Gentoo Forums :: View topic - Hackertätigkeit - Angriff auf Server

Hackertätigkeit - Angriff auf Server - Tips & Hilfe ?

View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2 Next

Gentoo Forums Forum Index

Deutsches Forum (German)

Diskussionsforum

View previous topic :: View next topic

Author

Message

artbody
Guru
Guru

Joined: 15 Sep 2006
Posts: 494
Location: LB

Posted: Thu Nov 02, 2006 5:17 pm Post subject: Hackertätigkeit - Angriff auf Server - Tips & Hilfe ?

Hackertätigkeit
Aufmerksam bin ich auf den Angriff geworden weil ein neues Verzeichnis angelegt wurde
.log
mit 3 Dateien
./xh

Code:

ELF........
Options:
-s string Fake name process
-d Run aplication as daemon/system (optional)
-u uid[:gid] Change UID/GID, use another user (optional)
-p filename Save PID to filename (optional)

Example: %s -s "klogd -m 0" -d -p test.pid ./egg bot.conf
- und darin ca 20 x 350 MB *.avi als Dateien abgelegt wurden
.......

./iroffer

Code:

iroffer v1.4.b02 [20050116230512] by PMG
Configuration File Password Generator

This will take a password of your choosing and encrypt it.
You should place the output this program generates in your config file.
You can then use your password you enter here over irc.

Your password must be between 5 and 8 characters

und
./week
scheint ein Datenfile zu sein

Code:

IRFR....Piroffer v1.4.b02 [20050116230512], Linux 2.6.8-022stab070.6-enterprise....

Klar ersichtlich ist aus diesem /var/log/messages Logfile zu ersehen, daß da jemand ständig versucht über ssh reinzukommen.
die sshd anfragen sind xx seitenlang

Code:

......
Oct 31 07:20:53 vs163174 sshd[17720]: Invalid user rpcuser from 210.75.0.178
Oct 31 07:20:53 vs163174 sshd[17720]: reverse mapping checking getaddrinfo for user.nova.net.cn failed - POSSIBLE BREAKIN ATTEMPT!
Oct 31 07:20:57 vs163174 sshd[17943]: Invalid user rpc from 210.75.0.178
Oct 31 07:20:57 vs163174 sshd[17943]: reverse mapping checking getaddrinfo for user.nova.net.cn failed - POSSIBLE BREAKIN ATTEMPT!
Oct 31 07:21:02 vs163174 sshd[18170]: Invalid user gopher from 210.75.0.178
Oct 31 07:21:02 vs163174 sshd[18170]: reverse mapping checking getaddrinfo for user.nova.net.cn failed - POSSIBLE BREAKIN ATTEMPT!
Oct 31 07:26:01 vs163174 /usr/sbin/cron[18025]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)
Oct 31 07:36:01 vs163174 /usr/sbin/cron[19462]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)
Oct 31 07:46:01 vs163174 /usr/sbin/cron[17531]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)
Oct 31 07:56:01 vs163174 /usr/sbin/cron[13839]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)
Oct 31 08:06:01 vs163174 /usr/sbin/cron[1443]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)
Oct 31 08:16:01 vs163174 /usr/sbin/cron[21826]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)
Oct 31 08:24:08 vs163174 sshd[32524]: Did not receive identification string from 65.254.37.175

Laufen tut auf dem vServer
sshd
crond
ftp (für 7 User)
apache mod-perl mod-sec php
mysql
amavisd
freshclam
clamd
postfix

Nun bin ich an der Überlegung, da ich im Atelier ne feste IP hab, den sshd-Zugang nur noch von dieser aus zuzulassen
(sicher nicht das falscheste)

Aber da das oben ja ne IRC - Geschichte ist??

Wie und was würdet ihr da machen?
_________________
Never give up
WM : E16 the true enlightenment
achim

return13
Guru
Guru

Joined: 02 Feb 2004
Posts: 513
Location: Hamburg - Germany

Posted: Thu Nov 02, 2006 5:41 pm Post subject:

SSH-Sicherheit _________________ Wer Recht erkennen will, muß zuvor in richtiger Weise gezweifelt haben. Aristoteles (384-322), griech. Philosoph, Begründer d. abendländ. Philosophie

beejay
Retired Dev

Joined: 03 Oct 2002
Posts: 924
Location: Flensungen (das liegt neben Merlau)

Posted: Thu Nov 02, 2006 5:50 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

artbody wrote:

Wie und was würdet ihr da machen?

Das Übliche: Forensische Untersuchungen mit den vorher installierten IDS'en (z.B. Aide oder Snort), logfiles wegsichern, chrootkit laufen lassen und das Ergebnis sichern, Server komplett plätten und neu einrichten (dabei natürlich keine alten 'Authentifizierungsrückstände' verwenden).

Mit dem gesicherten Beweismaterial auf jeden Fall zur Polizei gehen und Anzeige erstatten, damit Du im Falle eines Falles etwas in der Hand hast, sollte in der fraglichen Zeit irgendetwas Zweifelhaftes auf der Kiste gelaufen sein.
_________________
Dort wo schwarzer Rauch aufsteigt, sich alsbald ein Fehler zeigt.
www.paludis-sucks.org | www.gentoo.de | www.gentoo-ev.org | www.gentoo.org

think4urs11
Bodhisattva

Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

Posted: Thu Nov 02, 2006 5:51 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

artbody wrote:

Nun bin ich an der Überlegung, da ich im Atelier ne feste IP hab, den sshd-Zugang nur noch von dieser aus zuzulassen
(sicher nicht das falscheste)
...
Wie und was würdet ihr da machen?

Das übliche

Server vom Netz nehmen, vom sauberen Backup aus neu aufsetzen (oder gleich komplett neu installieren), sämtliche Dienste die von außen erreichbar sind umfassend abdichten (nicht nur den SSH; das Problem kann genausogut apache+php oder ftp oder oder oder entstanden sein), ein NIDS/HIDS installieren (snort/aide) installieren, per Firewall alle vom Server ausgehenden Verbindungen die nicht zwingend notwendig sind verbieten, hardening des Systems, ggf. SE-Linux, etc. pp ... am Ende den Server wieder online nehmen.
Wahlweise vorher Full-Image ziehen zur Analyse des Problems/Tathergangs.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

artbody
Guru
Guru

Joined: 15 Sep 2006
Posts: 494
Location: LB

Posted: Thu Nov 02, 2006 8:12 pm Post subject:

chkrootkit ergab:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

hat da jemand noch ne idee?

außer neuinstallieren, was frühestens am we geht.
_________________
Never give up
WM : E16 the true enlightenment
achim

beejay
Retired Dev

Joined: 03 Oct 2002
Posts: 924
Location: Flensungen (das liegt neben Merlau)

Posted: Thu Nov 02, 2006 8:36 pm Post subject:

artbody wrote:

chkrootkit ergab:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

hat da jemand noch ne idee?

außer neuinstallieren, was frühestens am we geht.

Du hast in dem Falle keine andere Möglichkeit als - wie weiter oben schon erwähnt - die Kiste unschädlich zu machen (z.B ins Rettungssystem booten) und neu zu installieren. Du kannst der Maschine nicht mehr trauen da Du nicht weisst wo was wann verändert wurde. Also nimm nun bitte möglichst schnell diese Dreckschleuder vom Netz (Deinen Mitmenschen im Netz zuliebe)
_________________
Dort wo schwarzer Rauch aufsteigt, sich alsbald ein Fehler zeigt.
www.paludis-sucks.org | www.gentoo.de | www.gentoo-ev.org | www.gentoo.org

amne
Bodhisattva

Joined: 17 Nov 2002
Posts: 6378
Location: Graz / EU

Posted: Thu Nov 02, 2006 9:02 pm Post subject:

Nur weil du die üblichen Verbindungsversuche auf ssh hast heisst das auf keinen Fall, dass der Einbruch über ssh erfolgt ist. Und wie schon gesagt, weg vom Netz und plattmachen die Kiste. _________________ Dinosaur week! (Ok, this thread is so last week)

Fauli
l33t
l33t

Joined: 24 Apr 2004
Posts: 760
Location: Moers, Germany

Posted: Thu Nov 02, 2006 9:28 pm Post subject:

beejay wrote:

Also nimm nun bitte möglichst schnell diese Dreckschleuder vom Netz (Deinen Mitmenschen im Netz zuliebe)

@artbody: Vielleicht läuft dort jetzt ein versteckter FTP-Server und erzeugt Unmengen an Traffic, den du später bezahlen musst. Es sollte also auch in deinem Interesse sein, den Rechner vom Netz zu nehmen.
_________________
Do your part to beautify the web! Turn off link underlining!

hoschi
Advocate

Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe

Posted: Sat Nov 04, 2006 11:41 am Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

Think4UrS11 wrote:

artbody wrote:

Nun bin ich an der Überlegung, da ich im Atelier ne feste IP hab, den sshd-Zugang nur noch von dieser aus zuzulassen
(sicher nicht das falscheste)
...
Wie und was würdet ihr da machen?

Insbesondere mit der Firewall waere ich doch sehr vorsichtig. Das System hat auf Anfragen die nicht an laufende Dienste die im Netz bereit stehen sollen schlichtweg nur zu Antworten, dass dieser Dienst nicht laueft. In dem man sich hunderte Sicherheitstools installiert verstoesst man gegen das KISS-Prinzip, reisst neue Luecken ins System und macht sich erst recht verwundbar. Was soll er den mit der Firewall machen, als die Dienste die ins Internet muessen durchzulassen?
Damit hat er jetzt nur noch mehr Angriffsflaeche geschaffen.

Ein sauberes Systemdesign (hier der Netzwerstack), sowie der voellige Verzicht auf (sinnlose) Dienste die auf das Netz hoeren sind wichtig. Fehlerfrei wird ein System wohl nie sein, weswegen Hardend oder auch SE-LINUX je nach Einsatzaufgabe eine Erwaegung wert sind. Eine Firewall macht aber nur Sinn wenn man genau weiss was man als Admin da im Netzwerk ueberwachen will (und zum Beobachten des Systems gibt es netstat), oder ein ganzes Netzwerk wegsperren will.
Wenn ein System sich nicht um sich selbst kuemmern kann, liegt es nahe einen schweren Designfehler oder eine Admin der einen oder mehrere Fehler gemacht hat zu vermuten. Windowsuser glauben zum Beispiel ihr System mit Ueberwachungssoftware die sich tief ins System einklinkt, Sofwarefirewalls, sowie zahlreiche Scanner fuer Viren, Trojaner, Spam, Spyware und Adaware sicherer zu machen? Ich war zwei Jahre mit Windows XP im Netz, ohne Virenscanner und Firewall, abgeschossen hat mich erst 2003 die verdammte RPC-Luecke, weil ein Dienst den keiner braucht auch noch aufs Netz gehoert hat. Es war mein Fehler.

Was nicht da ist, kann keine Probleme machen.

Ich reagiere so heftig auf diesen Vorschlag weil Ubuntu, Gentoo und GNU/LINUX allgemein kritisiert werden, weil die ganzen nutzlosen und ueberfluessigen Dienste und der Sicherheitsramsch nicht installiert werden. SSH hat in der Defaultinstallation schon mal genau so wenig was verloren wie eine Firewall, NICHTS!

Zur Abschreckung: http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

<edit /> Ich kann das Video nur empfehlen, fuer ein paar Lacher ist gesorgt. Besonders lustig ist es, mit anzusehen wie sich die Windose dank Personal-Firewall quasi selbstaendig aus dem Internet kickt. Ganz grosses Kino :mrgreen:

_________________
Just you and me strogg!

Last edited by hoschi on Sat Nov 04, 2006 4:05 pm; edited 2 times in total

think4urs11
Bodhisattva

Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

Posted: Sat Nov 04, 2006 3:00 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

hoschi wrote:

... vieles was durchaus richtig ist ...
Ich reagiere so heftig auf diesen Vorschlag weil Ubuntu, Gentoo und GNU/LINUX allgemein kritisiert werden, weil die ganzen nutzlosen und ueberfluessigen Dienste und der Sicherheitsramsch nicht installiert wird. SSH hat in der Defaultinstallation schon mal genau so wenig was verloren wie eine Firewall, NICHTS!

Schon klar das mußt du mir nicht sagen, ich bin Securityadmin bei einem global player

Es ging mir mehr um eine Aufzählung der Möglichkeiten als um 'muttu mindestens alles (gleichzeitig) machen'. Das primär natürlich Ziel sein sollte die Programme die auf dem Gerät notwendig sind so zu konfigurieren das sie 'sicher' sind sollte jedem klar sein; falls nicht besser Finger weg von der Systemadministration egal ob privat oder beruflich.
(OK, wer aus der Windowswelt kommt dem ist das meistens nicht klar da gebe ich dir vollkommen recht)
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

hoschi
Advocate

Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe

Posted: Sat Nov 04, 2006 4:01 pm Post subject:

War auch kein Angriff auf dich. Aber weil nahezu alle zu Sicherheitsnazis geworden sind, wollte ich direkt darauf eingehen. Ah, Global-Player, ja? Ja, ich arbeite da auch. Freitag Nachmittag, bei heise.de _________________ Just you and me strogg!

Carlo
Developer

Joined: 12 Aug 2002
Posts: 3356

Posted: Sat Nov 04, 2006 8:00 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

hoschi wrote:

Ich reagiere so heftig auf diesen Vorschlag weil Ubuntu, Gentoo und GNU/LINUX allgemein kritisiert werden, weil die ganzen nutzlosen und ueberfluessigen Dienste und der Sicherheitsramsch nicht installiert werden.

Ist mir noch nicht zu Ohren gekommen - aber gut, Dummköpfe gibt's überall. Daß man Server nur minimal notwendig exponiert, sollte für jeden, der sich mit der Materie beschäftigt hat, Basiswissen darstellen.

Darüber, daß das was unter Windows als Personal Firewall (PFW) verkauft wird, Mist ist und einen Single Point of Failure darstellt, braucht man nicht lange zu streiten, aber generell würde ich Filtern auf Anwendungsebene (auch Prozeß-bezogen) nicht verteufeln wollen. Man muß nur genau wissen was man damit erreichen kann, will und welche Risiken damit einhergehen. Man kann natürlich dahergehen und sagen, jede/r einzelne Anwendung/Dienst läuft in einer eigenen VM - aber irgendwo muß man eine vernünftige Relation von Sicherheit und Wirtschaftlichkeit finden.

Der wesentlich Faktor, daß PFWs unter Windows überhaupt eine recht hohe Verbreitung gefunden haben, ist doch einerseits, daß Windows a priori offen wie ein Scheunentor ist und andererseits, daß viele Hersteller es für nötig erachten, ihre Anwendungen "nach Hause telefonieren" oder aus anderen Gründen ungefragt irgendwelche Server kontaktieren (z.B. Phishing-Schutz oder andere "Komfort"-Funktionn) zu lassen, der (Heim-)Anwender wg. Würmeren, Trojanern etc. total verunsichert und mit der Situation jedoch völlig überfordert ist.

Auch für Linux ist mir eine PFW-Studie bekannt.
_________________
Please make sure that you have searched for an answer to a question after reading all the relevant docs.

hoschi
Advocate

Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe

Posted: Sat Nov 04, 2006 8:35 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

Carlo wrote:

Man kann natürlich dahergehen und sagen, jede/r einzelne Anwendung/Dienst läuft in einer eigenen VM - aber irgendwo muß man eine vernünftige Relation von Sicherheit und Wirtschaftlichkeit finden.

Du wirst lachen, aber ich kenne Leute die jeden einzelnen Dienst via XEN auf einer eigenen virtuellen Maschine laufen lassen.

Wenn man einfachere Systeme betrachtet:
http://wiki.ubuntuusers.de/Personal_Firewalls

Zu Avalon, entweder ist das kompletter Groessenwahnsinn oder Novell sollte ernsthaft ueber ein ganz neues Betriebssystem nachdenken. Bei Novell gehe ich aber vom Ersten aus.
_________________
Just you and me strogg!

Marlo
Veteran
Veteran

Joined: 26 Jul 2003
Posts: 1591

Posted: Sat Nov 04, 2006 9:39 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

artbody wrote:

Wie und was würdet ihr da machen?

Ich würde mich bei Herrn Xin Zhang, Telefon: +86-755-83432880, beschweren. :twisted:

~#dnsname 210.75.0.178 bringt:

Code:

user.nova.net.cn

Das ist der hier http://www.nova.net.cn/ ; und der hält Free Anonymous Proxy Servers vor.

Ma

[edit]

artbody wrote:

chkrootkit ergab:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Das scheint/kann false positiv sein --> http://list.linux-vserver.org/archive/vserver/msg13200.html

Carlo
Developer

Joined: 12 Aug 2002
Posts: 3356

Posted: Sat Nov 04, 2006 10:16 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

hoschi wrote:

Du wirst lachen, aber ich kenne Leute die jeden einzelnen Dienst via XEN auf einer eigenen virtuellen Maschine laufen lassen.

Nicht nur was die Sicherheit angeht, sondern auch spätere Migration betreffend, kann dies durchaus sinnvoll sein. Du wirst das nur nicht für jede Anwendung und jeden Benutzer machen (Browser, MUA, etc. in eigener VM) - das ist eine ganz andere Umgebung, um die es geht.

hoschi wrote:

Zu Avalon, entweder ist das kompletter Groessenwahnsinn oder Novell sollte ernsthaft ueber ein ganz neues Betriebssystem nachdenken. Bei Novell gehe ich aber vom Ersten aus.

Wenn du dir das PDF angeguckt hättest, wäre dir aufgefallen, daß es sich lediglich um eine Diplomarbeit eines Mitarbeiters handelt.
_________________
Please make sure that you have searched for an answer to a question after reading all the relevant docs.

think4urs11
Bodhisattva

Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

Posted: Sat Nov 04, 2006 10:18 pm Post subject:

hoschi wrote:

War auch kein Angriff auf dich. Aber weil nahezu alle zu Sicherheitsnazis geworden sind, wollte ich direkt darauf eingehen. Ah, Global-Player, ja?

Ja, ich arbeite da auch. Freitag Nachmittag, bei heise.de

ach du bist das

Aber als Sicherheitsnazi würde ich mich nicht bezeichnen, ich bin nur wesentlich paranoider als meine lieben Kollegen (speziell die von der Windowsfront), das ist alles. Schließlich und endlich muß man ja sehen wo man bleibt wenn sie ständig hinter einem her sind.
Von daher - Sicherheit ist eben kein Produkt sondern ein Prozeß, muß verstanden _und_ gelebt werden.
Der Trick dabei ist nur für die jeweilige Umgebung die passenden Tools auszuwählen, was allerdings ein gerüttelt Maß an Intelligenz und Fachwissen beim Admin erfordert. (selbst eine Windows PFW kann in manchen Szenarien durchaus das richtige Mittel sein)
Wissen ist nur durch eines zu schlagen - mehr Wissen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

artbody
Guru
Guru

Joined: 15 Sep 2006
Posts: 494
Location: LB

Posted: Sun Nov 05, 2006 8:27 pm Post subject:

Nun aus Schaden wird man klug
- aber Dummen ein saudummen Rat zu geben ist sicher nicht Gentoo-user like oder?
(Danke für's versaute WE)

Also Kiste (vs rootserver bei server4you) per Admininterface plattgemacht und neu aufgesetzt
Firewall
Denny all ..
Accept only my IP

chkrootkit:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

also was völlig anderes, denn innerhalb von 2 Minuten ein trojaner auf ne neuinstallierte Kiste müsste schon...

So ihr Profis wie macht man den vor ps versteckten process sichtbar ....
_________________
Never give up
WM : E16 the true enlightenment
achim

firefly
Watchman

Joined: 31 Oct 2002
Posts: 5329

Posted: Sun Nov 05, 2006 8:36 pm Post subject:

wenn die ein image verwernden beim neuinstallieren über das admin web interface, kann es sein, daß das image vor kurzem upgedated wurde. Und wenn vor dem letzten update des images, da schon lkm bzw. bindshell auf deinem system "installiert" wurde, dann befinden sie sich auch auf dem backup image. _________________ Ein Ring, sie zu knechten, sie alle zu finden, Ins Dunkel zu treiben und ewig zu binden Im Lande Mordor, wo die Schatten drohn.

hoschi
Advocate

Joined: 19 Jul 2003
Posts: 2517
Location: Ulm, Germany, Europe

Posted: Sun Nov 05, 2006 8:40 pm Post subject: Re: Hackertätigkeit - Angriff auf Server - Tips & Hilfe

Carlo wrote:

hoschi wrote:

Du wirst lachen, aber ich kenne Leute die jeden einzelnen Dienst via XEN auf einer eigenen virtuellen Maschine laufen lassen.

hoschi wrote:

Zu Avalon, entweder ist das kompletter Groessenwahnsinn oder Novell sollte ernsthaft ueber ein ganz neues Betriebssystem nachdenken. Bei Novell gehe ich aber vom Ersten aus.

Wenn du dir das PDF angeguckt hättest, wäre dir aufgefallen, daß es sich lediglich um eine Diplomarbeit eines Mitarbeiters handelt.

Habe ich gesehen. Aber du hast recht, ersetzen wir also Novell durch den groessenwahnsinnigen Studenten.
Halt. Moment, Linus wollte ja auch nur einen Terminal-Emulator schreiben

_________________
Just you and me strogg!

Anarcho
Advocate

Joined: 06 Jun 2004
Posts: 2970
Location: Germany

Posted: Sun Nov 05, 2006 8:42 pm Post subject:

artbody wrote:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

also was völlig anderes, denn innerhalb von 2 Minuten ein trojaner auf ne neuinstallierte Kiste müsste schon...

So ihr Profis wie macht man den vor ps versteckten process sichtbar ....

Hast du den Post von Marlo nicht gelesen?

Marlo wrote:

artbody wrote:

Wie und was würdet ihr da machen?

Ich würde mich bei Herrn Xin Zhang, Telefon: +86-755-83432880, beschweren. :twisted:

~#dnsname 210.75.0.178 bringt:

Code:

user.nova.net.cn

Das ist der hier http://www.nova.net.cn/ ; und der hält Free Anonymous Proxy Servers vor.

Ma

[edit]

artbody wrote:

chkrootkit ergab:

Code:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Das scheint/kann false positiv sein --> http://list.linux-vserver.org/archive/vserver/msg13200.html

Dazu muss ich aber sagen das es sicher NICHT sinnlos war das Teil neu aufzusetzen da du ja entsprechende Dateien auf deinem Server gefunden hast. Leider lässt es sich dann nicht genau sagen ob es zu einem ausführen kam oder eben nicht. Von daher war das neu installieren sicher die richtige Entscheidung.
_________________
...it's only Rock'n'Roll, but I like it!

Marlo
Veteran
Veteran

Joined: 26 Jul 2003
Posts: 1591

Posted: Sun Nov 05, 2006 9:03 pm Post subject:

Anarcho wrote:

...Dazu muss ich aber sagen das es sicher NICHT sinnlos war das Teil neu aufzusetzen da du ja entsprechende Dateien auf deinem Server gefunden hast... Von daher war das neu installieren sicher die richtige Entscheidung.

ACK, besonders wenn da etwas false positiv ist. Das sind zwei völlig verschiedene Themen.

[noch mal EDIT]
Also
http://www.nova.net.cn/ gibt jedem internen Benutzer die Kennung user.nova.net.cn. Dieser user kann aus cn kommen oder über den proxy.
Nun mach mal etwas. Aber was?

Da ist das platt machen, denke ich, billiger als ein Telefongespräch oder zig Mails.
Ma

[also noch ein EDIT]
Woher sollte John die Wordlist für "art" in de haben, wenn er aus cn kommt? Absolut unmöglich! Oder habt Ihr eine Liste für cn, ich nicht. Also kommt John aus de, aber auch hier haben wir verschiedene Kulturen, Musik, Malerei, Kunst im weitesten Sinne. Dort gibt es den verschiedensten Sprachgebrauch, Vorlieben, Modeworte, Slang u.s.w. Es gibt Partys, Gespräche, Prahlerei und manch vertrauliches Geflüstere... und lange Ohren. Aber die können auch schreiben z.b. eine passwd.txt.

artbody
Guru
Guru

Joined: 15 Sep 2006
Posts: 494
Location: LB

Posted: Mon Nov 06, 2006 7:32 am Post subject:

Quote:

...dann befinden sie sich auch auf dem backup image....

Nein ich habe ein eigenes Backupscript am laufen,welches nur .../web1 bis ./web7 (7 subuser / virtual domains) + passende DB-dumps erstellt und an meinen Gentoo-only-Rechner zuhause schickt.

Der Rechner wurde mit einem neuen Linux aufgesetzt. Firewall wie gesagt :deny all - allow IP MEINE
chkrootkit

und dann erst das Backup

Die hochgeladenen Daten sind nur auf web7 zu finden gewesen.
so gehe ich jetzt mal von einer Sicherheitslücke in tikiWiki aus.

Naja gelernt hab ich mal wieder was.

Weiß hier jemand wie man solche versteckten Prozesse sichtbar macht?
lsmod ?
....
gibt es da tools?
_________________
Never give up
WM : E16 the true enlightenment
achim

dertobi123
Retired Dev

Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany

Posted: Mon Nov 06, 2006 7:38 am Post subject:

artbody wrote:

Die hochgeladenen Daten sind nur auf web7 zu finden gewesen.
so gehe ich jetzt mal von einer Sicherheitslücke in tikiWiki aus.

Was sich dann wieder mit http://www.gentoo.org/security/en/glsa/glsa-200609-16.xml decken würde, wo u.a. von Remode Code Execution die Rede ist.

artbody
Guru
Guru

Joined: 15 Sep 2006
Posts: 494
Location: LB

Posted: Mon Nov 06, 2006 8:39 am Post subject:

dertobi123 wrote:

Was sich dann wieder mit http://www.gentoo.org/security/en/glsa/glsa-200609-16.xml decken würde, wo u.a. von Remode Code Execution die Rede ist.

Ja schaut genau so aus.
_________________
Never give up
WM : E16 the true enlightenment
achim

beejay
Retired Dev

Joined: 03 Oct 2002
Posts: 924
Location: Flensungen (das liegt neben Merlau)

Posted: Mon Nov 06, 2006 9:49 am Post subject:

artbody wrote:

dertobi123 wrote:

Was sich dann wieder mit http://www.gentoo.org/security/en/glsa/glsa-200609-16.xml decken würde, wo u.a. von Remode Code Execution die Rede ist.

Ja schaut genau so aus.

Das bedeutet also im Umkehrschluss, dass Du keine Security-Bulletings liest, speziell keine zu der installierten Software? Böse, Böse, Böse...
_________________
Dort wo schwarzer Rauch aufsteigt, sich alsbald ein Fehler zeigt.
www.paludis-sucks.org | www.gentoo.de | www.gentoo-ev.org | www.gentoo.org

Display posts from previous:

	Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum	All times are GMT Goto page 1, 2 Next
Page 1 of 2

Jump to:

You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum

Copyright 2001-2025 Gentoo Foundation, Inc. Designed by Kyle Manna © 2003; Style derived from original subSilver theme. | Hosting by Gossamer Threads Inc. © | Powered by phpBB 2.0.23-gentoo-p11 © 2001, 2002 phpBB Group
Privacy Policy