Hallo zusammen

Ich habe hier ein "merkwürdiges Problem" das mich ein bisschen unsicher stimmt.

Zusammenfassung des Problems: Wenn ich im Mozilla auf eine Seite gehe, und diese heruntergeladen wird, zeigt mir torsmo, gkrellm gleichzeitig ein grosser upload an (manchmal sogar bis zu 14kb/s).

Nachdem ich das bemerkt hatte, habe ich natürlich soffort zunächst mal den Rechner vom Netzt genommen. Wir sind hier hinter einer Hardwarefirewall. Wie schon beschrieben, wenn ich hier im Forum z.B. auf suche gehen, und dann anfängt herunterzuladen ... habe ich gleichzeitig immer auch ein (für mich sieht's so aus) doch recht hoher upload.
Nachdem ich also den Rechner vom Netz genommen habe, habe ich natürlich so wie's sich in meinen Augen gehört, heruntergefahren und von knoppix gebootet und chkrootkit laufen lassen.
Ich versuche jetzt mal das so detailiert wie möglich zu schildern denn vielleicht sieht dann jemand einen Überlegungsfehler, denn ich vielleicht gemacht habe.
Vorneweg muss gesagt werden ich finde (er findet) kein rootkit, was ja eigentlich erleichternd wäre, jedoch könnte ich ja was falsch gemacht haben, deshalb mal hier eine so asufühliche wie ichs hinkriege:
Die Partitionierung sieht folgendermassen aus:


/dev/hda1 / ext3 defaults,errors=remount-ro 0 1
/dev/hda9 /home xfs defaults 0 2
/dev/hda7 /opt xfs defaults 0 2
/dev/hda5 /tmp xfs defaults 0 2
/dev/hda2 /usr xfs defaults 0 2
/dev/hda6 /var xfs defaults 0 2

Also habe ich unter knoppix folgendes gemacht:


mount -o ro /dev/hda1 /mnt/hda1
mount -o ro /dev/hda2 /mnt/hda1/usr
mount -o ro /dev/hda5 /mnt/hda1/tmp
mount -o ro /dev/hda6 /mnt/hda1/var
mount -o ro /dev/hda7 /mnt/hda1/opt
cd /mnt/hda1
chrootkit -r /mnt/hda1

Ich weiss nicht ob ich jetzt da etwas falsch gemacht habe, aber er findet nicht. Also wenn ich also alles richtig gemacht hätte, dann wäre ich einerseits erleichter, dasseventuell doch nichts da ist, andererseits befürchte ich dass es vielleicht noch schlimmer ist ... :(

Als nächstes habe ich also debian wieder gebootet, und ethereal laufen lassen. Jedoch komme ich da jetzt nicht mehr wirklich weiter, ich verstehe jetzt im Moment überhaupt nichts mehr. Deshalb habe ich mal einen Ausschnitt des scans (im libpcap-format) als Anahng angefügt, vielleicht sieht dann ja jemand irgendetwas.

Ich danke alle, die bis hierher gelesen haben und sich die Mühe gemacht haben meinen Text zu verstehen, muss gestehen bin momentan gerade ein bisschen verweirrt deswegen.

Wenn es noch mehr Infos braucht, werde ich diese natürlich im Rahmen meiner Möglichkeiten natürlich soffort nachliefern.

Anhänge (kann ich nicht hochladen, deshalb hier auf den webspace)
gelöscht
gelöscht
gelöscht
Wegen absoluter Dummheit eines Ignoranten Users Anhänge nicht mehr verfügbar ...
Ist zum slapen sowas.

MfG carnil

Ruf doch mal eine Seite auf und Filter im Ethereal alles raus, was nicht zu dieser Seite geht.
Es reicht ja eine "kleine" Seite, wie z.B. Google.

Hi

Zunächst mal Danke für eine Antwort.

Gute Idee ... sobald ich wieder ran kann, mache ich das mal, mal schauen ob ich dschlau werde aus den Daten ...

Für jeden weiteren möglichen Lösungsansatz bzw. was ich noch weiter versuchen könnte, bin ich natürlich weiterhin dankbar und froh.

Noch eine Frage: das mit dem chkrootkit wie ich's oben gemacht habe, war schon richtig ... also eher kein "Bedienungsfehler" oder?

Danke mal an alle die das überhaupt gelesen haben.

MfG carnil

chrootkit -r /mnt/hda1

Nö, is schon ok so. Hätte aber noch die anderen
Partiionen überprüft, mindestens aber noch /usr


Haste auch mal mit netstat überprüft was alles so am lauschen ist?
Ansonsten sollte Ethereal erkenntnisse bringen.
Ein Blick auf top oder ps könnte auch noch hilfreich sein.

Grüße
DaGrrr

Haste auch mal mit netstat überprüft was alles so am lauschen ist?
Ansonsten sollte Ethereal erkenntnisse bringen.
Ein Blick auf top oder ps könnte auch noch hilfreich sein.


Naja, wenn das rootkit diese Tools ersetzt hat bzw. Systemfunktionen darunter ersetzt hat, nützt das nimmer viel. Ethereal könnte aber Sinn machen auf einem nicht-kompromittierten Rechner "dazwischen", dem man vertrauen kann.

Vielleicht findet rkhunter was?

Scriptkiddies, fu...

Nö, is schon ok so. Hätte aber noch die anderen
Partiionen überprüft, mindestens aber noch /usr

Hmm, ok ... dann muss ich das noch machen. Eigentlich dachte ich, wenn ich das wie oben mounte und die Option -r benütze:


-r dir Use dir as the root directory.

dass dann chkrootkit "vorgekaukelt" wird, /mnt/hda1 sein / und demzufolge dann alles "am richtigen Ort ist".


Haste auch mal mit netstat überprüft was alles so am lauschen ist?
Ansonsten sollte Ethereal erkenntnisse bringen.
Ein Blick auf top oder ps könnte auch noch hilfreich sein.

Top und ps zeigen irgendwie nichts ungewöhnliches an, aber wenn da ja wirklich ein rootkit drauf wäre, könnte man doch den Ausgaben von top und ps nicht unbedingt vertrauen.
Das problem bei mir leigt nun leider beim analysieren der Daten die Ethereal leifert.

Zunächst noch einige weitere Erkenntnisse: Ich habe als weitere Browser noch konqueror versucht, sowie lynx. Beim konqueror gibt es häufig denselben Effekt, bei lynx weniger ausgeprägt. Ich weiss nicht ob ich jetzt das so interpretieren kann, dass es eventuell an den browser liegen könnte, oder dieser Effekt bei lynx nicht aufauchen kann, weil der doch etwas schneller ist.

Bei der Analyse der Daten von Etheral ist mir leider auch nichts merkwürdiges aufgefallen. Er downloadet von der Seite, und dann gibt es noch einen haufen Packete die zurück zu der Seite gesendet werden. Hmm, irgendwie das jetzt in Worten zu erklären ist schwierig ... und die Daten posten ... den Fehler mache ich nicht noch einmal.

Ich muss mich wohl weiter in Ethereal einarbeiten, denn wie schon oben gesagt habe ich von diesen Dingen leider (noch) keine grosse Ahnung ... :(



Naja, wenn das rootkit diese Tools ersetzt hat bzw. Systemfunktionen darunter ersetzt hat, nützt das nimmer viel. Ethereal könnte aber Sinn machen auf einem nicht-kompromittierten Rechner "dazwischen", dem man vertrauen kann.

:( auch hier ... habe leider Momentan keine Möglichkeit einen weiteren Rechner dazwischen zu schalten (zwischen meinen Rechner und den Router) ... werde sobal ich einen auftreiben kann, dies natürlich auch versuchen.

Ich bin wirklich für jeden Tipp dankbar den ich erhalben habe ... auch wenn ich jetzt ein bisschen spät darauf geantwortet habe.



Vielleicht findet rkhunter was?

Scriptkiddies, fu...

Ja danke auch für diesen weiteren Tipp: rkhunter kenne ich noch garn nicht ... mal schauen ob das auf der knoppix-cd auch drauf ist. Ansonsten würdest du eine Live-Distri kennen wo das enthalten ist?

Ich werde mich dann nochmals weiter daran versuchen.

An alle die sich her an einer Lösung und Lösungsansätze beteiligt haben, möchte ich mein Dankeschön aussprechen ...

MfG carnil

Zunächst noch einige weitere Erkenntnisse: Ich habe als weitere Browser noch konqueror versucht, sowie lynx. Beim konqueror gibt es häufig denselben Effekt, bei lynx weniger ausgeprägt. Ich weiss nicht ob ich jetzt das so interpretieren kann, dass es eventuell an den browser liegen könnte, oder dieser Effekt bei lynx nicht aufauchen kann, weil der doch etwas schneller ist.
Lynx kann weder Java noch JavaScript.
Deaktiviere also mal bei Konqueror und Mozilla das ganze Java-Geraffel und browse dann wie gewohnt.
Sollte eine Veränderung eintreten, so surfst Du auf Seiten mit zweifelhaften Javainhalten. Mozilla speichert das Zeug in .jpi_cache.

:( auch hier ... habe leider Momentan keine Möglichkeit einen weiteren Rechner dazwischen zu schalten (zwischen meinen Rechner und den Router) ... werde sobal ich einen auftreiben kann, dies natürlich auch versuchen.
MfG carnil

Ein Geek, wie du hat doch bestimmt noch einen Rechner. Den musst du nur mit ins Netzwerk einbinden. Und dann sniffst du mit ettercap die Verbindung zwischen Router und dem zweifelhaften Rechner aus. Geht ganz einfach. ;)

Hi
Lynx kann weder Java noch JavaScript.
Deaktiviere also mal bei Konqueror und Mozilla das ganze Java-Geraffel und browse dann wie gewohnt.

Habe ich gemacht, tritt häufig der Effekt immer noch auf ... was mich aber ein bisschen stört:


Sollte eine Veränderung eintreten, so surfst Du auf Seiten mit zweifelhaften Javainhalten. Mozilla speichert das Zeug in .jpi_cache.
Ich surfe ja gar nicht auf Seiten mit zwiefelhaften Javainhalten? :( Naja, z.B. ziemlich stark tritt das zum Beispiel hier bei www.linuxforen.de auf ... als ich JavaScript noch aktiviert hatte, war es irgendwie noch ausgeprägter, und die Analyse der Daten von Etereal liessen mich zuerst vermuten, dass es irgendwas mit dem Werbebanner zu tun haben könnte ... aber eben nur eine Vermutung, es tritt ja leider auch ohne Javascript auf.
Werde das aber weiter beobachten, danke jedenfalls für den Hinweis, habe jetzt mal überall Javascript dekativiert.

MfG carnil

Hi
Ein Geek, wie du hat doch bestimmt noch einen Rechner. Den musst du nur mit ins Netzwerk einbinden. Und dann sniffst du mit ettercap die Verbindung zwischen Router und dem zweifelhaften Rechner aus. Geht ganz einfach. ;)
Ich geek? ... Naja, man kann das so oder so sehen ... Zum Thema: Ich habe mir jetzt einen zweiten Rechner besorgt, und hänge den jetzt mal mit einem Switch zwischen Router und anderen Rechner. Hoffe mal, dass ich dann etwas schlauer werde. Werde also auch deinen Tipp mal versuchen.

Danke nochmals an alle, die sich daran beteiligen.

MfG carnil

Ein Rootkit kann zwar nicht ausgeschlossen werden (oder ein Spionagecookie z.B.), aber es kann genau so gut ein anderes Problem sein, z.B., daß bei der Übertragung Fehler auftreten und deshalb sehr viele Pakete wiederholt werden. Das Problem kenne ich aus Großraumbüros, wo die Lankabel von Stühlen plattgerollt werden, halb aus Dosen gerissen werden, ..., oder eine angeschlagene Netzwerkkarte, ...

MfG