Hi,

Hab grad über meinen Server rkhunter laufen lassen, und was seh ich da :eek:

Rootkit Hunter 1.1.8 is running

Determining OS... Ready


Checking binaries
* Selftests
Strings (command) [ OK ]


* System tools
Performing 'known good' check...
/bin/cat [ BAD ]
/bin/chmod [ BAD ]
/bin/chown [ BAD ]
/bin/df [ BAD ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ BAD ]
/bin/more [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/su [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/du [ BAD ]
/usr/bin/file [ NA ]
/usr/bin/find [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ BAD ]
/usr/bin/top [ OK ]
/usr/bin/touch [ BAD ]
/usr/bin/w [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ BAD ]
/usr/sbin/cron [ OK ]
/usr/sbin/inetd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]

chkrootkit wiederrum zeigt mit an das alles in Ordnung sei..
Bin jetzt schon stark verunsichert, warum gerade bei diesen Kommandos der Hash nicht passt.
Die Logs hab ich mir durchgeschaut, ich kann keinen Einbruch finden...
Was ja noch nichts heisen muss.
Updates hab ich für rkhunter gemacht. OS ist Debian Woody.
Aber warum passen die Hashes nicht??

PS: Der Rest ist OK, keine Rootkits etc wurden enteckt.

du musst die version von rkhunter updaten .. da haben sich sicherlich hashes geaendert. 1.2.6 muesste aktuell sein ..

du musst die version von rkhunter updaten .. da haben sich sicherlich hashes geaendert. 1.2.6 muesste aktuell sein ..
Ich dachte, mit rkhunter --update wird das ganze schon aktualisiert?

prox:/home/tos# rkhunter --update
Running updater...

Mirrorfile /usr/local/rkhunter/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://mirror01.mirror.rkhunter.org
[DB] Mirror file : Up to date
[DB] MD5 hashes system binaries : Up to date
[DB] Operating System information : Up to date
[DB] MD5 blacklisted tools/binaries : Up to date
[DB] Known good program versions : Up to date
[DB] Known bad program versions : Up to date

Ich würde mit Hilfe eines zweiten Systems überprüfen, ob chrootkit noch okay ist.

Und bei der Gelegenheit kannst du auch gleich sehen ob die Hashes auf dem zweiten System mit dem auf dem evtl. geknackten übereinstimmten oder ob sie sich unterscheiden. Bei Debian sollten ja die Programme ( solange sie in derselben Version vorliegen ) den selben Hash ergeben ...

Genau aus diesem Grund hab ich mir von meinem System nach der Installation sämtliche MD5 Summen ausgeben lassen und die Datein kopiert und auf einen 2. Rechner gezogen.

Sollte es bei mir mal ein Problem geben, kann ich wenigstens sagen, was nicht ok ist und kann ggf. mein System wieder richten, zumindest soweit um die Spuren zu sichern und meine Daten zu retten.

Wobei bei sowas immer eine Neuinstallation das beste ist.

Gruß Malte

Da ich Sicherheitstechnisch eh immer ein bischen angespannt bin, werd ich wohl nicht drumrumkommen den Server neu aufzusetzten.
Mich ärgert nur, das ich nicht rausfinde, warum er verkehrte Hashes anzeigt, bzw wie und ob mein Rechner überhaubt gehackt wurde.

Den Tipp mit dem Zweitrechner werd ich auf jeden Fall testen, hab da noch ein Woody am laufen.

Vorher werd ich mir aber noch ein Image ziehen, das werd ich mir dann nochmal genau anschauen...

versuchs halt mal mit der aktuellsten version ... und bevor du neu aufsetzt mal mit ner livecd autopsy drueberlaufen lassen.

Ne, auch mit der neuesten Version die gleichen Hashes (bad).
Autopsy? Wo gibts das, bzw. auf welcher LiveCD ist das zu finden?

Google hat mir nicht viel dazu gesagt. Ist das evtl. bei Knoppizilin drauf?
Naja, jetzt ist erstmal langes Wochenende, also genug Zeit mich damit auseinanderzusetzen...

http://www.sleuthkit.org/autopsy/

Nach einigen Auffälligkeiten in den Logs war ich fast schon so weit, an einen Hack zu glauben.
Allerding immer sehr komisch, was ich sah.

Als ich dann eine Sicherung anlegen wollte, brach er mir immer ab.
Nach einigen Plattentests stand fest: Die root-Partition hat viele defekte Sektoren!
Auch die Test-Disk des Herstellers gab mir ne Menge Fehler aus....
Sozusagen kurz vor dem Worst Case :ugly:

Soll das wirklich alles mit einem Plattenschaden zusammenhängen?
Oder ist das nur purer Zufall, das Hack und Plattenschaden zusammen "passieren"?