Am Samstag, 25. Oktober 2003 00:17 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Am Freitag, 24. Oktober 2003 20:50 schrieb Sascha Teifke:
Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
[...]
Hier ist das Ergebnis von chkrootkit:
[...]
Ok. Soweit sieht das ja alles gar nicht schlecht aus, aber hast Du auch die System-Binaries von einer 'sauberen' Quelle benutzt?
Mal angenommen, dass Dein Host gehackt worden ist und es wurde bereits ein Rootkit installiert wäre es u.U. denkbar, (bzw. wahrscheinlich) dass chkrootkit die Infektion gar nicht mitbekommt.
Die Zeile
PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0
bedeutet, dass Deine Netzwerkinterfaces sich im PROMISC Mode befinden (Die Netzwerkkarte fühlt sich dann für alle Pakete die an Ihr vorbeikommen 'verantwortlich' und ermöglicht das mitloggen dieser Pakete). Dies könnte auf einen Netzwerksniffer hindeuten. Wenn Du also nicht selbst bewusst irgendwelche Software wie z.B. Ethereal oder Tcpdump (Ich *glaube* mal, das beide Programme diesen Modus unterstützen/voraussetzen) einsetzt, dann wäre das ein Iniz dafür, dass jemand Interesse an Deinem Host gefunden hat. Ich hab nessus und snort installiert. Ausserdem ist auch scanlogd installiert, aber ich weis leider nicht genau, wie ich von dem Meldungen krieg, ob ich gescannt wurde....
Das ausspähen Deines Netzwerkverkehrs ermöglicht es dem Eindringling z.B. die i.d.R. unverschlüsselt übermittelten POP3-Kennwörter auszuspähen oder z.B. die oft nur MIME64 encodierten Webkennwörter, usw.
Bevor mein Passwort verändert war, hatte ich DES. Mittlerweile hab ich auf MD5 umgestellt.
Wann waren die ersten Anzeichen / Anomalien zu sehen?
Plötzlich öffnete sich mal k3b, ohne das ich daran was machte. Kurz vor dem öffnen suchte eines meiner CD-ROM's eine CD (welche nicht im Laufwerk war). Der sicherste Beweis dürfte dann wohl das geänderte Passwort sein.
Wie war die Firewall konfiguriert? Hier ein Auszug:
Welche Ports waren offen? Laut nmap ist kein Port offen. Auf der SuSE 9.0 fand nmap noch keinen offenen Port! Unter SSuE 8.2 waren immer ipp, smtp, X11 offen Hast Du Die Möglchkeit Deinen Host von ausserhalb zu Scannen? Unter http://check.lfd.niedersachsen.de/start.php hab ich's mal
FW_QUICKMODE="no" FW_DEV_EXT="ppp0" FW_DEV_INT="" FW_DEV_DMZ="" FW_ROUTE="no" FW_MASQUERADE="no" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="" FW_PROTECT_FROM_INTERNAL="yes" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS" FW_SERVICE_AUTODETECT="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SQUID="no" FW_SERVICE_SAMBA="no" FW_FORWARD="" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" (hab ich erst nach dem geänderten Passwort auf yes!) FW_LOG_ACCEPT_ALL="no" FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW" FW_KERNEL_SECURITY="yes" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="no" (war vorher auf yes und hab ich gestern Abend auf no) FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="no" FW_IGNORE_FW_BROADCAST="yes" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" probiert. Ergebnis (65534 überprüfte Ports bei aktivierter Firewall) : Bei Port 58000 und noch irgendwas hängte sich das ganze auf. Bis dorthin war aber nichts gefunden worden. Ergebnis(mit aktivierter Firewall) eines Online-Scans von www.anti-trojan.de: Scan complete! 356 ports scanned 0 open ports found
Wurden neue User angelegt? Sind die Gruppen "at" und "games" bei SuSE 9.0 standartmässig angelegt? Wann hat sich zuletzt jmd. erfolgreich eingeloggt ( # last ) Da werden nur root und fahnenju erwähnt. Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen: awk, cut, echo, egrep, find, head, id, ls, netstat, ps, sed, strings, uname und übergib den Pfad der CD beim Aufruf von chkrootkit: ./chkrootkit -r /mnt/cdrom/bin (wenn sich die Files im Directory /bin auf der CD befinden) Wie erstelle ich so eine CD?
Sascha Danke schon mal für Deine Hilfe! Jürgen