Heute wurde mein PC gehackt. Die Platte fing plötzlich zu rödeln an.
Das kam mir merkwürdig vor. In der Systemüberwachung fand ich einen
Benutzer Nobody der die Programme find und su laufen hatte.

Da durchsuchte also jemand meinen Rechner.
Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
Und nach einem Neustart die Benutzer Passwörter geändert.

Da ich nicht weiß ob der Angreifer schon root Rechte hatte, muß ich wohl vom
schlimmsten Fall ausgehen.

Wie kann ich herausfinden wo der Angreifer reinkam?
Welche Logdateien sind jetzt interessant?

Ich verwende Kanotix:



Linux tux 2.6.17-kanotix-1 #1 SMP PREEMPT Mon Jun 19 23:40:22 CEST 2006 i686 GNU/Linux


Die Prozesse die momentan laufen:



root@tux:/home/stefan# ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 20:20 ? 00:00:01 init [5]
root 2 1 0 20:20 ? 00:00:00 [migration/0]
root 3 1 0 20:20 ? 00:00:00 [ksoftirqd/0]
root 4 1 0 20:20 ? 00:00:00 [watchdog/0]
root 5 1 0 20:20 ? 00:00:00 [events/0]
root 6 1 0 20:20 ? 00:00:00 [khelper]
root 7 1 0 20:20 ? 00:00:00 [kthread]
root 9 7 0 20:20 ? 00:00:00 [kblockd/0]
root 10 7 0 20:20 ? 00:00:00 [kacpid]
root 82 7 0 20:20 ? 00:00:00 [kseriod]
root 135 7 0 20:20 ? 00:00:00 [pdflush]
root 136 7 0 20:20 ? 00:00:00 [pdflush]
root 137 1 0 20:20 ? 00:00:00 [kswapd0]
root 138 7 0 20:20 ? 00:00:00 [aio/0]
root 139 7 0 20:20 ? 00:00:00 [xfslogd/0]
root 140 7 0 20:20 ? 00:00:00 [xfsdatad/0]
root 217 7 0 20:20 ? 00:00:00 [cqueue/0]
root 287 7 0 20:20 ? 00:00:00 [ata/0]
root 316 7 0 20:20 ? 00:00:00 [kcryptd/0]
root 317 7 0 20:20 ? 00:00:00 [kmpathd/0]
root 318 7 0 20:20 ? 00:00:00 [kmirrord]
root 319 7 0 20:20 ? 00:00:00 [kedac]
root 355 7 0 20:20 ? 00:00:00 [kjournald]
root 433 1 0 20:20 ? 00:00:00 udevd --daemon
root 641 7 0 20:20 ? 00:00:00 [khubd]
root 646 7 0 20:20 ? 00:00:00 [kgameportd]
root 651 7 0 20:20 ? 00:00:00 [kpsmoused]
root 824 7 0 20:21 ? 00:00:00 [shpchpd]
root 1135 7 0 20:21 ? 00:00:00 [kjournald]
root 1490 1 0 20:21 ? 00:00:00 /sbin/syslogd
root 1500 1 0 20:21 ? 00:00:00 /sbin/klogd -x
root 1588 1 0 20:21 ? 00:00:00 /usr/sbin/acpid -c /etc/acpi/everoot 1614 1 0 20:21 ? 00:00:00 /usr/sbin/cupsd
108 1626 1 0 20:21 ? 00:00:00 /usr/bin/dbus-daemon --system
115 1634 1 0 20:21 ? 00:00:02 /usr/sbin/hald
root 1635 1634 0 20:21 ? 00:00:00 hald-runner
115 1641 1635 0 20:21 ? 00:00:00 hald-addon-acpi: listening on ac115 1651 1635 0 20:21 ? 00:00:00 hald-addon-keyboard: listening oroot 1661 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devroot 1663 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devdaemon 1697 1 0 20:21 ? 00:00:00 /usr/sbin/atd
root 1704 1 0 20:21 ? 00:00:00 /usr/sbin/cron
root 1718 1 0 20:21 ? 00:00:00 /usr/bin/kdm
root 1731 1718 2 20:21 tty7 00:00:13 /usr/X11R6/bin/X -nolisten tcp -root 1748 1 0 20:21 tty1 00:00:00 /sbin/getty 38400 tty1
root 1749 1 0 20:21 tty2 00:00:00 /sbin/getty 38400 tty2
root 1750 1 0 20:21 tty3 00:00:00 /sbin/getty 38400 tty3
root 1751 1 0 20:21 tty4 00:00:00 /sbin/getty 38400 tty4
root 1752 1 0 20:21 tty5 00:00:00 /sbin/getty 38400 tty5
root 1753 1 0 20:21 tty6 00:00:00 /sbin/getty 38400 tty6
root 1764 1718 0 20:21 ? 00:00:00 -:0
stefan 1782 1764 0 20:22 ? 00:00:00 /bin/sh /etc/xdg/xfce4/xinitrc
stefan 1833 1782 0 20:22 ? 00:00:00 /usr/bin/ssh-agent /usr/bin/dbusstefan 1836 1 0 20:22 ? 00:00:00 /usr/bin/dbus-launch --exit-withstefan 1837 1 0 20:22 ? 00:00:00 /usr/bin/dbus-daemon --fork --prstefan 1845 1782 0 20:22 ? 00:00:00 /usr/bin/xfce4-session
stefan 1849 1 0 20:22 ? 00:00:00 xfce-mcs-manager
stefan 1851 1 0 20:22 ? 00:00:00 kdeinit Running...
stefan 1855 1 0 20:22 ? 00:00:00 dcopserver [kdeinit] --nosid
stefan 1857 1851 0 20:22 ? 00:00:00 klauncher [kdeinit]
stefan 1859 1 3 20:22 ? 00:00:15 kded [kdeinit]
stefan 1862 1 0 20:22 ? 00:00:00 /usr/lib/gamin/gam_server
stefan 1867 1 4 20:22 ? 00:00:15 xfwm4 --sm-client-id 117f0000010stefan 1869 1 0 20:22 ? 00:00:01 xfdesktop --sm-client-id 117f000stefan 1871 1 4 20:22 ? 00:00:16 xfce4-panel & --sm-client-id 117stefan 1874 1 9 20:22 ? 00:00:33 ksysguard -session 117f000001000stefan 1875 1871 4 20:22 ? 00:00:17 /usr/lib/xfce4/panel-plugins/xfcstefan 1876 1871 4 20:22 ? 00:00:15 /usr/lib/xfce4/panel-plugins/xfcstefan 1881 1 4 20:23 ? 00:00:15 kio_uiserver -session 117f000001stefan 1883 1 10 20:23 ? 00:00:30 /usr/lib/firefox/firefox-bin
stefan 1886 1874 0 20:23 ? 00:00:02 ksysguardd
stefan 1890 1 0 20:23 ? 00:00:00 /usr/lib/libgconf2-4/gconfd-2 10stefan 1899 1 7 20:25 ? 00:00:16 xfce4-terminal
stefan 1900 1899 0 20:25 ? 00:00:00 gnome-pty-helper
stefan 1901 1899 0 20:25 pts/0 00:00:00 bash
root 1920 1901 0 20:26 pts/0 00:00:00 su
root 1921 1920 0 20:26 pts/0 00:00:00 bash
root 1932 1921 0 20:28 pts/0 00:00:00 ps -ef

schau erstmal nach obs nich vieleicht ein cronjob war der da gerödelt hat.
Intressante logdatei ist immer erstmal die /var/log/messages.

Wie kann sowas überhaupt passieren?
Ich dachte immer, Linux ist bombensicher weil kein Fremder Rootrechte erlangen kann und nichtmal als normaler Nutzer reinkommt.

Nein, dann hast du nicht gedacht.

Und nach einem Neustart die Benutzer Passwörter geändert.



schau erstmal nach obs nich vieleicht ein cronjob war der da gerödelt hat.
Naja, programmierst du cronjobs die immer deine Passwörter auf ein Zufallswert ändert, den du nicht kennst?

Beim nächsten mal solltest Du auch noch weiter aufpassen, ob nicht zur selben Zeit der gefährliche Hacker "updatedb" sich auf Deinem PC rumtreibt!

Die treten meist zu dritt auf, also nobody, find und updatedb!

Also aufgepasst!



Naja, programmierst du cronjobs die immer deine Passwörter auf ein Zufallswert ändert, den du nicht kennst?


Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
Und nach einem Neustart die Benutzer Passwörter geändert.

Eher ein "händischer Cronjob", oder? (nennt man sowas dann "Handjob"? *lol*)

Greetz,

RM

P.S. *SCNR*

Wie kann sowas überhaupt passieren?
Ich dachte immer, Linux ist bombensicher weil kein Fremder Rootrechte erlangen kann und nichtmal als normaler Nutzer reinkommt.

du kommst ja auch rein und bist für deinen pc ein fremder (bis zur anmeldung)

daran ist ja wohl nicht linux schuld oder ...

wenn man keinen vernünftigen passwörter verwendet und root/root root/leer oder ähnliches einträgt, ssh laufen lässt, auch wenn es nicht gebraucht wird, telnet nicht abschaltet oder was weiss ich, ist jeder, der sich ordentlich anmeldet kein fremder. du glaubst garnicht, wie oft ich schon root und leer (oder 2 space) als passwort gesehen habe.
komisch, dass system warnungen in solchen fällen immer herzhaft ignoriert werden. beim anlegen des passworts wird immer gewarnt, wenn was nicht halbwegs sicher ist. gross und kleinbuchstaben, ziffern und sonderzeichen. ist doch garnicht so schwer. ssh niemals als root zulassen, telnet ausschalten. alles stndardregeln.....

Schöner Thread :D *hau mich wech*

du kommst ja auch rein und bist für deinen pc ein fremder (bis zur anmeldung)

daran ist ja wohl nicht linux schuld oder ...

wenn man keinen vernünftigen passwörter verwendet und root/root root/leer oder ähnliches einträgt, ssh laufen lässt, auch wenn es nicht gebraucht wird, telnet nicht abschaltet oder was weiss ich, ist jeder, der sich ordentlich anmeldet kein fremder. du glaubst garnicht, wie oft ich schon root und leer (oder 2 space) als passwort gesehen habe.
komisch, dass system warnungen in solchen fällen immer herzhaft ignoriert werden. beim anlegen des passworts wird immer gewarnt, wenn was nicht halbwegs sicher ist. gross und kleinbuchstaben, ziffern und sonderzeichen. ist doch garnicht so schwer. ssh niemals als root zulassen, telnet ausschalten. alles stndardregeln.....

nun, mit solchen Passwörtern hab ich allerdings nicht gerechnet...

OH MEIN GOTT!!!!

Nun hat es MICH ERWISCHT !!!!!!1111einself!11111



nobody 16421 0.0 0.2 3648 1344 pts/1 S+ 23:13 0:00 /bin/sh /usr/bin/updatedb
nobody 16429 0.0 0.2 3648 1344 pts/1 S+ 23:13 0:00 /bin/sh /usr/bin/updatedb
nobody 16432 5.9 0.2 3324 1512 pts/1 R+ 23:13 0:11 /usr/bin/find /
nobody 16 0 1776 424 368 S 0.0 0.1 0:00.08 cron
nobody 16413 0.0 0.2 3680 1308 pts/1 S 23:13 0:00 su

Aber ich habe den HACKER schon identifiziert !!!!elfundelfzig!!!!

Es ist CONAN DER BARBAR!!!

CRON!!!!

Greetz,

RM

OK, gut. Ich mache das hier mal zu.

Jeder hat es wohl verstanden.

Viele Grüße

Eicke