suckit rootkit gefunden!!! :-(

joe0815 · 2. Juni 2007

Hallo zusammen,

ich mache regelmäßig rootkit tests von einer Knoppix CD aus. Weil mir vor kurzem aufgefallen ist, dass mein vdr nicht heruntergefahren ist, weil angeblich samba aktiv ist habe ich mal einen neuen rootkit test mit chkrootkit gemacht. Und siehe da er hat suckit gefunden.

Infiziert sind:
echo
inetd

Wie werde ich sowas am Besten wieder los? Habe nämlich nicht viel Erfahrung im rootkit beseitigen. Genügt es diese Files wieder gegen die originalen auszutauschen? Oder sollte ich besser mein Backup zurückspielen?

Grüße
Jo

devnix · 2. Juni 2007

Sorry fuer die trockene Aussage, aber du wirst neu installieren muessen, bzw. Backup einspielen

Mich wuerde es jetzt interresieren wie das passierte.
Ich tippe auf: ssh offen ins Netz und unsichere Passwoerter?

joe0815 · 2. Juni 2007

Hallo,

sollte eigentlich alles sicher sein. Weiß auch nicht, ob es von einem anderen PC aus gekommen ist.

Aber mal ne andere Frage. Kann man sich vielleicht selbst in das rootkit einloggen? Und/oder was noch wichtiger wäre. Wie kann ich die IP desjenigen herausbekommen, der da Unfug treibt.

Grüße
Jo

irrer iwan · 2. Juni 2007

Zitat

Wie kann ich die IP desjenigen herausbekommen, der da Unfug treibt.

Wenn du einen entsprechenden Router verwendest, solltest du rauskriegen welche Verbindungen von / nach draußen bestehen.

Mein IP-Cop zB. ist da sehr auskunftsfreudig.

Was das Root-Kit sebst betrifft, solltest du vieleicht einfach mal Google bemühen.
Allerdings ist das schon etwas seltsam. Der VDR (und damit Linux) ist doch ein eher ungewöhnliches Ziel für solche Aktivitäten.
Außerdem solltest du dich zu erst darauf konzentrieren das Loch im System zu finden.

Lars

slime · 3. Juni 2007

hi,
also falls du sicher sein kannst, das dein kernel untaintet ist (cdboot mit deinem root-system von platte), dann lass doch mal ein (ebenfalls gesichertes - ro-medium) lsof darüber laufen. da kann man schon ne menge rausfinden. unter anderem auch, wo die verbindungen hingehen.

ich hatte mal den fall, das der webserver (rootserver bei billig-hoster) eines freundes von mir gehackt wurde. da war dann ein bot zu finden, der auf irc-befehle gewartet hat. der einbruch kam dort über ne php-lücke.
ich hab damals alles gesichert und bin damit zur polizei, aber die wollten davon nix wissen. lohnt sich net anzeige zu erstellen, weil die das nach eigener aussage auch net verfolgen können

foobar42 · 3. Juni 2007

Wenn der VDR Dienste über's Internet angeboten hat, wäre ich in der Tat vorsichtig.

Wenn nicht (und nicht etwa aus dem internen Netz was nachinstalliert werden konnte) würde ich erst mal 'n Gegentest mit einem anderen Rootkit-Spürhund machen. Die melden nämlich u.U. falsche Resultate. Mein Rechner ist z.B. mit vmware "verseucht".

Und ggf. ist Neuinstallation vmtl. wirklich das sicherste Vorgehen.

ralf · 4. Juni 2007

Hallo!

Zitat

Die melden nämlich u.U. falsche Resultate.

Hatte das auch mal mit chkrootkit, war ein Fehlalarm.

Mal eine Überlegung:

Wenn man die angeblich veränderten Daten auf ein anderes System kopiert und ein "diff" mit dem Gegenstück aus einem frisch gezogenen Paket der Distrie macht, sollte man doch den Bösewicht präsentiert bekommen?

Würde ich allein interessehalber mal ausprobieren (natürlich die verdächtigen Programme außerhalb des Suchpfades deponieren).

grüße

ralf

slime · 5. Juni 2007

das mit dem diff ist prinzipiell korrekt; aber: ein gutes rootkit versteckt sich auch dort!
die technik der wahl ist ja, ein modul in den kernel zu schleusen (deswegen haben auch paranoid-gesicherte rechner auch keinen module-support), welches alle ioctls abfängt. d.h. ein 'ls' oder 'diff' bekommt, wenn es einen kernel-call macht schon direkt kompromitierte daten übergeben.
deswegen klappt das ganze auch nur dann, wenn du einen 'sicheren' kernel bootest. danach kannst du dann dein diff machen.
theoretisch hat es ein rootkit - wendet es denn diese methode an, überhaupt keinen bedarf an binarys im userspace. das laden des moduls kann man z.B. über den kerneld regeln. wer checkt denn schon seine modules.conf nach verdächtigen zeilen?

meine erfahrung ist allerdings, das die meissten hacks nur schlampig installiert werden. die sieht man auch bei laufendem system, ohne extrem viel linux erfahrung zu haben. einfach mal unter /tmp oder /var/www schauen - halt dort, wo der webserver-benutzer hinschreiben kann

ralf · 5. Juni 2007

Hallo slime!

Du hast wohl überlesen, das ich den "Test" auf einem anderen (sauberen) System ausführen würde.

Das man einem befallenen System nicht mehr trauen kann, ist mir schon klar, hatte mich bei meinem damaligen Fehlalarm wohl oder übel schon mit dem Thema beschäftigt.

Zum Wachrütteln sind Fehlalarme also schon ganz sinnvoll

Einen schönen Abend noch

grüße

ralf

netz · 5. Juni 2007

Hallo,
ich bin nur durch das Thema drauf gestoßen, vielleicht nur eine Fehlmeldung.

Ich habe mir chkrootkit installiert und meine Gen2vdr durchgetestet.
Hier bekam ich die Meldung.

Code

...
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... Warning: Possible Scalper Worm installed
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
...

Alles anzeigen

Kennt sich in dem Bereich jemand aus?
Ist es ein Fehlalarm?

In /tmp , /root , /home oder /var nix verdächtiges gefunden.

http://www.lan.uni-bayreuth.de/virus/archiv02.html

Zitat

01.07.02:

Name: ELF/Scalper-A Typ: Win32-Wurm Alias: ELF/FreeApworm, ELF_SCALPER.A, FreeBSD.Scalper.Worm, Linux.Scapler.Worm, Linux/Ehcapa.worm, BSD/Scalper.worm

Elf/Scalper-A ist ein Internet-Wurm, der sich auf FreeBSD-Systemen auf Apache-Webservern verbreitet. Gefahr besteht für Kombinationen aus FreeBSD 4.5 und Apache Versionen 1.3.20 - 1.3.24.
Der Wurm verbreitet sich, indem er systematisch alle IP-Adressen aus zufällig gewählten Klasse-B-Netzwerken überprüft. Wenn er eine gültige IP-Adresse findet, versucht er, sich mit einem Apache-Webserver auf Port 80 zu verbinden und ihn über die kürzlich entdeckte Schwachstelle in der Kodierung beim Pakettransfer zu beschädigen.
Ist der Wurm erfolgreich, überträgt er sich in uuencodierter Form zu der Datei /tmp/.uua auf dem Remote-Host und uudecodiert sich in die Datei /tmp/.a, die er schließlich ausführt.
Elf/Scalper-A verfügt außerdem über Backdoor-Funktionalitäten auf dem UDP-Port 2001. Durch diese Funktionen kann ein Angreifer von fern verschiedene Formen von Denial-of-Service-Attacken auf andere Computer starten sowie Dateien auf dem Remote-Host nach E-Mail-Adressen durchsuchen, auf Webseiten zugreifen, E-Mails (Spam) versenden, Verbindungen zu anderen Ports öffnen und willkürliche Shell-Befehle ausführen.
Auch wenn diese Variante speziell auf FreeBSD 4.5 Systemen funktioniert, wird allen Anwendern von Apache Webservern empfohlen, die entsprechenden Sicherheitsbulletins unter http://www.apache.org zu lesen und auf die neueste Version zu aktualisieren.

Alles anzeigen

bis dann,
Nando

Antiriad · 6. Juni 2007

Mach am besten auch noch mal einen Test mit dem Rootkithunter (rkhunter).
Ausserdem müsste ClamAv unter Linux den Scalper eigentlich auch erkennen wenn er vorhanden ist. Einfach mal drüber laufen lassen, vieleicht ist es ja auch nur ein false positive von chkrootkit, vieleicht aber auch nicht...

netz · 6. Juni 2007

Zitat

Original von Ioannis
Mach am besten auch noch mal einen Test mit dem Rootkithunter (rkhunter).
Ausserdem müsste ClamAv unter Linux den Scalper eigentlich auch erkennen wenn er vorhanden ist. Einfach mal drüber laufen lassen, vieleicht ist es ja auch nur ein false positive von chkrootkit, vieleicht aber auch nicht...

Danke für den Tip.
Obwohl, vielleicht doch lieber ein sorgenvolles Smilie.

"rkhunter -c"

Code

...
   Sebek LKM...                                               [ OK ]
   Rootkit 'Scalper Worm'...                                  [ OK ]
   Rootkit 'Shutdown'...                                      [ OK ]
...
Networking
* Check: frequently used backdoors
  Port 2001: Scalper Rootkit                                  [ Warning! (possible trojan port) ]
  Port 2006: CB Rootkit                                       [ OK ]
  Port 2128: MRK                                              [ OK ]
  Port 14856: Optic Kit (Tux)                                 [ OK ]
  Port 47107: T0rn Rootkit                                    [ OK ]
  Port 60922: zaRwT.KiT 
...
System checks
* Allround tests
   Checking hostname... Found. Hostname is vdr01
   Checking for passwordless user accounts... Warning!
...
* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login... Watch out Root login possible. Possible risk!
    info: No 'PermitRootLogin' entry found in file /etc/ssh/sshd_config
    Hint: See logfile for more information about this issue
...

Alles anzeigen

<edit>
KlamAv (mit clamav 0.90.3) brachte keine Probleme.
</edit>

UFO · 6. Juni 2007

[quote]Original von netz
"rkhunter -c"

Code

...
Networking
* Check: frequently used backdoors
  Port 2001: Scalper Rootkit                                  [ Warning! (possible trojan port) ]
...

Die Warnung für Port 2001 kann man auf einer VDR-Maschine schon mal vergessen.
Das ist der SVDRP-Port des VDR.

CU
Oliver

netz · 6. Juni 2007

Abend Oliver,
du meinst der Port 2001 kann nicht für andere zwecke mißbraucht werden?
Soweit sieht es dann bei mir OK aus.

bis dann,
Nando

UFO · 6. Juni 2007

Zitat

Original von netz
Abend Oliver,
du meinst der Port 2001 kann nicht für andere zwecke mißbraucht werden?
Soweit sieht es dann bei mir OK aus.

Solange VDR läuft, verwendet VDR diesen Port.

Kannst ja einfach mal VDR stoppen und den Check noch mal laufen lassen. Du wirst sehen, daß die Warnung nun weg ist. Trojanererkennung anhand offener Ports ist immer unsicher.

CU
Oliver

netz · 6. Juni 2007

Zitat

Original von UFO
Solange VDR läuft, verwendet VDR diesen Port.

Kannst ja einfach mal VDR stoppen und den Check noch mal laufen lassen. Du wirst sehen, daß die Warnung nun weg ist. Trojanererkennung anhand offener Ports ist immer unsicher.

Hallo Oliver,
genau so ist es.
Stoppe ich den VDR taucht der Hinweis auf "Scalper" nirgends mehr auf.

danke,
Nando

joe0815 · 6. Juni 2007

Nochmal zurück zum suckit problem. Ich habe gerade hier:
http://murga-linux.com/puppy/viewtopic.php?t=10056
gefunden, dass es Problem mit busybox geben kann. Bei meinem chkrootkit Aufruf fehlt jedoch die Ausgabe der checksum. Ich habe jetzt auch keinen Parameter gefunden, der diese Checksum ermittelt. Wie geht das?

Grüße
Jo

joe0815 · 7. Juni 2007

Hallo zusammen,

und noch eine letzte Frage: Was machen diese Beiden Zeilen in rcStart.delayed
execute /usr/bin/udpd.pl
execute httpd -c /etc/httpd.conf -p 8000 -h /pub/web

Ist das bei der original Mahlzeit Installation auch drin?

Grüße
Jo

HOSTess · 10. Juni 2007

-c sollte Pfad zur conf-Datei des http-Servers sein.
-p sollte ein geöffneter Port (8000) sein.....
Ich weiß aber nicht welcher Dienst dort läuft (Standard-Port wäre 80).
-h ist home des Webservers

Mike

suckit rootkit gefunden!!! :-(

Jetzt mitmachen!

Teilen