Zum Inhalt springen

rootkit? cracker?

debitux

Von debitux
in Linux

 Teilen

Empfohlene Beiträge

debitux

debitux

Geschrieben
Geschrieben

Hi,

hab den verdacht das bei mir ein Rootkit installiert wurde. Das komplette Logging funktioniert nicht mehr, obwohl die pid vom syslogd, klogd aktiv ist. Im Error Log vom Apache hab ich einige Nimda / Code Red Fehler gesehen.

[sun Dec 8 06:01:25 2002] [error] [client 217.210.197.122] File does not exist: /var/www/scripts/..Ã../winnt/system32/cmd.exe

[sun Dec 8 06:01:29 2002] [error] [client 217.210.197.122] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe

[sun Dec 8 06:01:30 2002] [error] [client 217.210.197.122] File does not exist: /var/www/scripts/..%2f../winnt/system32/cmd.exe

[sun Dec 8 06:25:53 2002] [notice] SIGUSR1 received. Doing graceful restart

Wobei ne halbe Stunde nach dem letzten Log, das Logging ausgeschaltet wurde. Ziemlich merkwürdig. Kanns sein das ich von einem Cracker angegriffen wurde? Wie finde ich raus was gefaked ist? Hab leider keine MD5's von meinen binaries gemacht. Wäre wohl besser gewesen *seufz*... Hoffe jemand kann mir weiterhelfen... Bzw. sagen welche Sicherheitslücken ich übersehen hab.

http://pingufreak.kicks-ass.net

Danke!

Martin

Link zu diesem Kommentar
Auf anderen Seiten teilen
Orbital

Orbital

Geschrieben
Geschrieben
Originally posted by DownAnUp

Was auch immer es ist, ich glaube nicht das es mit Nimda oder Code Red "angriffen" zu tun hat. Mit Linux können die nix anfangen.

das stimmt wohl

[sun Dec 8 06:25:53 2002] [notice] SIGUSR1 received. Doing graceful restart

das würde mir allerdings zu denken geben ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
debitux

debitux

Geschrieben
  • Autor
Geschrieben

Das mit Nimda und Code Red weiß ich @ downNup. Das was mich krausig stimmte war auch das:

[sun Dec 8 06:25:53 2002] [notice] SIGUSR1 received. Doing graceful restart

Deswegen auch meine Posts :-). Ich bin mir ziemlich sicher das bei mir ein Rootkit läuft.

Danke für den Post von Orbital. Ich hab mir den Link schonmal angeguckt. Sieht ganz interessant aus. Ich poste später mal ob das geklappt hat bzw. das Programm was finden konnte...

Gibts sonst keine Tricks wie man nach einem Rootkit/Stealth Mode noch die IP des Crackers rausfinden kann? Würd mich mal interessieren :-)...

Danke!

Gruß

Martin

Link zu diesem Kommentar
Auf anderen Seiten teilen
gurkenpapst

gurkenpapst

Geschrieben
Geschrieben
[sun Dec 8 06:25:53 2002] [notice] SIGUSR1 received. Doing graceful restart

das wird wohl logrotate gewesen sein.

Die blabla...cmd.exe logeinträge sind zwar lästig, aber nicht weiter gefährlich, haben auch nix mit rootkits zu tun.

Falls du vorsichtsmassnahmen gegen rootkits suchst, kann ich nur Tripwire empfehlen. http://www.tripwire.org

Warum gehst du davon aus ein rootkit zu haben?

schonmal die logging Dienste neu gestartet? Schaust du nur in /var/log/messages? Was sagt dmesg?

Gruß gurkenpapst

Link zu diesem Kommentar
Auf anderen Seiten teilen
debitux

debitux

Geschrieben
  • Autor
Geschrieben

Die Loggingdienste sind alle gefaked. Außer der vom Apache :-). Ein rootkit installiert doch fake daemons? Mein root Passwort wurde schonmal geändert. Da wars genau das selbe. Das komplette Logging funzte nicht mehr. Hatte damals sogar klogd und syslogd neuinstalliert. Keine Chance. :-( Chkrootkit hab ich mal ausprobiert. Es sucht auch nach LKM :-) Ist ein richtig nettes Proggie. Ich guck mit tripwire auch mal an :-). Danke danke dank :-D. An Frosch, ich kann mir nicht vorstellen das man ein rootkit nicht finden kann. Dann müsste man ja jeden Server platt machen der infiziert ist?!?! Wer hat denn schonmal Erfahrungen mit rootkits gemacht?

Gruß

Martin

Link zu diesem Kommentar
Auf anderen Seiten teilen
frosch03

frosch03

Geschrieben
Geschrieben
An Frosch, ich kann mir nicht vorstellen das man ein rootkit nicht finden kann.

LKM steht für loadabel kernel module

der name sagt eigentlich schon, warum die dinger so kritisch sind, ein lkm ist quasi eine erweiterung des kernels. das problem ist, wenn ein solches modul erst einmal in den kernel eingebunden wurde, dann kann dieses lkm die totale kontrolle über das system haben. mit einem lkm hat man mehr macht als root! du kannst alles erdenkliche damit bewerkstelligen, z.B. auch, dass keine software (egal ob chkrootkit unter root ausgeführt wird oder sonst wie) keinen zugriff mehr auf dateien, verzeichnisse, geräte etc. hat, du kannst bestimmte zeichenketten nicht anzeigen lassen, du kannst das rootpasswort immer dann ändern lassen, wenn ein bestimmtes bitmuster an der netzwerkkarte ankommt etc.

kurz: ein lkm _kann_ alles können

wenn man möchte, kann man ein lkm schreiben, welches von niemanden mehr gefunden bzw. gelöscht werden kann.

(die betonung liegt hier aber eindeutig auf kann) in der realität sind die dinger oft schon durch ein lsmod zu sehen und durch ein rmmod wieder zu entfernen...

wer mehr dazu wissen will, sollte sich mit kernelprogrammierung auseinandersetzten...

grüße,

Frosch03

Link zu diesem Kommentar
Auf anderen Seiten teilen
Orbital

Orbital

Geschrieben
Geschrieben

RootKits sind so ne Art Trojaner womit sich - wie der Name schon sagt - der Angreifer einen Root Zugang zum Rechner verschafft.

rootkits dienen dazu auf einem erfolgreich kompromittierten rechner dafür zu sorgen das niemand entdeckt das ich dort root bin und dazu das ich auch root bleibe, nicht dazu root zu werden

wenn es ein rootkit bzw. ein LKM ist, und auch läuft,

dann hast du _keine_ möglichkeit dieses zu entdecken...

das ist nicht korrekt

denkbar wäre z.b. alle PIDs mit testprozessen zu belegen und zu schauen ob lücken vorhanden sind, was darauf hin deuten würde das versteckte prozesse laufen

nichtmal der programmierer könnte das, wenn er nur

vernünftig gecoded hat ...

das wär wohl ein armutszeugniss...

wenn man möchte, kann man ein lkm schreiben, welches von niemanden mehr gefunden bzw. gelöscht werden kann.

was dir leider nichts bringt wenn der kernel es dir nicht erlaubt module zu laden...

dafür gibt es dann allerdings z.b. KIS (Kernel Intrusion System) welches sich auch bei statichen kerneln? kernels? :confused: ;) über /dev/kmem direkt in den speicher schreibt

/O

Link zu diesem Kommentar
Auf anderen Seiten teilen
debitux

debitux

Geschrieben
  • Autor
Geschrieben

Ich hab auch gelesen das die rootkits hauptsächlich für einen "stealth" Modus gedacht sind. Man könnte aber evtl. Skripte schreiben die trotzdem weiterloggen. Ich weiß nicht wie komplex das ist, aber es wäre doch eine möglichkeit einen Cracker auf die SChliche zu kommen. Skripte installieren und diese Verstecken. :-) Ein rootkit ist hauptsächlich dafür, für unendeckt zu bleiben. Naja. Viel weiß ich auch nicht darüber. Hab auch "noch" nie eins benutzt. Aber um herauszufinden was man alles machen kann, werd ich mich mal danach umschauen. Zu Testzwecken versteht sich.

Gruß und danke für die vielen Posts. Ihr macht mich echt glücklich :-D *g*

Danke danke dank

Martin

Link zu diesem Kommentar
Auf anderen Seiten teilen
DanielB

DanielB

Geschrieben
Geschrieben
Originally posted by MuhKuh

Dann müsste man ja jeden Server platt machen der infiziert ist?!?! Wer hat denn schonmal Erfahrungen mit rootkits gemacht?

Gruß

Martin

Und genau das wird in der Praxis gemacht, wenn festgestellt wird, dass der Server gecrackt wurde. Server _sofort_ vom Netz trennen, feststellen _was_ und _wie_ es passiert ist um für die Zukunft gegen eine solche Attacke geschützt zu sein. Danach das System von Grund auf neu installieren. Nur eine Neuinstallation garantiert ein sauberes System.

Das CERT stellt eine Art "Anleitung" für solche Fälle bereit. Zu finden unter :

http://www.cert.org

Link zu diesem Kommentar
Auf anderen Seiten teilen
frosch03

frosch03

Geschrieben
Geschrieben
denkbar wäre z.b. alle PIDs mit testprozessen zu belegen und zu schauen ob lücken vorhanden sind
Ja, und? Damit hab ich auch noch kein (bösartiges) lkm enttarnt.

das wär wohl ein armutszeugniss...
oder einfach nur der beweis, dass ich meine idee perfekt umgesetzt habe

was dir leider nichts bringt wenn der kernel es dir nicht erlaubt module zu laden...
lol ;) genau, aber das ist so wie: "nem user bringt sein root auch nichts, wenn der rechner keinen strom hat" ;)

klar muss du das modul laden können, aber i.d.R. stellt das kein prob. da

Grüße,

Frosch03

Link zu diesem Kommentar
Auf anderen Seiten teilen
Orbital

Orbital

Geschrieben
Geschrieben
Originally posted by frosch03

oder einfach nur der beweis, dass ich meine idee perfekt umgesetzt habe

sicher ist es schwerer ein lkm rootkit zu finden als ein dateiänderndes, aber auf keinen fall unmöglich, schliesslich musst du auch irgendwie auf dein rootkit zugreifen was über spezielle tcp oder udp pakete passieren sollte, zumindest bei den bekannten sollte es also kein problem sein dir entsprechende regeln für dein netz-ids zu schreiben.

wenn Oscar The Ultrahacker von neben an sich aus langeweile beim k*cken ein lkm rootkit schreib was keiner kennt, bin ich als admin halt unter umständen ziemlich gef*ckt ;)

aber wenn ich als programmierer nicht schaff meine eigenen pakete zu sniffen ist das schon ein armutszeugniss...

lol ;) genau, aber das ist so wie: "nem user bringt sein root auch nichts, wenn der rechner keinen strom hat" ;)

klar muss du das modul laden können, aber i.d.R. stellt das kein prob. da

ich wollte damit eigentlich nur sagen das selbst wenn es nicht möglich ist module zu laden, was ja in >90% so sein dürfte, gibt es trotzdem die möglichkeit mit rootkits wie kis oder s uckit sie direkt in den speicher zu schreiben

/O

<edit> ich liebe zensur.... </edit>

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jaraz

Jaraz

Geschrieben
Geschrieben
Originally posted by DanielB

Und genau das wird in der Praxis gemacht, wenn festgestellt wird, dass der Server gecrackt wurde. Server _sofort_ vom Netz trennen, feststellen _was_ und _wie_ es passiert ist um für die Zukunft gegen eine solche Attacke geschützt zu sein. Danach das System von Grund auf neu installieren. Nur eine Neuinstallation garantiert ein sauberes System.

Das CERT stellt eine Art "Anleitung" für solche Fälle bereit. Zu finden unter :

http://www.cert.org

Eine komplette Sicherung der Festplatte nicht vergessen.

Falls nämlich von eurem Server aus dann andere Server angegriffen wurden, oder Kinderpornos oder ähnliches verbreitet wurden, müsst ihr nachweisen, das in euer System eingebrochen wurde und ihr für die Verbreitung bzw Angriffe auf die anderen Rechner nicht zur Rechenschaft gezogen werden könnt.

Gruß Jaraz

Originally posted by Orbital

<edit> ich liebe zensur.... </edit>

Und ich Leute die sich nicht vernünftig ausdrücken können. ;) <- Smily = Scherz (nicht angegriffen fühlen)

Wie heisst es doch so schön, die Deutschen nutzen nur 3% ihres Wortschatzes.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Orbital

Orbital

Geschrieben
Geschrieben
Originally posted by Jaraz

Eine komplette Sicherung der Festplatte nicht vergessen.

Falls nämlich von eurem Server aus dann andere Server angegriffen wurden, oder Kinderpornos oder ähnliches verbreitet wurden, müsst ihr nachweisen, das in euer System eingebrochen wurde und ihr für die Verbreitung bzw Angriffe auf die anderen Rechner nicht zur Rechenschaft gezogen werden könnt.

Gruß Jaraz

und alle flüchtigen speicher nicht vergessen ;)

Und ich Leute die sich nicht vernünftig ausdrücken können. ;) <- Smily = Scherz (nicht angegriffen fühlen)

ab und zu muss das eben sein ;)

Wie heisst es doch so schön, die Deutschen nutzen nur 3% ihres Wortschatzes.

wow dann hab ich ja glück kein deutscher zu sein?! ;P

hast du weiterführende links zu der "direkt in den speicher schreiben" geschichte?

leider nicht, aber man sollte bei der suchmaschine seines vertrauens fündig werden

/O

Link zu diesem Kommentar
Auf anderen Seiten teilen
Orbital

Orbital

Geschrieben
Geschrieben
Originally posted by Jaraz

Besser wäre das aber man kann leider nicht alles haben. :(

Ob man da ein Speicherabbild machen kann, weiss ich leider nicht.

So weit reichen meine Unix Kenntnisse dann doch nicht. :rolleyes:

Gruß Jaraz

klar geht das

du kannst sogar binär dateien die der angreiferr zwar gelöscht hat, die aber noch aktiv sind wieder herstellen, da sie ja noch im speicher sind...

cat /proc/<PID>/exe >binary

/O

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...