Am Fre den 09 Mai 2003 um 10:41:13 +0200 schrieb Torsten Werner:
Liebe Leute,
nochmal was zum Angriff. Der Angreifer war so dreist, es noch zweimal zu probieren, so dass ich ihn dann auch online erwischt habe. Das offene
Du meinst, das hat jemand echt händisch gemacht? Findet chkrootkit das kit? Eigentlich sollte aber unsere Firewall mich vor sowas bewahren.
Scheunentor war samba aus der testing-Distribution. Das ist ärgerlich, weil die Versionen aus stable und unstable neuer und vor allem sicher sind. Interessant ist, dass er zu Scannen nicht zufällige IP-Adressen gewählt hat, sondern inkrementell durch A-, B- bzw. C-Netze gegangen ist. Die Chance ist also groß, dass es noch mehr Rechner unter 141.30.*.* erwischt hat. Natürlich hat die TUD kein Warnsystem für Administratoren...
Eigentlich wundert es doch, daß das URZ nicht hier die gleiche Holz- hammermethode wie bei SMTP verwendet, sprich, den Router alles droppen zu lassen, was auf solche Ports geht.
Außerdem hatte er seine Werkzeuge von 3 Accounts auf xoom.it heruntergeladen, was ich dann natürlich auch gemacht habe. Meine Email an abuse@xoom.it blieb aber unbeantwortet. Ziel des Ganzen war übrigens eine DDOS-Atacke basierend auf dem stacheldraht-Code. Gibt es security-Adressen, wo ich die Programme sinnvollerweise mal hinschicken kann?
Auf securityfocus gab es AFAIK eine Datenbank von bekannten Kits.
Jetzt bleibt nur die Frage, wie ich zuverlässig herausfinden kann, ob in den Benutzerverzeichnissen irgendwelche Ostereier zurück geblieben sind. 72 GB manuell durchzugucken ist sicher kein gangbarer Weg.
Auf jeden Fall solltest du mal cronjobs überprüfen, falls das noch nicht geschehen ist. @reboot ist ja super zum starten von beliebigen Sachen. Die .bashrc's und .bash_profiles sind sicherlich auch gut für sowas. Oder vielleicht auch mal über mount mit noexec nachdenken.
P. S.: Bevor ich zum Schämen in die Ecke gegangen bin, habe ich das verlorengegangene iptables-Skript reaktiviert und 'hosts deny all except ...' in die smb.conf eingetragen, peinlich peinlich...
Unsere Sambakiste ist zum Glück multihomed, daher ist das Abschotten etwas einfacher. Wenn man ganz paranoid ist, kann man auch mit dem user Modul von iptables Regeln definieren, was root oder andere Leute dürfen. Allerdings sollte man dann auch das iptables Binary umbenennen. Das kit, was ich mir mal eingehandelt habe, hat vorher explizit versucht, die backdoors mit ipchains zu öffnen.
Tschau,
andre