Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zu Viren
hallo zusammen
einer unserer internet-rechner ist mit viren verseucht
gefunden habe ich
linux/lion.worm
und
linux/rootkit-c
bei dem rechner sind alle ports ausser http 80 und ssh 22 gesperrt
virenscanner für email ist aktiv (neuste dateien)
hat aber nichts beanstandet
frage
wie sind die viren auf den rechner gekommen
besten dank im voraus
hjn
wenn, dann ist das kein virus sondern ein root kit. check mal die files unter /sbin und /usr/sbin ob die ausgetauscht sind und schau dir die shadow an. ändern alle passwörter.
hast du tripwire oder so drauf?
hallo
rootkit ist schon richtig
virenscanner habe ich manuel gestartet
hat auch schon einiges gefunden
ist allerdings noch nicht fertig (ca. 500 000 datein auf dem rechner)
tripwire ist nicht drauf
ausserdem kann ich mich nicht als root anmelden
nach password eingabe fehlermeldung
"EXCEEDED FAILURE LIMIT FOR ROOT (NULL)"
über ssh mit key bekamm ich wenigstens als root auf den rechner
wie bekomme ich den root fehler weg damit ich mich von der konsole anmelden kann
hjn
Das Rootkit ist entweder von einem Cracker/ScriptKiddy über eine Sicherheitslücke im SSH- oder Webserver installiert worden.
ODER von einem Bösen User/DAU.
Den Virus ? Mhh...
Vielleicht vom selben der das Rootkit installiert hat.
Naja, oder eine andere der Millionen von Möglichkeiten.
hallo
noch vergessen
suse 8.2
mit neuster version von openssh
hjn
Wo ist der Angeschlossen? Internet und/oder LAN?
Welche Dienste laufen? Hast du ein einfaches root Passwort benutzt? (z.B. Linux?)
Feste oder dynamische IP-Adresse? PHP?
DarkObserver
09.10.03, 16:32
Die neueste Version von openssh kann in 8.2 noch gar nicht enthalten sein. Es wurden in letzter Zeit mehrere Sicherheitslücken in openssh bekannt, für die SuSE auf ihrem Updateserver neue RPMs bereitgestellt haben. Auf jeden Fall einspielen, würde ich sagen.
Gruß
D.O.
Original geschrieben von hjn
hallo
noch vergessen
suse 8.2
mit neuster version von openssh
hjn
Linuxexplorer
09.10.03, 19:08
ich würde den Rechner schleunigst vom Netz nehmen und durchchecken, und wenn nötig neu aufsetzen, und diesmal die Patches für Openssh ect. einspielen, bevor du den Rechner ans Netz hängst!! ;)
MFG: Linuxexplorer
hallo
natürlich ist der rechner vom org. netz weg
(ich habe ein kleines reparatur netz aufgebaut)
der rechner ist ans internet dsl
und
ans lan angeschlossen
das password ist eigendlich sehr gut
http und php laufen für interne zwecke
immer neuste version von openssh update server suse eingespielt
neu aufsetzen ist sehr viel arbeit
ich habe leider kein neues backup
reparieren ist besser wenn es geht
wie bekomme ich diesen fehler beim root login weg
"EXCEEDED FAILURE LIMIT FOR ROOT (NULL)"
über einen benutzer und dann mit "su root"
bekomme ich jetzt root rechte
ich hoffe die antworten reichen
hjn
DarkSorcerer
10.10.03, 07:37
Was genau ist denn ein rootkit?
DarkObserver
10.10.03, 08:30
Original geschrieben von DarkSorcerer
Was genau ist denn ein rootkit?
Ein Satz von speziellen Programmen und Scripten, die die Originale wie z. B. den "ps"-Befehl u. a. ersetzen und so programmiert sind, daß sie die Aktivitäten des Angreifers verschleiern. Backdoors in Systemdiensten, versteckte Root-User usw. gehören auch oft dazu.
hallo
hat denn keiner eine tipp wie ich die fehlermeldung
"EXCEEDED FAILURE LIMIT FOR ROOT (NULL)"
weg bekomme
ps. bitte nicht neuinstallation oder backup
danke
hjn
faillog -r sollte da helfen.
Uebrigens ist dies darauf zurueck zu fuehren, das jemand wahrscheinlich einen "Brut-Force" Angriff versucht hat, bzw. das Root-Kid dies gemacht hat.
T;o)Mes
Blubber...hast du irgendwelche Backups?
Du musst ja nicht alle Dateien wiederherstellen, aber ich würde schon den Kernel (mit allen Modulen!!) und die Fileutils (ls, ps...) ersetzen.
PS: Wie stelle ich mein root-Passwort wieder her: http://www.zotteljedi.de/doc/recover-passwd-mini-HOWTO.de.html
PS2: Tripwire kann in Zukunft schon nützlich sein!
PS3: Steig auf eine Distro mit ordentlichen Updates um!
hallo susammen
und noch mals vielen dank
"faillog -r" hat geholfen
wann die dinger aktiv wurden konnte ich genau feststellen (datum und uhrzeit)
in denn log dateien wurde natürlich nichts mehr mitprotokoliert
ich habe viele dateien gefunden mit dem selben datum und uhrzeit
die das virus oder das rootkit ersetzt hatten
also habe ich viele dateinen erneuert
ausserdem wurden in vielen dateien zeilen angehängt
musste ich naturlich auch editieren
virenscanner zeigen nun keine fehler mehr an
allerdings habe ich nirgens einen hinweis gefunden, das die dinger
aus dem internet gekommen sind
also evt aus dem lan
ich werde nun das ganze lan auf unix-viren untersuchen
noch mals vielen dank an alle
hjn
hallo
noch vergessen
an mrsuicide
"PS3: Steig auf eine Distro mit ordentlichen Updates um!"
zum beispiel ???
hjn
Original geschrieben von hjn
hallo susammen
und noch mals vielen dank
"faillog -r" hat geholfen
wann die dinger aktiv wurden konnte ich genau feststellen (datum und uhrzeit)
in denn log dateien wurde natürlich nichts mehr mitprotokoliert
ich habe viele dateien gefunden mit dem selben datum und uhrzeit
die das virus oder das rootkit ersetzt hatten
also habe ich viele dateinen erneuert
ausserdem wurden in vielen dateien zeilen angehängt
musste ich naturlich auch editieren
virenscanner zeigen nun keine fehler mehr an
allerdings habe ich nirgens einen hinweis gefunden, das die dinger
aus dem internet gekommen sind
also evt aus dem lan
ich werde nun das ganze lan auf unix-viren untersuchen
noch mals vielen dank an alle
hjn
Ist es ein Terminal?
Villeicht hat jemand dein Root-PW rausbekommen und sich lokal angemeldet oder einfach mit Grub und dem Kernelparameter init=/bin/bash gebbotet und einfach das root-Passwort geändert (ohne irgendeine Passwortabfrage)!
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.