Hallo Leute,
(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?
Danke, Torsten
Hi Torsten,
(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?
Es gibt ein Programm namens chkrootkit (unter http://www.chkrootkit.org/ ) welches die Frage nach dem Rootkit beantworten kann.
Dort wird unter Nummer 22 ein "x.c Worm" aufgeführt. Vielleicht ist es ja dieser. Die Funktionsweise ist in einem Word-Dokument (http://www.giac.org/practical/Suzy_Clarke_GCIH.doc) beschrieben. (oder im google Cache als HTML-Seite http://216.239.57.104/search?q=cache:j2eUmzuGQvoC:www.giac.org/practical/Suz... Bitte die Zeile wieder zusammensetzen)
Jens Weiße
Am Mon den 05 Mai 2003 um 11:14:09 +0200 schrieb Torsten Werner:
Hallo Leute,
(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer
Weist du über was der hineingekommen ist? Ich habe auch ein testing laufen.
installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?
Du hast dir sicher schon ein image der Platte auf CD gebannt, das ist gut zum Analysieren was eigentlich passiert ist. Manche rutkits verstecken Dateien im /dev, ein strings über die binaries verrät vielleicht etwas über den Speicherort eventueller logs o.ä.
Tschau,
andre
Sollte natürlich an die Liste und nicht nur an Andre gehen...
Am 05. Mai 2003 schrieb Andre Schulze:
Weist du über was der hineingekommen ist?
Ich vermute über anonymous ftp, wobei das natürlich abgeschaltet war. Einige Dateien haben aber den user ftp (uid 104). Es sind auch ein paar ftp-Einträge in den Logdateien zu finden. Leider sind die Logdateien weitgehend gereinigt wurden. Am meisten ärgert mich, dass man dieses 'Reinigungsskript' schlicht dadurch ausser Kraft gesetzt hätte, wenn die Logdateien nicht in /var/log/ lägen. Mittlerweile habe ich sowohl ftpd deinstalliert als auch den ftp user gelöscht.
Du hast dir sicher schon ein image der Platte auf CD gebannt, das ist gut zum Analysieren was eigentlich passiert ist.
Für 83 GB hätte zu viele CD-Rohlinge gebraucht. Unter http://www.twerner42.de/rootkit.tar.bz2 habe ich mal alles abgelegt, was ich Quarantäne geschickt habe. Einiges habe ich durch ein entschiedenes 'apt-get --reinstall install ...' verloren. Die o. g. Datei ist natürlich nicht für Angriffe gedacht, sondern zur post mortem Analyse.
Manche rutkits verstecken Dateien im /dev, ein strings über die binaries verrät vielleicht etwas über den Speicherort eventueller logs o.ä.
Ja /dev/, /tmp/kit, /lost+found/.../, /usr/include/ waren z. B. dabei.
Torsten
Torsten Werner wrote:
Unter http://www.twerner42.de/rootkit.tar.bz2 habe ich mal alles abgelegt, was ich Quarantäne geschickt habe.
Hab's mir mal angeschaut. Sieht aus, wie ein Skript-Kiddie Rootkit für einen IRC-Bot:
psyBNC 2.3.1
This program is useful for people who cannot be on irc all the time. Its used to keep a connection to irc and your irc client connected, or also allows to act as a normal bouncer by disconnecting from the irc server when the client disconnects.
Möglicherweise wußte -wer auch immer- gar nicht so genau, was er macht.
Nur meine zwei Eurocent.
Grüße, Frank Benkstein.
Hi,
ich weiß zwar nicht ob ich soetwas als Angriff rechnen kann, aber bei mir ist mit einem Mal aus unerkärlichen Gründen das gesamte mail-Verzeichnis von Mozilla verschwunden - im Nirwana und auf Nimmerwiedersehen. Ebenso das Adressbuch.
Echt toll.
Hat jemand eine Ahnung, wie ich herausbekommen könnte, wie das geschehen ist?
Die interessante Frage ist auch was hat er auf Deinem Rechner gewollt ? Welche Dateien angeschaut ? Was kann an deinen Daten interessant sein ? Wenn er als ftp-user angemeldet war, hatte er dann irgendwelche Rechte in deinem home - vereichniss/datenlagern ? Sind atimes/mtimes von Dateien auf einem Datum was definitiv nicht von Dir sein kann sondern auf der Zeit des Einbruchs liegt ? Kann Dir vieleicht das Logfile des Routers/Gateway/NAT zu Deinem Rechner weiterhelfen ?
Felix
On Monday 05 May 2003 11:14, Torsten Werner wrote:
Hallo Leute,
(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?
Danke, Torsten
Am Die den 06 Mai 2003 um 12:42:39 +0200 schrieb Felix Kurth:
Die interessante Frage ist auch was hat er auf Deinem Rechner gewollt ?
Sicherlich das übliche, die gute connectivity des Rechners zum Verteilen von Datein oder auch für distributed denial of service attacks nutzen.
Welche Dateien angeschaut ? Was kann an deinen Daten interessant sein ?
Einbrüche händischer Art sind extrem selten und dann sicherlich auch recht professionell.
andre
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Felix Kurth -
Frank Benkstein -
Jens Weiße -
Leonhard Boitz -
Torsten Werner