hallo zusammen

einer unserer internet-rechner ist mit viren verseucht

gefunden habe ich

linux/lion.worm
und
linux/rootkit-c

bei dem rechner sind alle ports ausser http 80 und ssh 22 gesperrt

virenscanner für email ist aktiv (neuste dateien)
hat aber nichts beanstandet

frage

wie sind die viren auf den rechner gekommen


besten dank im voraus
hjn

wenn, dann ist das kein virus sondern ein root kit. check mal die files unter /sbin und /usr/sbin ob die ausgetauscht sind und schau dir die shadow an. ändern alle passwörter.


hast du tripwire oder so drauf?

hallo

rootkit ist schon richtig

virenscanner habe ich manuel gestartet
hat auch schon einiges gefunden

ist allerdings noch nicht fertig (ca. 500 000 datein auf dem rechner)

tripwire ist nicht drauf

ausserdem kann ich mich nicht als root anmelden
nach password eingabe fehlermeldung

"EXCEEDED FAILURE LIMIT FOR ROOT (NULL)"

über ssh mit key bekamm ich wenigstens als root auf den rechner
wie bekomme ich den root fehler weg damit ich mich von der konsole anmelden kann

hjn

Das Rootkit ist entweder von einem Cracker/ScriptKiddy über eine Sicherheitslücke im SSH- oder Webserver installiert worden.
ODER von einem Bösen User/DAU.

Den Virus ? Mhh...
Vielleicht vom selben der das Rootkit installiert hat.

Naja, oder eine andere der Millionen von Möglichkeiten.

hallo

noch vergessen

suse 8.2
mit neuster version von openssh

hjn

Wo ist der Angeschlossen? Internet und/oder LAN?
Welche Dienste laufen? Hast du ein einfaches root Passwort benutzt? (z.B. Linux?)
Feste oder dynamische IP-Adresse? PHP?

Die neueste Version von openssh kann in 8.2 noch gar nicht enthalten sein. Es wurden in letzter Zeit mehrere Sicherheitslücken in openssh bekannt, für die SuSE auf ihrem Updateserver neue RPMs bereitgestellt haben. Auf jeden Fall einspielen, würde ich sagen.

Gruß
D.O.



Original geschrieben von hjn
hallo

noch vergessen

suse 8.2
mit neuster version von openssh

hjn

ich würde den Rechner schleunigst vom Netz nehmen und durchchecken, und wenn nötig neu aufsetzen, und diesmal die Patches für Openssh ect. einspielen, bevor du den Rechner ans Netz hängst!! ;)

MFG: Linuxexplorer

hallo

natürlich ist der rechner vom org. netz weg
(ich habe ein kleines reparatur netz aufgebaut)

der rechner ist ans internet dsl
und
ans lan angeschlossen

das password ist eigendlich sehr gut

http und php laufen für interne zwecke

immer neuste version von openssh update server suse eingespielt

neu aufsetzen ist sehr viel arbeit
ich habe leider kein neues backup
reparieren ist besser wenn es geht

wie bekomme ich diesen fehler beim root login weg

"EXCEEDED FAILURE LIMIT FOR ROOT (NULL)"

über einen benutzer und dann mit "su root"
bekomme ich jetzt root rechte

ich hoffe die antworten reichen
hjn

Was genau ist denn ein rootkit?

Original geschrieben von DarkSorcerer
Was genau ist denn ein rootkit?

Ein Satz von speziellen Programmen und Scripten, die die Originale wie z. B. den "ps"-Befehl u. a. ersetzen und so programmiert sind, daß sie die Aktivitäten des Angreifers verschleiern. Backdoors in Systemdiensten, versteckte Root-User usw. gehören auch oft dazu.

hallo

hat denn keiner eine tipp wie ich die fehlermeldung

"EXCEEDED FAILURE LIMIT FOR ROOT (NULL)"

weg bekomme

ps. bitte nicht neuinstallation oder backup

danke
hjn

faillog -r sollte da helfen.
Uebrigens ist dies darauf zurueck zu fuehren, das jemand wahrscheinlich einen "Brut-Force" Angriff versucht hat, bzw. das Root-Kid dies gemacht hat.

T;o)Mes

Blubber...hast du irgendwelche Backups?

Du musst ja nicht alle Dateien wiederherstellen, aber ich würde schon den Kernel (mit allen Modulen!!) und die Fileutils (ls, ps...) ersetzen.

PS: Wie stelle ich mein root-Passwort wieder her: http://www.zotteljedi.de/doc/recover-passwd-mini-HOWTO.de.html

PS2: Tripwire kann in Zukunft schon nützlich sein!

PS3: Steig auf eine Distro mit ordentlichen Updates um!

hallo susammen
und noch mals vielen dank

"faillog -r" hat geholfen

wann die dinger aktiv wurden konnte ich genau feststellen (datum und uhrzeit)
in denn log dateien wurde natürlich nichts mehr mitprotokoliert

ich habe viele dateien gefunden mit dem selben datum und uhrzeit
die das virus oder das rootkit ersetzt hatten
also habe ich viele dateinen erneuert
ausserdem wurden in vielen dateien zeilen angehängt
musste ich naturlich auch editieren

virenscanner zeigen nun keine fehler mehr an

allerdings habe ich nirgens einen hinweis gefunden, das die dinger
aus dem internet gekommen sind
also evt aus dem lan
ich werde nun das ganze lan auf unix-viren untersuchen

noch mals vielen dank an alle
hjn

hallo

noch vergessen

an mrsuicide
"PS3: Steig auf eine Distro mit ordentlichen Updates um!"

zum beispiel ???

hjn

Original geschrieben von hjn
hallo susammen
und noch mals vielen dank

"faillog -r" hat geholfen

wann die dinger aktiv wurden konnte ich genau feststellen (datum und uhrzeit)
in denn log dateien wurde natürlich nichts mehr mitprotokoliert

ich habe viele dateien gefunden mit dem selben datum und uhrzeit
die das virus oder das rootkit ersetzt hatten
also habe ich viele dateinen erneuert
ausserdem wurden in vielen dateien zeilen angehängt
musste ich naturlich auch editieren

virenscanner zeigen nun keine fehler mehr an

allerdings habe ich nirgens einen hinweis gefunden, das die dinger
aus dem internet gekommen sind
also evt aus dem lan
ich werde nun das ganze lan auf unix-viren untersuchen

noch mals vielen dank an alle
hjn
Ist es ein Terminal?
Villeicht hat jemand dein Root-PW rausbekommen und sich lokal angemeldet oder einfach mit Grub und dem Kernelparameter init=/bin/bash gebbotet und einfach das root-Passwort geändert (ohne irgendeine Passwortabfrage)!

Ups...Doppelposting!