jay-t
22.11.06, 19:50
Heute wurde mein PC gehackt. Die Platte fing plötzlich zu rödeln an.
Das kam mir merkwürdig vor. In der Systemüberwachung fand ich einen
Benutzer Nobody der die Programme find und su laufen hatte.
Da durchsuchte also jemand meinen Rechner.
Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
Und nach einem Neustart die Benutzer Passwörter geändert.
Da ich nicht weiß ob der Angreifer schon root Rechte hatte, muß ich wohl vom
schlimmsten Fall ausgehen.
Wie kann ich herausfinden wo der Angreifer reinkam?
Welche Logdateien sind jetzt interessant?
Ich verwende Kanotix:
Linux tux 2.6.17-kanotix-1 #1 SMP PREEMPT Mon Jun 19 23:40:22 CEST 2006 i686 GNU/Linux
Die Prozesse die momentan laufen:
root@tux:/home/stefan# ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 20:20 ? 00:00:01 init [5]
root 2 1 0 20:20 ? 00:00:00 [migration/0]
root 3 1 0 20:20 ? 00:00:00 [ksoftirqd/0]
root 4 1 0 20:20 ? 00:00:00 [watchdog/0]
root 5 1 0 20:20 ? 00:00:00 [events/0]
root 6 1 0 20:20 ? 00:00:00 [khelper]
root 7 1 0 20:20 ? 00:00:00 [kthread]
root 9 7 0 20:20 ? 00:00:00 [kblockd/0]
root 10 7 0 20:20 ? 00:00:00 [kacpid]
root 82 7 0 20:20 ? 00:00:00 [kseriod]
root 135 7 0 20:20 ? 00:00:00 [pdflush]
root 136 7 0 20:20 ? 00:00:00 [pdflush]
root 137 1 0 20:20 ? 00:00:00 [kswapd0]
root 138 7 0 20:20 ? 00:00:00 [aio/0]
root 139 7 0 20:20 ? 00:00:00 [xfslogd/0]
root 140 7 0 20:20 ? 00:00:00 [xfsdatad/0]
root 217 7 0 20:20 ? 00:00:00 [cqueue/0]
root 287 7 0 20:20 ? 00:00:00 [ata/0]
root 316 7 0 20:20 ? 00:00:00 [kcryptd/0]
root 317 7 0 20:20 ? 00:00:00 [kmpathd/0]
root 318 7 0 20:20 ? 00:00:00 [kmirrord]
root 319 7 0 20:20 ? 00:00:00 [kedac]
root 355 7 0 20:20 ? 00:00:00 [kjournald]
root 433 1 0 20:20 ? 00:00:00 udevd --daemon
root 641 7 0 20:20 ? 00:00:00 [khubd]
root 646 7 0 20:20 ? 00:00:00 [kgameportd]
root 651 7 0 20:20 ? 00:00:00 [kpsmoused]
root 824 7 0 20:21 ? 00:00:00 [shpchpd]
root 1135 7 0 20:21 ? 00:00:00 [kjournald]
root 1490 1 0 20:21 ? 00:00:00 /sbin/syslogd
root 1500 1 0 20:21 ? 00:00:00 /sbin/klogd -x
root 1588 1 0 20:21 ? 00:00:00 /usr/sbin/acpid -c /etc/acpi/everoot 1614 1 0 20:21 ? 00:00:00 /usr/sbin/cupsd
108 1626 1 0 20:21 ? 00:00:00 /usr/bin/dbus-daemon --system
115 1634 1 0 20:21 ? 00:00:02 /usr/sbin/hald
root 1635 1634 0 20:21 ? 00:00:00 hald-runner
115 1641 1635 0 20:21 ? 00:00:00 hald-addon-acpi: listening on ac115 1651 1635 0 20:21 ? 00:00:00 hald-addon-keyboard: listening oroot 1661 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devroot 1663 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devdaemon 1697 1 0 20:21 ? 00:00:00 /usr/sbin/atd
root 1704 1 0 20:21 ? 00:00:00 /usr/sbin/cron
root 1718 1 0 20:21 ? 00:00:00 /usr/bin/kdm
root 1731 1718 2 20:21 tty7 00:00:13 /usr/X11R6/bin/X -nolisten tcp -root 1748 1 0 20:21 tty1 00:00:00 /sbin/getty 38400 tty1
root 1749 1 0 20:21 tty2 00:00:00 /sbin/getty 38400 tty2
root 1750 1 0 20:21 tty3 00:00:00 /sbin/getty 38400 tty3
root 1751 1 0 20:21 tty4 00:00:00 /sbin/getty 38400 tty4
root 1752 1 0 20:21 tty5 00:00:00 /sbin/getty 38400 tty5
root 1753 1 0 20:21 tty6 00:00:00 /sbin/getty 38400 tty6
root 1764 1718 0 20:21 ? 00:00:00 -:0
stefan 1782 1764 0 20:22 ? 00:00:00 /bin/sh /etc/xdg/xfce4/xinitrc
stefan 1833 1782 0 20:22 ? 00:00:00 /usr/bin/ssh-agent /usr/bin/dbusstefan 1836 1 0 20:22 ? 00:00:00 /usr/bin/dbus-launch --exit-withstefan 1837 1 0 20:22 ? 00:00:00 /usr/bin/dbus-daemon --fork --prstefan 1845 1782 0 20:22 ? 00:00:00 /usr/bin/xfce4-session
stefan 1849 1 0 20:22 ? 00:00:00 xfce-mcs-manager
stefan 1851 1 0 20:22 ? 00:00:00 kdeinit Running...
stefan 1855 1 0 20:22 ? 00:00:00 dcopserver [kdeinit] --nosid
stefan 1857 1851 0 20:22 ? 00:00:00 klauncher [kdeinit]
stefan 1859 1 3 20:22 ? 00:00:15 kded [kdeinit]
stefan 1862 1 0 20:22 ? 00:00:00 /usr/lib/gamin/gam_server
stefan 1867 1 4 20:22 ? 00:00:15 xfwm4 --sm-client-id 117f0000010stefan 1869 1 0 20:22 ? 00:00:01 xfdesktop --sm-client-id 117f000stefan 1871 1 4 20:22 ? 00:00:16 xfce4-panel & --sm-client-id 117stefan 1874 1 9 20:22 ? 00:00:33 ksysguard -session 117f000001000stefan 1875 1871 4 20:22 ? 00:00:17 /usr/lib/xfce4/panel-plugins/xfcstefan 1876 1871 4 20:22 ? 00:00:15 /usr/lib/xfce4/panel-plugins/xfcstefan 1881 1 4 20:23 ? 00:00:15 kio_uiserver -session 117f000001stefan 1883 1 10 20:23 ? 00:00:30 /usr/lib/firefox/firefox-bin
stefan 1886 1874 0 20:23 ? 00:00:02 ksysguardd
stefan 1890 1 0 20:23 ? 00:00:00 /usr/lib/libgconf2-4/gconfd-2 10stefan 1899 1 7 20:25 ? 00:00:16 xfce4-terminal
stefan 1900 1899 0 20:25 ? 00:00:00 gnome-pty-helper
stefan 1901 1899 0 20:25 pts/0 00:00:00 bash
root 1920 1901 0 20:26 pts/0 00:00:00 su
root 1921 1920 0 20:26 pts/0 00:00:00 bash
root 1932 1921 0 20:28 pts/0 00:00:00 ps -ef
Das kam mir merkwürdig vor. In der Systemüberwachung fand ich einen
Benutzer Nobody der die Programme find und su laufen hatte.
Da durchsuchte also jemand meinen Rechner.
Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
Und nach einem Neustart die Benutzer Passwörter geändert.
Da ich nicht weiß ob der Angreifer schon root Rechte hatte, muß ich wohl vom
schlimmsten Fall ausgehen.
Wie kann ich herausfinden wo der Angreifer reinkam?
Welche Logdateien sind jetzt interessant?
Ich verwende Kanotix:
Linux tux 2.6.17-kanotix-1 #1 SMP PREEMPT Mon Jun 19 23:40:22 CEST 2006 i686 GNU/Linux
Die Prozesse die momentan laufen:
root@tux:/home/stefan# ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 20:20 ? 00:00:01 init [5]
root 2 1 0 20:20 ? 00:00:00 [migration/0]
root 3 1 0 20:20 ? 00:00:00 [ksoftirqd/0]
root 4 1 0 20:20 ? 00:00:00 [watchdog/0]
root 5 1 0 20:20 ? 00:00:00 [events/0]
root 6 1 0 20:20 ? 00:00:00 [khelper]
root 7 1 0 20:20 ? 00:00:00 [kthread]
root 9 7 0 20:20 ? 00:00:00 [kblockd/0]
root 10 7 0 20:20 ? 00:00:00 [kacpid]
root 82 7 0 20:20 ? 00:00:00 [kseriod]
root 135 7 0 20:20 ? 00:00:00 [pdflush]
root 136 7 0 20:20 ? 00:00:00 [pdflush]
root 137 1 0 20:20 ? 00:00:00 [kswapd0]
root 138 7 0 20:20 ? 00:00:00 [aio/0]
root 139 7 0 20:20 ? 00:00:00 [xfslogd/0]
root 140 7 0 20:20 ? 00:00:00 [xfsdatad/0]
root 217 7 0 20:20 ? 00:00:00 [cqueue/0]
root 287 7 0 20:20 ? 00:00:00 [ata/0]
root 316 7 0 20:20 ? 00:00:00 [kcryptd/0]
root 317 7 0 20:20 ? 00:00:00 [kmpathd/0]
root 318 7 0 20:20 ? 00:00:00 [kmirrord]
root 319 7 0 20:20 ? 00:00:00 [kedac]
root 355 7 0 20:20 ? 00:00:00 [kjournald]
root 433 1 0 20:20 ? 00:00:00 udevd --daemon
root 641 7 0 20:20 ? 00:00:00 [khubd]
root 646 7 0 20:20 ? 00:00:00 [kgameportd]
root 651 7 0 20:20 ? 00:00:00 [kpsmoused]
root 824 7 0 20:21 ? 00:00:00 [shpchpd]
root 1135 7 0 20:21 ? 00:00:00 [kjournald]
root 1490 1 0 20:21 ? 00:00:00 /sbin/syslogd
root 1500 1 0 20:21 ? 00:00:00 /sbin/klogd -x
root 1588 1 0 20:21 ? 00:00:00 /usr/sbin/acpid -c /etc/acpi/everoot 1614 1 0 20:21 ? 00:00:00 /usr/sbin/cupsd
108 1626 1 0 20:21 ? 00:00:00 /usr/bin/dbus-daemon --system
115 1634 1 0 20:21 ? 00:00:02 /usr/sbin/hald
root 1635 1634 0 20:21 ? 00:00:00 hald-runner
115 1641 1635 0 20:21 ? 00:00:00 hald-addon-acpi: listening on ac115 1651 1635 0 20:21 ? 00:00:00 hald-addon-keyboard: listening oroot 1661 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devroot 1663 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devdaemon 1697 1 0 20:21 ? 00:00:00 /usr/sbin/atd
root 1704 1 0 20:21 ? 00:00:00 /usr/sbin/cron
root 1718 1 0 20:21 ? 00:00:00 /usr/bin/kdm
root 1731 1718 2 20:21 tty7 00:00:13 /usr/X11R6/bin/X -nolisten tcp -root 1748 1 0 20:21 tty1 00:00:00 /sbin/getty 38400 tty1
root 1749 1 0 20:21 tty2 00:00:00 /sbin/getty 38400 tty2
root 1750 1 0 20:21 tty3 00:00:00 /sbin/getty 38400 tty3
root 1751 1 0 20:21 tty4 00:00:00 /sbin/getty 38400 tty4
root 1752 1 0 20:21 tty5 00:00:00 /sbin/getty 38400 tty5
root 1753 1 0 20:21 tty6 00:00:00 /sbin/getty 38400 tty6
root 1764 1718 0 20:21 ? 00:00:00 -:0
stefan 1782 1764 0 20:22 ? 00:00:00 /bin/sh /etc/xdg/xfce4/xinitrc
stefan 1833 1782 0 20:22 ? 00:00:00 /usr/bin/ssh-agent /usr/bin/dbusstefan 1836 1 0 20:22 ? 00:00:00 /usr/bin/dbus-launch --exit-withstefan 1837 1 0 20:22 ? 00:00:00 /usr/bin/dbus-daemon --fork --prstefan 1845 1782 0 20:22 ? 00:00:00 /usr/bin/xfce4-session
stefan 1849 1 0 20:22 ? 00:00:00 xfce-mcs-manager
stefan 1851 1 0 20:22 ? 00:00:00 kdeinit Running...
stefan 1855 1 0 20:22 ? 00:00:00 dcopserver [kdeinit] --nosid
stefan 1857 1851 0 20:22 ? 00:00:00 klauncher [kdeinit]
stefan 1859 1 3 20:22 ? 00:00:15 kded [kdeinit]
stefan 1862 1 0 20:22 ? 00:00:00 /usr/lib/gamin/gam_server
stefan 1867 1 4 20:22 ? 00:00:15 xfwm4 --sm-client-id 117f0000010stefan 1869 1 0 20:22 ? 00:00:01 xfdesktop --sm-client-id 117f000stefan 1871 1 4 20:22 ? 00:00:16 xfce4-panel & --sm-client-id 117stefan 1874 1 9 20:22 ? 00:00:33 ksysguard -session 117f000001000stefan 1875 1871 4 20:22 ? 00:00:17 /usr/lib/xfce4/panel-plugins/xfcstefan 1876 1871 4 20:22 ? 00:00:15 /usr/lib/xfce4/panel-plugins/xfcstefan 1881 1 4 20:23 ? 00:00:15 kio_uiserver -session 117f000001stefan 1883 1 10 20:23 ? 00:00:30 /usr/lib/firefox/firefox-bin
stefan 1886 1874 0 20:23 ? 00:00:02 ksysguardd
stefan 1890 1 0 20:23 ? 00:00:00 /usr/lib/libgconf2-4/gconfd-2 10stefan 1899 1 7 20:25 ? 00:00:16 xfce4-terminal
stefan 1900 1899 0 20:25 ? 00:00:00 gnome-pty-helper
stefan 1901 1899 0 20:25 pts/0 00:00:00 bash
root 1920 1901 0 20:26 pts/0 00:00:00 su
root 1921 1920 0 20:26 pts/0 00:00:00 bash
root 1932 1921 0 20:28 pts/0 00:00:00 ps -ef