PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : bindshell!



Unforgiven_II
01.05.03, 18:28
Ich hab seit heute Nacht:

chkrootkit:
"Checking `bindshell'... INFECTED (PORTS: 600)"

und
netstat -a:
"udp 0 0 *:600 *:*"

Wie bekomme ich raus wie er das gemacht hat?
Wie verbinde ich mich mit dem rootkit?
Wieso ich? Ich hab doch alles mögliche an Diensten gekillt!

Unforgiven_II
01.05.03, 18:29
-

Unforgiven_II
01.05.03, 18:48
PS: Ich hatte auch alle Updates

Irgendwie kanns das doch nicht sein dass ich nach wenigen Stunden ein rootkit drauf habe? Besteht die Möglichkeit dass das über ein Paket was ich installiert habe mitinstalliert wurde? Wenn ja, wie kann ich checken welches, ich habe alles was ich installiert habe noch auf Platte.

RapidMax
01.05.03, 19:28
Zieh den Netzwerk-Stecker und überprüfe mal die Kiste, ev. findest du Spuren, wie er eingedrungen ist. Dazu gibt es Tools wie chkrootkit.

Was für Dienste hast du dann überhaupt noch eingeschaltet? Oder ist dein Passwort lausig?

In letzter Zeit hat es mindestens zwei Fälle gegeben, wo es Cracker gelungen ist, auf einen Server einzudringen und dort die Source-Code-Archive mit einem Trojaner auszustatten. Was hast du als letztes installiert?

Bindshell bedeutet im wesentlichen, dass irgend eine Form von Shell an ein Port gebunden ist, mit der ein Angreiffer im System "wüten" kann.
http://unix.za.net/~wokani/bindshell.c
http://hysteria.sk/sd/f/junk/bindshell/bindshell.c

Gruss, Andy

Unforgiven_II
01.05.03, 19:45
Original geschrieben von RapidMax
[B]Zieh den Netzwerk-Stecker und überprüfe mal die Kiste

Hab ich, bin anders online.


Original geschrieben von RapidMax
, ev. findest du Spuren, wie er eingedrungen ist. Dazu gibt es Tools wie chkrootkit.

chrootkit hab ich doch genutzt, damit hab ich bindshell gefunden, aber wie finde ich heraus wie er reingekommen ist? welche dateien lohnt es sich zu durchsuchen?


Original geschrieben von RapidMax
Was für Dienste hast du dann überhaupt noch eingeschaltet? Oder ist dein Passwort lausig?

Die Dienste liste ich mal auf später, passwort ist sicher nicht lausig, erraten kann es auf keinen fall werden und brute-force ist auch auzuschliessen.


Original geschrieben von RapidMax
In letzter Zeit hat es mindestens zwei Fälle gegeben, wo es Cracker gelungen ist, auf einen Server einzudringen und dort die Source-Code-Archive mit einem Trojaner auszustatten. Was hast du als letztes installiert?

nessus hab ich installiert (versucht, nicht geklappt)
server hab ich ja keinen laufen, ich war als normaler user eingeloggt in der zeit als es passiert sein muss, gelaufen ist lmule, xmms sowie mozilla und seti.


Original geschrieben von RapidMax
Bindshell bedeutet im wesentlichen, dass irgend eine Form von Shell an ein Port gebunden ist, mit der ein Angreiffer im System "wüten" kann.
http://unix.za.net/~wokani/bindshell.c
http://hysteria.sk/sd/f/junk/bindshell/bindshell.c
Ja, da läuft was auf port 600, aber wie komme ich dahinter was das ist und wie kann ich selber eine verbindung damit erzeugen?

Danke... geht mir irgendwie nicht an dass ein neues (mandrake 9.1) system mit allen patches und nur den nötigsten diensten in so kurzer up-time zerlegt wurde.

RapidMax
01.05.03, 20:04
chkrootkit kann möglicherweise auch einen Fehlalarm produzieren, adme hier im Forum kann dir ein Lied davon singen. Versuche die zu dem root-kit gehörenden Daten ausfindig zu machen (suche nach Verzeichnissen/Dateien mit dem Namen: "foo", "..." in /dev usw.)

Wenn du keinen Dienst am laufen hast, ist ein Einbruch recht unwarscheinlich. Hast du einen in Betrieb, könnte dieser die Ursache sein. Bitte liste mir die auf.

Gruss, Andy

Unforgiven_II
01.05.03, 20:57
Hi!

Jetzt hab ich entweder die Erlösung, oder ein Riesen-Problem:

Bin jetzt wieder in Linux, und die bindshell wird einfach nicht mehr gefunden.

Nachdem ich sie zuerst entdeckt hatte hab ich den Rechner offline genommen.
Neu gestartet. Wieder gesucht. Bindshell wurde wieder gefunden.

Jetzt wo ich das System erneut gestartet habe wird sie nicht mehr gefunden.
Und nun? Wenn ich Pech habe war der Eindringling wieder da und hat sich unsichtbar gemacht nun. Wenn ich Glück habe war es ein Fehlalarm. Nur wie komme ich jetzt dahinter was stimmt? Und wenn es Fehlalarm war, wieso ist dieser nun nicht mehr? Nach dem letzten reboot war er noch da.
ich durchstöbere eben /var/log, aber ich weiss ehrlich gesagt nicht genau wonach ich suche.

Unforgiven_II
01.05.03, 21:40
Was so läuft und das runlevel: (ich hoffe das ist das richtige):



alsa 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
dm 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Ein 6:Aus
kheader 0:Aus 1:Aus 2:Ein 3:Ein 4:Aus 5:Ein 6:Aus
keytable 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
netfs 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
network 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
partmon 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
random 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
rawdevices 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
sound 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
saslauthd 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
syslog 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
crond 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
portmap 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
xinetd 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
xfs 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
switchprofile 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
cups 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
postfix 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
rwhod 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
linuxconf 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
harddrake 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
apmd 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
atd 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
devfsd 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
iptables 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
numlock 0:Aus 1:Aus 2:Aus 3:Ein 4:Ein 5:Ein 6:Aus
webmin 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
tmdns 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
internet 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
wine 0:Aus 1:Aus 2:Ein 3:Ein 4:Ein 5:Ein 6:Aus
shorewall 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
oki4daemon 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
mtink 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus
adsl 0:Aus 1:Aus 2:Aus 3:Aus 4:Aus 5:Aus 6:Aus

xinetd-basierende Dienste:
chargen-udp: Aus
chargen: Aus
daytime-udp: Aus
daytime: Aus
echo-udp: Aus
echo: Aus
services: Aus
servers: Aus
time-udp: Aus
time: Aus
cups-lpd: Aus
xadmin: Aus
fam: Ein
linuxconf-web: Aus
rsync: Aus


PS: Was könnt ich noch entfernen ohne als Einzel-User ohne Sever Probleme zu bekommen?

HangLoose
01.05.03, 21:51
hi

xinetd und portmap brauchst im allgemeinen nicht.

imho ist /tmp ein beliebter platz für rootkits etc, hast du dort schonmal wegen verdächtigen dateien nachgesehen? du könntest auch mal einen sniffer am port 600 lauschen lassen, sofern du das risiko eingehen kannst, die kiste so an wieder ans netz zu hängen.



Gruß HL

Unforgiven_II
01.05.03, 22:02
Danke für deine Antwort, portmap ist doch aus?
xinetd hab ich jetzt mal beendet

HangLoose
01.05.03, 22:18
ups ja klar :)

Unforgiven_II
01.05.03, 22:20
Original geschrieben von RapidMax
Versuche die zu dem root-kit gehörenden Daten ausfindig zu machen (suche nach Verzeichnissen/Dateien mit dem Namen: "foo", "..." in /dev usw.)


Nichts gefunden


Original geschrieben von HangLoose
imho ist /tmp ein beliebter platz für rootkits etc, hast du dort schonmal wegen verdächtigen dateien nachgesehen?

Auch nichts, und ich hab gleich alles geleert dort