Archiv verlassen und diese Seite im Standarddesign anzeigen : chkrootkit LKM Trojan found
Tag zusammen.
seit ein paar Tagen ist mein Server merklich langsamer. Nach installation von chkrootkit ergibt sich folgendes:
chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 3
###
PID 30096(/proc/30096): not in getpriority readdir output
PID 30482(/proc/30482): not in getpriority readdir output
PID 30938(/proc/30938): not in getpriority readdir output
PID 30982(/proc/30982): not in getpriority readdir output
PID 31061(/proc/31061): not in getpriority readdir output
PID 31491(/proc/31491): not in getpriority readdir output
PID 31497(/proc/31497): not in getpriority readdir output
PID 32085(/proc/32085): not in getpriority readdir output
.....
.....
You have 104 process hidden for readdir command
HILFE. Und jetzt????
Danke
Rescue(System/CD) -> Alten Server sichern -> Server neu aufsetzen (lassen) -> Backups einspielen -> Freuen das alles keine 2 Stunden gedauert hat ;)
Hallo,
ok. Also gibt es keine andere Chance? War ziemlich viel arbeit!
Zum Backup (hab damit eher weniger erfahrung).
Es ist ein v-server bei strato und ich kann ein rettungssystem starten. Kann ich das System automatisch sichern oder nehm ich da einfach die /etc und die /home-ordner und kopiere sie? sql???
Danke schonmal
Naja, ein Backup eine kompromitierten Systems ist irgendwie recht sinnfrei.
Dann spielst du den Kram ja wieder ein.
Iluminat23
01.08.08, 10:19
Naja, ein Backup eine kompromitierten Systems ist irgendwie recht sinnfrei.
Dann spielst du den Kram ja wieder ein.
wenn ein system einemal kompromitiert wurde kann man alle daten auf dem system wegschmeißen? klar das ist die lösung .....
@Fadh
/etc ist schonmal sehr wichtig, eventuell eine liste mit der packetauswahl sichern musst schauen wie das bei deiner distri funktioniert. beim sichern der DB kann ich dir leider nicht helfen. wenn du erzählen würdest was auf dem server lief könnte man dir eventuell auch noch ein paar andere dinge sagen welche du sichern solltest.
gruß iluminat23
Ich hatte das so verstanden, als wenn hier ein FullBackup gezogen werden sollte.
Und das wäre sinnlos. Nutzdaten und config-Files kann man natürlich sichern. Man sollte dann nur mal in die config reinschauen, bevor man die wieder zurückkopiert.
Sehr qualifizierte Antwort das ein volles Backup sinnlos ist. Das mag vielleicht auf den TE zutreffen, aber es gibt tatsächlich andere Leute die dieses Thema auch interessant finden könnten.
Mal abgesehen davon, dass es ein volles Backup für forensische Analysen da sein könnte: Was wenn $kunde nun nach $datei fragt die beim kopieren nicht mitgesichert wurde?
Roger Wilco
01.08.08, 11:05
http://forum.openvz.org/index.php?t=msg&th=4613
http://bugzilla.openvz.org/show_bug.cgi?id=736
Bekanntes Problem von chrootkit (und allen Programmen, die versuchen auf Grund von Heuristiken eine Kompromittierung des Systems zu erkennen). Bitte gehen Sie weiter, es gibt nichts zu sehen.
_prinzipiell ja_, aber da ist ja noch das:
seit ein paar Tagen ist mein Server merklich langsamer.
-> evtl. also doch mal genauer nachschauen.
Doof wäre halt, wenn das false positiv keine mehr wäre...
Roger Wilco
01.08.08, 11:31
_prinzipiell ja_, aber da ist ja noch das:
seit ein paar Tagen ist mein Server merklich langsamer.
Es ist ein V-Server. q.e.d.
Ein Rootkit erfordert Zugriff auf den Kernel, das ist bei einem Virtual-Server nicht möglich und derzeit sind auch keine entsprechenden Lücken für Virtuozzo/OpenVZ bekannt.
Es ist ein V-Server. q.e.d.
Ok, akzeptiert. Hatte ich überlesen/wieder vergessen.
*kleinlaut*ich wollt's aber nur mal erwähnt haben...*/kleinlaut*
Ein Rootkit erfordert Zugriff auf den Kernel
Das trifft auf das verschleiern zu. Allerdings gibt es diverse Rootkits die sich, auch in virtuellen Maschinen, sekundär als einfacher Prozess tarnen, siehe SLH Rootkit welches über PHP/CGI einfällt.
derzeit sind auch keine entsprechenden Lücken für Virtuozzo/OpenVZ bekannt.
Get root on OpenVZ instance
Works on: kernel-2.6.18-ovz028stab053.14.<all>
See POC Flash: http://...
Price: 950 $ / 4.500 $
Soviel dazu ...
Hallo,
derzeit sind auch keine entsprechenden Lücken für Virtuozzo/OpenVZ bekannt.
vs
Get root on OpenVZ instance
Works on: kernel-2.6.18-ovz028stab053.14.<all>
See POC Flash: http://...
Price: 950 $ / 4.500 $
Soviel dazu ...
Wie alt ist denn kernel-2.6.18-ovz028stab053.14.<all>? Bzw, welche Version setzt der
TE ein?
Gruss 403
Roger Wilco
02.08.08, 10:15
Wie alt ist denn kernel-2.6.18-ovz028stab053.14.<all>?
http://wiki.openvz.org/Download/kernel/2.6.18/028stab053.14
was lief denn auf dem server?
vllt mal nach neueren versionen suchen?
nicht das du die angreifbare anwendung nach nem backup wieder installierst - wär blöd wenn der "bereinigte" server gleich wieder angreifbar wäre
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.