Falsche Uptime? Hacker?

Thalionath · Posted: Mon May 26, 2003 6:20 pm Post subject: Falsche Uptime? Hacker?

Als ich heute die uptime meines Servers überprüfte, habe ich festgestellt, dass dieser angeblich vor knapp 4 Tagen neu gebootet wurde. Die Bootup time und die Startzeiten der Serverprozesse bestätigen dies.

Ich habe diesen reboot aber nicht durch geführt! In den Logs finde ich auch keine shutdown message!

Die Bootuptime ist 20:03:48 und um 20:03:20 hab ich nen log eintrag vom POP Server.... dass würde heissen, dass der Server innerhalb von 18 Sekunden komplett neu gebootet hat!? ( Gentoo bootet schnel aber sooo schnell

- vorallem gehen noch 10 sek. für den Bootloader drauf )

Stromausfall gab es meinens Wissens nicht (wäre ein wirklich kurzer Powercut gewesen). Könnte dies das Werk eines Hackers sein? Oder spielt sonst was verrückt?

PS: Ich hole die Zeit täglich einmal bei nem Timeserver ab.

kopfarzt · Posted: Mon May 26, 2003 7:02 pm Post subject:

Falls es ein Hacker war, hat er bestimmt einiges hinterlassen. Z.B. einen Prozess, der am Netzwerk lauscht (sieh dir mal netstat -nlp an) oder ein rootkit. Such nach chkrootkit, damit kannst Du nach spuren bekannter rootkits suchen.

Ausserdem solltest Du überlegen, welche Dienste am Server laufen. Wenn Du die hier postest, kann man besser überlegen, ob und wie eine Hackerattacke zustandegekommen sein könnte.

kopfarzt

...der heute auf einer anderen Distribution einen Hacker mit bind+ptrace bug entdeckt hat :-(

MasterOfMagic · Posted: Mon May 26, 2003 7:29 pm Post subject:

also wenn es ein hacker war, dann würde ich die kiste schnellstmöglich vom netz nehmen und das teil analysieren. kann es vielleicht sein, dass der kernel abgegurkt ist, oder das ding zu heiss wurde und deswegen rebootet hat? falls es ne attacke war kannst du der maschine sowieso nicht mehr trauen. vermutlich sind einige binaries ersetzt worden oder ähnliches, aber wie schon gesagt erstmal prüfen ob irgendwo was verdächtiges lauscht und vor allem sofort vom netz erstmal nehmen.

mfg
masterofmagic
_________________
Gentoo 1.4
Kernel 2.4.24
KDE 3.1.5

Thalionath · Posted: Mon May 26, 2003 9:36 pm Post subject:

Das besagte Rootkit hab ich als portage...

./usr/portage/app-admin/chkrootkit

Es sind keine lauschenden Prozesse vorhanden.... muss das aber noch mit nem Portscann checken....

Auch sonst hab ich nichts auffälliges gefunden bis auf nen Eintrag in last:

6115 ****H******* utest Thu Jan 1 01:00 still logged in

Was machen die Sternchen und das komische Date da? Der User hat sich laut FTP log korrekt angemeldet.

Auf dem Testrechner laufen Bind (9.2.1), Proftp (1.2.7), sshd (latest), mysql (3.x latest) und sendmail (12.8.9 latest)

MasterOfMagic · Posted: Mon May 26, 2003 11:18 pm Post subject:

tja ich tippe dann mal auf bind. aktuell ist bind 9.2.2 im forum gibt es dazu auch was https://forums.gentoo.org/viewtopic.php?t=12049

mfg
masterofmagic
_________________
Gentoo 1.4
Kernel 2.4.24
KDE 3.1.5

cschwede · Posted: Thu May 29, 2003 9:44 am Post subject: Normal

Hi,
in neueren Kernelversionen wurde der "JIFFIE"-Wert geändert, der die Anzahl der Kernel-Ticks beeinflusst, bevor der Kernel Prozesse unterbrechen kann. Da die meisten Maschinen heute im GHz-Bereich arbeiten, war der alte Wert (100) zu klein, da die CPU u.U. bis zu 10 Millionen Instruktionen ausführen musste, bevor ein Prozess unterbrochen werden konnte.
Das ist natürlich alles schön und gut, hat aber einen kleinen Haken: war vorher ein maximaler Uptime-Wert von 497 Tagen bei Linuxbüchsen möglich, sind es jetzt nur noch 49.7 (Erhöhung des Wertes von 100 auf 1000).
Also wohl kein Hack, sondern nur n "Uptime-Reset".

Schönen Feiertag noch, Christian