PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : DDoS - Trin00



chummer
12.08.03, 15:39
hallo.

hab eben mal mit nessus meinen debian router gescannt.
dabei wurde mir angezeigt das angeblich das DDoS-tool Trin00 auf port 34555 lauschen würde.
das komische an dieser sache ist das dieser port eigentlich von den windows versionen genutzt wird. die unix versionen sollten eigentlich auf port 27444 lauschen.

hat vielleicht jemand eine idee ob das ein falscher alarm ist oder wie ich der sache genauer nachgehen kann? hab danach bei google gesucht, aber nichts richtiges gefunden...

hab übrigens iptables laufen und von aussen eigentlich nur den webserver offen.
ausserden läuft noch snort. das hat mir auch nix verdächtiges angezeigt...

Unforgiven_II
15.08.03, 19:46
Hi!

Eventuell willst du mal mittels "lsof" nachgucken was denn da läuft?
Oder habe ich deine Frage falsch verstanden?

Gruss

derRichard
15.08.03, 21:59
hallo!

schau halt einfach mit "lsof -Pni" nach.

//richard

bernie
16.08.03, 01:18
Hi,

ich hatte den Scherzbold auch mal auf meinem Rechner,.. habe in /tmp C-Code und kompilierte Dateien gefunden. ausserdem gibt sich dieses Backdoor als prozess "httpd" aus was ich dem Source so entnehmen konnte. Da sieht man die dummen Script Kiddies, der Prozess heisst unter Debian "apache". Des weiteren solltest du mal chkrootkit installieren.

was sagt denn nmap wenn du die Maschine scannst? wirst vermutlich "-p 1-65535" angeben müssen um alle Ports zu scannen.

Ciao, Bernie

bernie
16.08.03, 01:27
Original geschrieben von bernie
Hi,

ich hatte den Scherzbold auch mal auf meinem Rechner,.. habe in /tmp C-Code und kompilierte Dateien gefunden. ausserdem gibt sich dieses Backdoor als prozess "httpd" aus was ich dem Source so entnehmen konnte. Da sieht man die dummen Script Kiddies, der Prozess heisst unter Debian "apache". Des weiteren solltest du mal chkrootkit installieren.

was sagt denn nmap wenn du die Maschine scannst? wirst vermutlich "-p 1-65535" angeben müssen um alle Ports zu scannen. Und vergiss nicht den gcc zu löschen. Wennst wieder was kopilieren willst installierst ihn halt schnell nach.

Ciao, Bernie

chummer
18.08.03, 00:14
hmm.

ich hab den rechner nach verdächtigen daten durchsucht... nichts gefunden.
dann hab ich lsof -Pni gemacht und auch nichts verdächtiges gefunden.
alles nur mysql, apache, sshd oder samba. und alles die normalen ports.

da ich einen apache auf dem system laufen habe habe ich ihn mal gestoppt.
danach gab es keine prozesse mehr mit apache oder httpd...

mit nmap muss ich noch scannen.

RapidMax
18.08.03, 14:22
Wenn du ein Rootkit auf der Kiste hast, kannst du solange lsof machen wie du willst: Du wirst nichts entdecken.

Hohle lsof von einer sicheren Quelle und verwende dieses (recht sicher)
verwende chkrootkit mit einem Satz sauberer Tool, wie oben (sicherer)
Boote ein sauberes System (z.B. Knoppix), mounte die Systemdisk und schau damit nach (sicher)


Gruss, Andy