Kompromotierter VDR - Reste der Bereinigung

    Moin,


    ich hatte gestern einen, wohl gehackten, VDR auf dem Tisch.
    Da liefen irgendwelche Skripte amok.
    In /etc/init.d/ lagen Skripte mit kryptischem Namen und an fast alle anderen Startskripte in diesem Ordner waren Zeilen angefügt. Das konnte man schön am Änderungsdatum der Dateien erkennen. Andere Ordner waren auch betroffen.
    Das System wurde zugemüllt mit irgendwelchen Dateien - aufgefallen war es mir, als die Fritzbox in dem Netzwerk laufend neustartete ...
    ps ax zeigt komische laufende Prozesse ... da wurde dann wohl das WLAN der Fritz nicht mit fertig.


    Naja ... mit einer LiveCD gestartet und alle Skripte bereinigt und gelöscht und alle Dateien, die angelegt wurden wieder entfernt.


    Jetzt ist wieder Ruhe.


    Nur eine Meldung im Log taucht noch auf, die versucht ein paar dieser Skripte aufzurufen (existieren aber nicht mehr).


    Nun meine Frage, wo finde ich diesen verusachenden Aufruf (nur der Ordnung halber)? Habe schon alles durchsucht.

    Code
    Jul  1 09:18:01 VDR CRON[2823]: (root) CMD (/etc/cron.hourly/noc)
Jul  1 09:18:01 VDR CRON[2825]: (root) CMD (/etc/cron.hourly/gcc.sh)
Jul  1 09:18:01 VDR CRON[2822]: (CRON) info (No MTA installed, discarding output)
Jul  1 09:18:01 VDR CRON[2824]: (root) CMD (/etc/cron.hourly/udev.sh)
Jul  1 09:18:01 VDR CRON[2820]: (CRON) info (No MTA installed, discarding output)
Jul  1 09:18:01 VDR CRON[2821]: (CRON) info (No MTA installed, discarding output)


    Die 3 Skrpte existieren nicht mehr, aber wer versucht diese aufzurufen?


    Edit: Der Aufruf kommt exakt alle 3 Minuten.


    Software auf dem VDR ist ein standard yavdr.



    Danke und Gruss.
    Markus

    Sieh mal in /etc/crontab nach.


    Allerdings würde ich diesem VDR nicht weiter trauen als ich ihn werfen könnte. Platt machen!


    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

    Neuninstallation komm nicht in Frage? Grad wenn ein PC gehackt wurde, wäre das doch ratsam.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Zitat von gda

    Sieh mal in /etc/crontab nach.


    Allerdings würde ich diesem VDR nicht weiter trauen als ich ihn werfen könnte. Platt machen!


    Gerald


    Danke crontab war es ... auch gerade gefunden.
    Ja, wird demnächst platt gemacht ... ging erstmal nur um die schnelle Wieder-Inbetriebnahme und die Netzwerklauffähigkeit.


    Steht erstmal unter permanenter Beobachtung und alles Passwörter wurden natürlich geändert. Spuk scheint vorrüber.



    Markus

    Zitat von TheChief

    Neuninstallation komm nicht in Frage? Grad wenn ein PC gehackt wurde, wäre das doch ratsam.


    Doch, aber da hatte ich gestern Abend keine Zeit zu ... ist ja meist nicht nur die Installation, sondern auch alle Konfigurationen der letzten Jahre.
    Wird am Wochenende gemacht.
    Sind ja keine sensiblen Daten drauf ... wurden halt nur dauernd scripte gestartet und Dateien angelegt.
    Die Bereinigung ging halt erstmal schneller :)


    Markus

    Zitat von gda

    Das scheint es wohl zu sein: http://opcode.ninja/malware-analysis-1-2/


    Gerald


    Ja, Teile davon kommen mir bekannt vor.


    Da ich ja ungefähr wusste, wann es anfing (die Routerprobleme).
    Habe ich halt nach alle Dateien gesucht, die innerhalb der letzten 2 Tage geändert und angelegt wurden.


    Markus

    Wer erstmal im LAN ist, der kann potentiell auch andere Maschinen angreifen und vor allem die Kommunikation aller anderen LAN-Teilnehmer nach Belieben umleiten und mitlesen. Ich würde das also durchaus ernst nehmen.


    Viel wichtiger ist die Frage, wie der Angreifer ins LAN gekommen ist? Waren da irgendwelche Ports nach außen geleitet? SSH und leicht zu erratende Passwörter?


    Wenn schon SSH nach außen, dann sollte man sich den Luxus leisten den Port auf einen kryptischen Wert zu biegen. Oder besser garkeine Passwort-Authentifikation erlauben. Dann müsste dir erstmal jemand das Keyfile entwenden.

    Zitat von M-Reimer

    Viel wichtiger ist die Frage, wie der Angreifer ins LAN gekommen ist? Waren da irgendwelche Ports nach außen geleitet? SSH und leicht zu erratende Passwörter?


    Nach diesem Blog ist das wohl so. Ich hatte mir schon Sorgen gemacht, ist aber wohl ein Fall von selber Schuld.


    Zitat von M-Reimer

    Wenn schon SSH nach außen, dann sollte man sich den Luxus leisten den Port auf einen kryptischen Wert zu biegen. Oder besser garkeine Passwort-Authentifikation erlauben. Dann müsste dir erstmal jemand das Keyfile entwenden.


    Und vielleicht auch noch port knocking.



    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden