PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Rootkit Befall auf SuSE Machine


Cotoga
13.09.07, 08:44
Hallo,

habe gestern von jemandem einen Anruf bekommen, daß 1und1 ihn gebeten hat, den Server zu überprüfen. Er hat mich gebeten, dieses für ihn zu tun.

Nach der Installation von rkhunter und einem check kam einige Warnings und Rootkits auf.
Lohnt sich der Zeitaufwand, die Stellen zu suchen und zu reinigen oder würde Datensicherung und Neuinstallation schneller gehen?

Vielen Dank für schnelle Antwort
Cotoga

Anbei das Log vom Check
PierreS
13.09.07, 08:49
Du solltest versuchen herauszufinden, wie das passieren konnte. Dann eine Neuinstallation mit Bugfixes aufsetzen und alle Passwörter ändern.

So ist der Rechner nicht mehr vertrauenswürdig. Und Du weißt nicht, was sonst noch drauf ist, was rkhunter aber nicht findet.
marce
13.09.07, 08:49
Es geht nicht um schneller, es geht um sicher. Und da Du bei rootkits nicht sagen kannst, was evtl. alles verändert wurde - ist neu-Installation die einzige Lösung.

-> System vom Netz, Daten sichern, System sichern für Analyse, neu installieren, absichern und Daten(*) wieder einspielen.


(*) Sofern gesichert vertrauenswürdig - Lücken in rigendwelchen Anwendungen natürlich patchen...
baumgartner
13.09.07, 10:03
Sieh dir die Ausgabe von rkhunter doch mal genauer an, und schau ob du etwas auffälliges findest. Mir ist nämlich nichts aufgefallen ;-)

Vor allem solltest du überprüfen warum diese Warnings kamen!
Painkiller
13.09.07, 12:19
In der Tat, rkhunter ist etwas "universell", soll heissen nicht genau auf deine Distribution angepasst. Beispielsweise wird bei dir ein Device als Rootkit erkannt, ich glaube in Knoppix habe ich genau so eines als DVD Laufwerk.

Bevor du also alles plattmachst und danach die gleichen Meldungen bekommst, solltest du erstmal checken ob da wirklich etwas ist.
403
14.09.07, 00:49
Sieh dir die Ausgabe von rkhunter doch mal genauer an, und schau ob du etwas auffälliges findest. Mir ist nämlich nichts aufgefallen ;-)

Ich nehme an, es war ein Scherz. :ugly: :rolleyes:


/lib/security/.config Flea Linux Rootkit
/usr/sbin/xntps SHV4 Rootkit


Das Problem mit rootkit-hunter sind echt die false positives, so dass man
dann wirkliche Problem wie oben ggf. uebersieht. Und der Update-Server
sollte auch ab und zu nachgesehen werden ;)

Gruss 403