der einzige erlaubte user ist unprivilegiert und ist mittels keyfile abgesichert. Das Passwort ist nicht trivial ;)
a) openssh hat einen noch unbekannten "bug" b) du hast uns angelogen :) *g* a) Möglich b) Nein
Grad eben hab ich in der Ausgabe von last noch was entdeckt: service pts/8 16.204-78-194.ad Thu Aug 11 23:22 - 23:22 (00:00) service pts/7 16.204-78-194.ad Thu Aug 11 23:12 - 23:22 (00:09) service pts/6 210.119.106.76 Thu Aug 11 23:10 - 23:21 (00:10) service pts/6 81.181.206.99 Tue Aug 9 21:13 - 21:17 (00:03) service pts/6 81.181.206.99 Tue Aug 9 14:55 - 16:17 (01:21) service pts/6 tor149-99-40-226 Sun Aug 7 11:28 - 11:28 (00:00) service pts/2 81.181.206.99 Sat Jul 23 16:25 - 16:30 (00:04) service pts/1 81-223-132-210.x Sat Jul 23 16:24 - 17:27 (01:02) service pts/1 193.230.222.148 Wed Jul 6 22:26 - 22:27 (00:00) service pts/2 193.230.222.148 Wed Jul 6 21:19 - 22:23 (01:03) service pts/1 buswalnut.colora Wed Jul 6 21:15 - 21:36 (00:21) service pts/2 82.155.62.175 Tue Jun 21 07:22 - 10:42 (03:19) service pts/1 d047154.adsl.han Tue Jun 21 07:22 - 07:23 (00:01) service pts/0 218.159.70.18 Wed Apr 27 16:09 - 16:09 (00:00) service pts/0 h164-61-59-39.se Sun Apr 17 17:07 - 17:07 (00:00) Also wohl schon im April gehackt. Den User service gibt es nicht.
Die Neuinstallation werde ich wohl nutzen um auf SuSE 9.1 umzusteigen. Die Frage ist welche Teile der Konfiguration sind gehackt?
im Zweifelsfall alle.
grrrrrrrrr
Es läuft postfix, dhcp, bind9, samba-2.2.8.a, squid, apache,
da fallen mir dann doch gleich mal bind9, samba und apache sehr negativ auf ;) Wie sicher bist du, dass der Angreifer nicht über einen dieser Dienste kam?
Portscan von aussen zeigt nur ssh an. Mehr wurde nicht geprüft, der Kunde hielt das für unnötig.
ssh, yp, postgres, xinetd, mysql und die sonstigen Standarddienste
mysql das selbe Spiel.
Wo finde ich Informationen dazu?
Informationen wozu? Welchen Teil der cfg du weiter benutzen kannst? Im allgemeinen darfst du von einem kompromitierten Rechner nichts wiederverwenden. Die Platten müssen vor der Neuinstallation an einem anderen System komplett genullt werden (dd if=/dev/zero) Das Bios solltest du zurücksetzen bzw. mit etwas das einwandfreiem ersetzen. Allerdings hört sich deine Beschreibung nicht so an, als wäre das ein "ernstzunehmender" Hack. Sprich Scriptkiddie on Tour.
[2] In diesen Verzeichnissen waren auch Dateien die ich aber gelöscht habe.
falscher Fehler. Wenn du deine "Beweise" löschst, wie willst du dann herausfinden, wie der Angreifer in dein System kam?
Hm, ja. Erstens wollte ich schnell die Funktion des Hacks zerstören. Zweitens dachte ich da noch, die entsprechenden Info's wären im Netz leicht zu finden :( Drittens, /var/log/messages und warn hat er ja selber schon gekillt...
Greetings Daniel
Danke Bernd