hi all,

ich habe frisch ein Redhat installiert, ohne Patches.... 2 Stunden am Netz und dies ist jetzt das Resultat :(
Checking `lkm'... You have 8 process hidden for ps command
Warning: Possible LKM Trojan installed

wie bringe ich dieses Rootkit wieder weg?

habe im FAQ folgendes gelesen:
How accurate is chkproc?

If you run chkproc on a server that runs lots of short time processes it could report some false positives. chkproc compares the ps output with the /proc contents. If processes are created/killed during this operation chkproc could point out these PIDs as suspicious.

doch diese ist kein Irrtum, denn erstens machte ich nichts am System und zweitens sind es sogar 8


VER****TER MIST :( :( :( :( :( :(

jetzt sind die anderen Rechner in meinem Netz auch noch dran gekommen :(

./chkproc
You have 11 process hidden for ps command



cu
adme

:mad:

bringt es was wenn ich einen Kernel von kernel.org runterlade und kompilliere??

cu
adme

Da hilft nur ein, einen dicken head stpfen etwas zu drinken beischafen sich zurück lenen ein nettes feuerzeig und .,,.,.,.,
Dan böse reche schwüren

Ich weiß von rootkits bisher nur, dass es sie gibt und dass sie böse sind -> mal in runlevel 1 gehen und da schauen? irgendwoher und irgendwohin muss das zeug ja gekommen sein?

Original geschrieben von adme
wie bringe ich dieses Rootkit wieder weg? Neuinstallation.


bringt es was wenn ich einen Kernel von kernel.org runterlade und kompilliere??
Nein, schau lieber mal was der Grund für die "Verseuchung" ist.

Original geschrieben von Jinto
Neuinstallation.

Nein, schau lieber mal was der Grund für die "Verseuchung" ist.

das würde mich auch interessieren. Bei meiner Arbeitsworkstation habe ich immer die neusten Patches gezogen (ausser Kernelpatches) und nur SSH nach aussen geöffnet

ich denke das bei der Installation vom anderen rechner er mir per SSH gefolgt ist und dann auch den anderen verschmutze....

ich will mein System nicht wieder neuinstallieren.... ich probiere mal den Kernel auszuwechseln....

aber jetzt muss ich schlafen

cu
adme

Hallo adme!

Bei Dir handelt es sich wie der checker schon sagt um ein Lkm (loadable kernel module).
Für einen Angreifer ist es kein Problem ein Rootkit zu installieren.
Eine Identifikation, welches Rootkit der Angreifer benutzt hat wäre möglich indem man nach Standartdateinamen, die ein jedes Rootkit hat und die meistens nicht geändert werden sucht.

Wichtiger wäre es Dir aber warscheinlich erstmal zu erfahren wie der Angreifer überhaupt root geworden ist - ohne root kein rootkit;)

Interessante Links zum Thema sind:
http://www.linuxwiki.de/LinuxSecurity
und
http://www.chkrootkit.org/
Hier findest Du auch haufenweise sehr gute Links.

Ich beschäftige mich grade mit dem Aufbau eines sehr sicheren Linux Systems auf Basis der Berichte im neuen Linux Magazin.
Dabei geht es um:

Das Programm Systrace, mit dem man allen Prozesse bestimmte Aktionen (Syscalls) erlauben oder verbieten kann.
So muß zum Beispiel ein Webserver nur auf http Anfragen horchen und dann die html Dokumente ausliefern.
Er hat aber sehr viel mehr Rechte, könnte also zum Beispiel neue Prozesse erzeugen oder Dateien lesen, weil unter dem aktuellen Kernel jeder Prozess alle Rechte hat - jedes Programm kann:
Dateien anlegen, öffnen , lesen, schreiben, löschen
neue Prozesse erzeugen
Verbindungen mit anderen Hosts aufbauen
Ein Exploit benutzt die Rechte des Webservers um zum Beispiel eine Shell zu starten.
Hätte der Webserver nur die Rechte die er braucht könnte er also gar nicht exploitet werden!

Hier setzt Systrace an indem es jedem Prozess nur die Rechte gibt die er braucht.
Systrace kann selbstständig erkennen welcher Prozess welche Rechte braucht und schreibt für jeden Prozess einen Regelsatz.
Tut ein Prozess etwas, das er nicht soll fragt Systrace nach ob der Prozess die Aktion durchführen darf und ob dafür eine Regel erstellt werden soll.

Das ganze Funktionsprinzip ist in
http://www.linux-magazin.de/Artikel/ausgabe/2003/01/systrace/systrace.html

Ich finde das ganze Prinzip sehr interessant und auch einfach durchzusetzen.

Außerdem ist im Linux Magazin noch ein Bericht über SE Linux - ein von der NSA entwickelter Kernel, der sehr viel sicherer als der Standartkernel ist.
Das ganze ist aber meiner Meinung nach schwieriger einzurichten als Systrace und unflexibel.
www.nsa.gov/selinux/
http://sourceforge.net/projects/selinux/

Last but not least ein Bericht über RSBAC eines der besten Zugriffskontrollsysteme unter Linux.
www.rsbac.org

RSBAC oder Systrace sollten meiner meinung nach viel mehr genutzt werden,
da Exploiting immer mehr zunimmt und die beiden Ansätze (vor allem Systrace) auch für den interessierten Anfänger sehr einfach zu konfigurieren ist.

Würde mich freuen wenn Leute, die Erfahrung mit einem der Programme haben hier posten - ich mache da auch noch einen neuen Thread für auf...

Gruß
cane

Falls du es noch nicht gemacht hast: Nimm die betroffenen Systeme vom Netz.
Jetzt würde ich als erstes einmal die Systeme checken: Ev. findest du heraus wie der Angreifer hereingekommens ist. Vermutlich hat er zwar schon die logs gereinigt, aber nur schon der Typ des rootkits ist hilfreich.
Falls es ein produktives System ist, solltest du aber die Finger davon lassen und Profis das System überprüfen lassen.

Um das rootkit sicher loszuwerden hilft nur eine Neuinstallation. Sind noch ungesicherte Daten auf den Systemen?

Neuinstallationen sind übrigens immer getrennt vom Internet durchzuführen! Paranoide hohlen sich die Sicherheitspatches über einen Zweitrechner und spielen sie dann auf das Zielsystem ein.

Was mich ein wenig beunruhigt: Du hast nur ssh nach Aussen offen? Die Passwörter hast du auch sicher gewählt? Sag mir mal wie es hiess, du brauchst jetzt sowieso neue Passwörter: Vermutlich hat der Angreifer die Passwörter mitgeloggt, die auf den betroffenen Rechner eingegeben wurden.

Gruss, Andy

und besorg dir st.jude von sourceforge ...

Original geschrieben von joey.brunner
und besorg dir st.jude von sourceforge ...
http://sourceforge.net/projects/stjude/ Schon wieder ein neues Tool kennengelernt ;)

Gruss, Andy

Hi all,

jetzt habe ich die Maschine komplett neu aufgesetzt, ohne Netz. Dann ein Iptables Script gebaut das es mir nur erlaubt zu Surfen, FTP als Client und HTTPS. Wollte dann bei Redhat die neusten Patches ziehen, doch die nette Leute von Redhat verweigerten dies, da ich die letze Installation registrierte :mad:

das Programm von chkrootkid.org sieht schon wieder 7 versteckte Prozesse... eine halbe Stunde am Nertz (jedoch mit der gleichen IP)

zusatz: ich habe den Kernel auf eine Disk gespeichert also nicht MBR und boot ab Disk und nehme sie dann raus um zu verhinder das mir der Kernel manipuliert wird

können bitte Leute mit der Version 8 von Redhat auch chkrootkit laufen lassen um zu schauen ob dies Normal ist?? diesmal ist das Passwort extrem schwierig, das kann nur sehr mühsam per Brute Force ermittelt werden

@RapidMax
die Passwörter ware nicht so gut:
root: w2kasIS44dummies
adme: rhppIS44dummies

cu
adme

mich würde wirklich interessieren wie die das machen!!! einen Rechne hatte ich frisch aufgesetzt und lange nicht am Netz, da waren keine versteckten Prozesse zu finden. Als ich ihn ans netz hängte sind wieder neun drauf :mad: :mad: :mad: :mad: :mad: :mad: :mad: :mad: :mad:

gehe jetzt schlafen

Hi,

Ich vermute, dass das einfach eine Falschmeldung ist. Niemand hackt einen Rechner nach einer halben Stunde, noch dazu mit der neuesten Software.

Ciao, Bernie

das Programm von chkrootkid.org sieht schon wieder 7 versteckte Prozesse... eine halbe Stunde am Nertz (jedoch mit der gleichen IP)
Mann, hast Du Vertrauen in das Programm. :rolleyes:

Mein Vorschlag. Laß mal chkrootkit laufen, bevor Du ans Netz gehst. ;)

Wollte dann bei Redhat die neusten Patches ziehen, doch die nette Leute von Redhat verweigerten dies, da ich die letze Installation registrierte :mad:
Gehst Du auf https://rhn.redhat.com und deaktivierst dort Dein ehemalig registriertes System. Dadurch wird dann das Entitlement frei und Du kannst die neue Installation registrieren.

Original geschrieben von Belkira
Mann, hast Du Vertrauen in das Programm. :rolleyes:

Mein Vorschlag. Laß mal chkrootkit laufen, bevor Du ans Netz gehst. ;)

Gehst Du auf https://rhn.redhat.com und deaktivierst dort Dein ehemalig registriertes System. Dadurch wird dann das Entitlement frei und Du kannst die neue Installation registrieren.

das ist eben der Witz, befor meine Installation am Netz war, sah er keine versteckten Prozesse!!!

ich werde mal suchen, habe zwar nichts auf rhn gefunden

cu
adme

Hmm, ich habe schon von einem Admin einer kleinen Firma gehört, dass der neue FTP-Server, kaum 2h am Netz, schon mit verbotenem, pornografischem Material gefüllt wurde.

Dennoch würde ich nicht allein dem Tool trauen: Auch das kann mal einen Fehler machen.

Wie werden die versteckten Prozesse gesucht? Indem neue Prozesse erzeugt werden, so dass jede PID einmal drankommen müsste?

Gruss, Andy

Original geschrieben von RapidMax
Hmm, ich habe schon von einem Admin einer kleinen Firma gehört, dass der neue FTP-Server, kaum 2h am Netz, schon mit verbotenem, pornografischem Material gefüllt wurde.

Dennoch würde ich nicht allein dem Tool trauen: Auch das kann mal einen Fehler machen.

Wie werden die versteckten Prozesse gesucht? Indem neue Prozesse erzeugt werden, so dass jede PID einmal drankommen müsste?

Gruss, Andy

sie werden gefunden inemd der Output von ps mit dem /proc verglichen werden.

wie gesagt als er noch nicht am netz war, war alles i.O.

hat ein ungepatchtetes redhat so krasse sicherheitslücken, das jemand root erlangen kann??

cu
adme

Welche Serverdienste startest Du denn bzw. hast Du aktiviert, wenn Du "ans Netz" gehst?

Was meinst Du denn, sei das Problem? https://rhn.redhat.com/errata/rh8-errata-security.html

Und ist es so schwer, die Red Hat Firewall auf "high" zu setzen, bevor Du ans Netz gehst? Nicht, daß ich die verwenden würde. Aber offenbar hast Du ja Sicherheitsbedenken.

Ansonsten staune ich weiterhin über Dein schier unermeßliches Vertrauen in chkrootkit, welches nicht von Red Hat Linux 8.0 stammt, sondern von Dir installiert wird.

Original geschrieben von Belkira
Welche Serverdienste startest Du denn bzw. hast Du aktiviert, wenn Du "ans Netz" gehst?

Was meinst Du denn, sei das Problem? https://rhn.redhat.com/errata/rh8-errata-security.html

Und ist es so schwer, die Red Hat Firewall auf "high" zu setzen, bevor Du ans Netz gehst? Nicht, daß ich die verwenden würde. Aber offenbar hast Du ja Sicherheitsbedenken.

Ansonsten staune ich weiterhin über Dein schier unermeßliches Vertrauen in chkrootkit, welches nicht von Red Hat Linux 8.0 stammt, sondern von Dir installiert wird.

bei mir laufen alle Dienste, jedoch nur SSH gegen aussen... es sind eben alles Bastelcomputer, ich dachte mir ich könne hinter iptables viel machen (solange es nicht gegen aussen offen ist)

SSH hat keinen Bug

zu der Redhat Firewall: ich finde es lächerlich beim kernel 2.4.18 noch eine ipchains basierte firewall drauf zu haben, allerdings wurde sie eingeschaltet

das hat vielleicht damit zu tun das ich Paraoid bin... ich lasse regelmässig meine Maschinen von diversen Securitychecker überürpüfen und nie wurde was gefunden

übrigens das einzige system in meinem Netzwerk das nicht gehackt wurde, ist mein Windows 2000 Advanced Server......

S*H*I*T happenens

in der Bude werden Solaris/SPARC Maschinen durch Redhat/x86 ersetzt... die werde ich installieren und schauen ob hinter einer Firewall 1 von Checkpoint auch solche für ps versteckten Prozesse zu finden sind..

zu der Redhat Firewall: ich finde es lächerlich beim kernel 2.4.18 noch eine ipchains basierte firewall drauf zu haben, allerdings wurde sie eingeschaltet
Na na na! Red Hat Linux 8.0 (Psyche) verwendet iptables und darauf aufsetzende Front-Ends.

das hat vielleicht damit zu tun das ich Paraoid bin... ich lasse regelmässig meine Maschinen von diversen Securitychecker überürpüfen und nie wurde was gefunden
Dann geh der Sache bitte mal nach und berichte, was Du letztendlich findest. Mach einen Reboot, verifiziere die wichtigsten Pakete usw. usf. Ich halte es für falsch, ein externes Programm einzuspielen und hier für Aufregung zu sorgen, ohne eine passende Theorie zu liefern, wie jemand in Dein System einbrechen könnte.

moin moin

ich denke auch das es sich um einen fehlalarm handelt. so wie du schreibst ist von aussen nur der zugriff per ssh erlaubt. ich glaube nicht, das es jemandem gelingt, in einer halben stunde auf diese weise in den rechner zu gelangen, zumal du bei der neuinstallation auf *sichere passwörter* geachtet hast.

laufen auf dem rechner denn irgendwelche dienste, eventuell ein apache der unter last mehrere dämons startet und somit die ausgabe verfälscht?

wenn es sich wirklich um ein LKM handelt, hast du mal nachgesehen, ob ein verdächtiges modul bei lsmod auftaucht?

hast du mal einen kernel compiliert ohne Loadable Module Support und dann mit chkrootkit getestet?


Gruß HL

Original geschrieben von HangLoose
moin moin

ich denke auch das es sich um einen fehlalarm handelt. so wie du schreibst ist von aussen nur der zugriff per ssh erlaubt. ich glaube nicht, das es jemandem gelingt, in einer halben stunde auf diese weise in den rechner zu gelangen, zumal du bei der neuinstallation auf *sichere passwörter* geachtet hast.

laufen auf dem rechner denn irgendwelche dienste, eventuell ein apache der unter last mehrere dämons startet und somit die ausgabe verfälscht?

wenn es sich wirklich um ein LKM handelt, hast du mal nachgesehen, ob ein verdächtiges modul bei lsmod auftaucht?

hast du mal einen kernel compiliert ohne Loadable Module Support und dann mit chkrootkit getestet?


Gruß HL
ich habe die Maschinen extra gescann und es ist nur Port 22 (sshd) offen... auf beiden. Jedoch auf dem System selber läuft jede Art von Deamons, auch apache.

# lsmod
Module Size Used by Not tainted
ipt_multiport 1176 2 (autoclean)
ipt_state 1048 15 (autoclean)
iptable_mangle 2776 0 (autoclean) (unused)
iptable_nat 19960 0 (autoclean) (unused)
ip_conntrack 21244 2 (autoclean) [ipt_state iptable_nat]
ide-cd 33608 0 (autoclean)
cdrom 33696 0 (autoclean) [ide-cd]
i810_audio 25224 0 (autoclean)
ac97_codec 13384 0 (autoclean) [i810_audio]
soundcore 6532 2 (autoclean) [i810_audio]
i830 71488 0
agpgart 43072 8 (autoclean)
binfmt_misc 7524 1
autofs 13348 0 (autoclean) (unused)
xirc2ps_cs 16260 1
ds 8712 1 [xirc2ps_cs]
yenta_socket 12960 1
pcmcia_core 54784 0 [xirc2ps_cs ds yenta_socket]
3c59x 30640 1
ipt_REJECT 3736 3 (autoclean)
iptable_filter 2412 1 (autoclean)
ip_tables 14936 8 [ipt_multiport ipt_state iptable_mangle iptable_nat ipt_REJECT iptable_filter]
microcode 4668 0 (autoclean)
mousedev 5524 1
keybdev 2976 0 (unused)
hid 22244 0 (unused)
input 5888 0 [mousedev keybdev hid]
usb-uhci 26188 0 (unused)
usbcore 77024 1 [hid usb-uhci]
ext3 70368 2
jbd 52212 2 [ext3]


danke das ist eine sehr gute Idee, morgen wenn ich von der Arbeit heimkomme werde ich einen Kernel ohne Module kompillieren und dann testen...

thx
cu
adme

hi adme

hast du ne menge module ;)

das mit lsmod war auch nur ne idee, ein *gutes* rootkit kann diese aussage natürlich auch manipulieren.

hast du die maschinen von aussen gescannt? und wie gesagt ein apache z.b. kann unter last, neue dämons starten und damit zum zeitpunkt des *scans* die ausgabe von ./chkproc verfälschen, siehe auch den ausschnitt der faq, den du reingestellt hast.


Gruß HL

hi HangLoose,

nein zum Zeitpunkt des scans wurde nichts neues spawned... darauf schaute ich nach dem ersten Resultat.

weisst du einerseits halte ich es fast für unmöglich in dieser kurzen Zeit einzubrechen -> Irrtum von chkrootkit

anderseit mache ich regelässig diverse Test und noch nie einen Alarm gehabt

cu
adme

Versuchsweise könntest du daemon umd daemon abschalten und jeweils die Ausgabe von chkrootkit checken. Verschwinden die versteckten Prozesse, hast du den Schuldigen.
Wenn nicht, bist du nicht viel schlauer...

Gruss, Andy

Ich hab mir die Diskussion nicht genau genug durchgelesen, um sagen zu können, du hättest immer nur Originalsoftware (damit ist in dem Fall software direkt von den Entwicklern mit passenden md5-summen, etc) verwendet.

Was ich eigentlich sagen will: Schon mal daran gedacht, dass auch eines deiner Softwarepakete verunreinigt sein könnte?
Dies wäre zumindest eine gute Erklärung dafür, wiso dein Problem gleich nach dem online gehen wieder da ist.
Und da du meinst dein Windoof-Rechner sein nicht betroffen - such doch mal nach einem Paketfilter dafür und lass den Rechner die pakete aufzeichnen, dann kannst du schaun, ob dein Linux evtl. unbemerkt nach hause telefonieren will

Original geschrieben von pi314
Ich hab mir die Diskussion nicht genau genug durchgelesen, um sagen zu können, du hättest immer nur Originalsoftware (damit ist in dem Fall software direkt von den Entwicklern mit passenden md5-summen, etc) verwendet.

Was ich eigentlich sagen will: Schon mal daran gedacht, dass auch eines deiner Softwarepakete verunreinigt sein könnte?
Dies wäre zumindest eine gute Erklärung dafür, wiso dein Problem gleich nach dem online gehen wieder da ist.
Und da du meinst dein Windoof-Rechner sein nicht betroffen - such doch mal nach einem Paketfilter dafür und lass den Rechner die pakete aufzeichnen, dann kannst du schaun, ob dein Linux evtl. unbemerkt nach hause telefonieren will

ich checke eigentlich immer die MD5-Sums...

ich werde von Windoof aus mal sniffen....

UPDATE: jetzt spielt der Eindringling mit mir, macht solche Sachen wie die Pfadvariable neu setzen,....

:mad: :mad: :mad: :mad: :mad:

man ich will nur in Ruhe an meinem Redhat rumbasteln, ich habe doch niemanden was zuleide getan??? warum hackt der assoziale Pen***, ver****** Ars****** mich einfach und reisst mir den letzen Nerv aus???

********

EDIT by richard: hab ein paar wörter zensiert...

:eek:

Fäkalsprache ist das letzte, was ich bei linuxforen.de lesen möchte. :(

Falls von Dir im weiteren Verlauf dieses Threads nicht bald mal vernünftige und sachliche Postings und Details kommen, bitte diesen Thread schließen. :rolleyes: Schlaf drüber und mach einen neuen Thread auf, wenn Du etwas rausfindest. Bisher ist dieser Thread einfach nur schlecht.

Du wirst doch wohl noch eine Installation mit geprüften Installationsmedien vornehmen können, ohne Dein System mit wild aus dem Internet gezogenen Programmen und Skripten zu verseuchen. Danach deaktivierst Du mal ganz brav alle Server und setzt die Firewall auf "hoch". Ggf. ziehst Du die paar Update Pakete für Psyche von einem anderen Rechner.

Und was soll dann noch großartig passieren?

Bist du sicher? Dann hilft nur eines: Alle betroffenen Rechner abschalten, Internet abtrennen, System neu aufsetzen, abdichten und das mit jedem System wiederholen.

Ich weiss nicht was er will, jedoch hilft hier nur rohe Gewalt. Ev. würde sich sogar eine Anzeige gegen Unbekannt lohnen: Erstelle ein Textfile, indem du ihn darauf hinweist.

Gruss, Andy