Hilfe, wurde ich gehackt?

[kleiner Pinguin]

Hallo zusammen,

ich habe ein Problem
wie bekomme ich mit das ich erfolgreich gehackt worden bin?

Folgende Einträge sind massenhaft da, der Rechner war heute Nacht 212 Minuten online.
Ausserdem habe ich einige Einträge gefunden mit "....SuSE-FW-DROP IN=ppp0...." die auf Port (DPT=) 139, 111 und 901 zugreifen wollten.
Was ist der Unterschied zwischen DROP, DROP-DEFAULT und was ich noch gehört habe REJECT?

Vielen dank für schnelle Hilfe
Gruss Heiko


Jan 20 07:36:08 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.202.36.253 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=63306 DF PROTO=TCP SPT=20207 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 20 07:36:09 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=62.226.0.59 DST=217.226.46.172 LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=5055 DF PROTO=TCP SPT=38661 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0 OPT (020405840402080A168BAD680000000001030300)
Jan 20 07:36:10 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.202.36.253 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=63361 DF PROTO=TCP SPT=20207 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 20 07:36:15 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=62.226.0.59 DST=217.226.46.172 LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=5056 DF PROTO=TCP SPT=38661 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0 OPT (020405840402080A168BAFC00000000001030300)
Jan 20 07:36:17 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.202.36.253 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=63533 DF PROTO=TCP SPT=20207 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 20 07:36:25 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=195.14.204.161 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=121 ID=31809 DF PROTO=TCP SPT=1866 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 20 07:36:27 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=62.226.0.59 DST=217.226.46.172 LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=5057 DF PROTO=TCP SPT=38661 DPT=4662 WINDOW=5808 RES=0x00 SYN URGP=0 OPT (020405840402080A168BB4700000000001030300)
Jan 20 07:36:32 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.236.233.218 DST=217.226.46.172 LEN=60 TOS=0x00 PREC=0x00 TTL=60 ID=60709 DF PROTO=TCP SPT=4629 DPT=4662 WINDOW=15972 RES=0x00 SYN URGP=0 OPT (020405840402080A0CA08A2F0000000001030300)
Jan 20 07:36:34 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=172.176.213.128 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=57737 DF PROTO=TCP SPT=34737 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (0204057A0103030001010402)
Jan 20 07:36:36 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.132.211.214 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=126 ID=62416 DF PROTO=TCP SPT=60339 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 20 07:36:36 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=172.176.213.128 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=57856 DF PROTO=TCP SPT=34737 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (0204057A0103030001010402)
Jan 20 07:36:39 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.132.211.214 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=126 ID=62569 DF PROTO=TCP SPT=60339 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 20 07:36:41 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=80.132.211.214 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=126 ID=62672 DF PROTO=TCP SPT=60433 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405AC0103030001010402)
Jan 20 07:36:43 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=172.176.213.128 DST=217.226.46.172 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=58084 DF PROTO=TCP SPT=34737 DPT=4662 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (0204057A0103030001010402)
Jan 20 07:36:48 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.225.139.139 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=40074 DF PROTO=TCP SPT=2333 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Jan 20 07:36:50 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.225.139.139 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=40129 DF PROTO=TCP SPT=2333 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Jan 20 07:36:52 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.202.36.253 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=64516 DF PROTO=TCP SPT=20283 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 20 07:36:55 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.202.36.253 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=64588 DF PROTO=TCP SPT=20283 DPT=4662 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 20 07:36:56 SOS00001 kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=217.225.139.139 DST=217.226.46.172 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=40254 DF PROTO=TCP SPT=2333 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)

[piefke1984]

hallo,

alles halb so schlimm
gingen nur viele pakete an port 4662 (emule).
entweder lief dies gerade bei dir (was wohl nicht funktionieren wuerde :P), oder du nutzt eine dynamische ip und man dachte du wuerdest etwas anbieten (da derjenige, welchem deine ip vorher zugeteilt war, halt am edonkey-netz beteiligt war.
drop,drop-default,reject duerfte nur das praefix suse's fuer die logdatei sein.
drop bedeutet, dass das paket einfach verworden wird.
bei reject bekommt der sender ein tcp rst zurueck -> connection refused (brauch also kein timeout abzuwarten.

gruss piefke

[kleiner Pinguin]

@ piefke

Danke für die schnelle Antwort.

Primär ist es ja sehr beruhigend. Aber es stellen sich dann neue Fragen (bzw. es bleiben noch ein paar alte Fragen)

Punkt ein; ja mein DSL wählt sich mit einer dynamischen IP-Adresse ein. D.h. die edonkey-Geschichte scheint zu zutreffen.
Aber wie verhindere ich das der Rechner konstant Online bleibt?

Wie erkenne ich das jemand den Server erfolgreich gehacket hat (ausser das alle Festplatten gelöscht sind) .

Was haben denn die versuchten Zugriffen auf die Ports 111, 139 und 901 zu bedeuten

Kann jemand etwas mit dieser Zugriffsverteilung (versuchte Zugriffe) anfangen? Gruppiert und gezählt sind die Dest.Ports. Hat da jemand einen Portscan gemacht?
(zur besseren Lesbarkeit ist die Liste als .txt Datei angehängt)

Ok. Die vielen Zugriffe auf Port 4662 ist jetzt klar, aber der Rest?

Message MaxOfSendPort DestPort Anzahl von Programm
SuSE-FW-DROP SPT=810 DPT=111 2
SuSE-FW-DROP SPT=44499 DPT=139 5
SuSE-FW-DROP SPT=2448 DPT=901 1
SuSE-FW-DROP-DEFAULT SPT=1700 DPT=1080 2
SuSE-FW-DROP-DEFAULT SPT=4760 DPT=1263 6
SuSE-FW-DROP-DEFAULT SPT=4859 DPT=135 82
SuSE-FW-DROP-DEFAULT SPT=2849 DPT=17300 1
SuSE-FW-DROP-DEFAULT SPT=64016 DPT=21299 21
SuSE-FW-DROP-DEFAULT SPT=4695 DPT=2961 3
SuSE-FW-DROP-DEFAULT SPT=1475 DPT=3410 1
SuSE-FW-DROP-DEFAULT SPT=52263 DPT=4264 13
SuSE-FW-DROP-DEFAULT SPT=65063 DPT=445 8
SuSE-FW-DROP-DEFAULT SPT=9752 DPT=4662 4561
SuSE-FW-DROP-DEFAULT SPT=3632 DPT=60000 25
SuSE-FW-DROP-DEFAULT SPT=1582 DPT=6129 3
SuSE-FW-DROP-DEFAULT SPT=3290 DPT=80 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1025 4
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1102 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1103 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1104 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1106 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1107 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1108 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1109 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1111 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1113 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1114 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1115 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1117 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1118 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1119 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1121 1
SuSE-FW-ILLEGAL-TARGET SPT=53 DPT=1122 1
SuSE-FW-ILLEGAL-TARGET SPT=4106 DPT=135 2
SuSE-FW-ILLEGAL-TARGET SPT=18242 DPT=21299 1
SuSE-FW-ILLEGAL-TARGET SPT=4580 DPT=445 1
SuSE-FW-ILLEGAL-TARGET SPT=55532 DPT=4662 1

Sorry ich bin noch ein Greenhorn, aber ich arbeite daran
Gruss
Heiko

[-hanky-]

Zu 139 : Dieser Port wird von Samba bzw. der Windows-Netzwerkfreigabe genutzt.

-hanky-

[Harkan]

DROP = Paket wird kommentarlos verworfen
REJECT = Paket wird abgelehnt und der anfragende Rechner darüber informiert.

Bei der Option DROP wird dann häufig von eine Stealth Firewall gesprochen, da der anfragende Rechner nicht weiß, ob der auszuforschende Rechner überhaupt am Netz hängt. Ein Ping auf diesen funktioniert dann nämlich auch nicht.
Einen Scan gegen Deinen Rechner kannst Du ja mal hier fahren lassen:

https://grc.com/x/ne.dll?bh0bkyd2

Um Deine Paranoia noch etwas auszubauen, kannst Du Dir ja mal diese Liste ansehen:

http://www.glocksoft.com/trojan_port.htm

Dort ist aufgeführt, auf welchen Ports Trojaner laufen könnten

Ein gezielter Angriffsversuch auf Deinen Rechner würde allerdings etwas anders aussehen. Such mal im Forum nach Snort, das Programm kann Angriffe für Dich erkennen und Dich benachrichtigen. Ich persönlich bevorzuge als IDS System psad, welches mit snort Signaturen arbeitet:
http://www.cipherdyne.com/psad/manpage.html

[kleiner Pinguin]

@ Harkan

Danke für die Ausführliche Erklärung.

Achso, klinge ich wirklich so paranoit? Sorry ich bin ein ziemliches Linux-Greenhorn, vor allem bei der Firewall-Technik. Früher konnte ich das immer Bill in die Schuhe schieben heute kann nur ich es schuld sein . Danke für die links. Werde ich mir gleich mal ansehen.

Davon ausgehend das der Rechner nicht und noch nie gehackt wurde, habe ich trotzdem ein großes Problem!
Mein Rechner war heute 730 Minuten online weil irgend wer auf irgendwelche Ports zugreifen wollte (verm. wegen edonkey o.ä.). auf Dauer wird das sehr teuer für mich .
Wie kann ich das unterbinden, dass er online bleibt nur weil irgendjemand irgendwelche Ports ansprechen will an die er "sowieso nicht" kommt.

Vielen Dank viel schnelle Hilfe

Gruss
Heiko

[Harkan]

http://www.heise.de/ct/faq/qna/nervige-port-scans.shtml

Hängst Du an einem Router? Bei einigen Routern soll ein Firmware update helfen. Der Idle Timout hat in den Tests der c't bei fast allen Routern nicht richtig funktioniert und die Verbindung wird aufgrund der dämlichen edonkey Anfragen nicht getrennt. Eine Übersicht:
http://www.heise.de/ct/03/04/links/066.shtml
Ansonsten würde ich mal die automatische Einwahl dort deaktivieren bzw. manuell die Verbindung trennen wie in guten alten Analogmodemzeiten. Du weißt ja, wann Du das Internet benötigst.

Falls Du den Linux Rechner als Router einsetzt, wovon ich nicht ausgehe:
Jürgen Schmidt: Den Internet Zugang richitg konfigurieren c't 03/02 S. 184
und dort als Änderung:
active-filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 !=0'

[deadbeef]

also port 111 ist der portmapper service für alle rpc based dienste, z.b. sadmind, mountd. da die rpc dienste dynamisch an ports gebunden werden, kann man sich
über den portmapper informationen darüber holen wo z.b. ein sadmind oder mountd
service läuft. einige exploits machen das so. für die zwei genannten services gibt es
auch einige exploits.

der 901 wird häufig für die remote administration von samba genutzt. der dienst nennt sich swat.

port 139 ist unter unix samba und unter windows der rpc dienst.
für samba als auch für den rpc dienst gibt es ja bekannterweise eine menge
exploits und würmer. von daher ist ein scan an diesen ports, nicht ungewöhliches.

wenn die services bei dir eh nicht laufen, bzw. vor der firewall nach aussen geblockt werden, mache dir keine sorgen.

gruss,
deadbeef

[kleiner Pinguin]

Ich finde die Resonanz echt klasse von Euch!
Vielen Dank,
aber ich komme mir vor wie beim Kampf gegen die Hydra, schlägt man einen Kopf ab wachsen 3 Neue. Bekomme ich eine Antwort habe ich 3 neue Fragen .

@Harkan
Ich hänge nicht an einem Router sondern mein Linuxrecher ist der Router (in Zukunft wird ein eigener, alter Rechener das Routing übernehmen). Ich bin heise-Abonent ich meine ich hätte den Artikel gelesen, aber vielleicht habe ich die entsprechende Stellen überlesen. Ich werde mir den Artikel noch einmal zu Gemüte führen. Danke für den Tipp.
Der Linuxrechner ist gleichzeitig auch Proxy- und Mail-Server, weil meine Frau es gerne bequem hat und ich sie auch nicht an der Server lasse . Also Dial-on-Demand anschalten geht leider nicht.
Die Links sind klasse

@deadbeef
Ich habe mit dem Link von Harkan einen Portscan gegen meine Firewall laufen lassen. Das Teil scheint dicht zu sein. Es läuft fast im Full-Stealth-Mode. Nur der Port 113 meldet ein Reject. Macht das Sinn den auch auf Drop zu setzen, dann bin "ich" ganz unsichtbar .
Den Begriff exploits habe ich des häufigeren gelesen. Ich kann mir darunter nicht viel Vorstellen. Aus dem Zusammenhang heraus würde ich vermuten, dass es ein provozierter Memory-Overflow o.ä. ist. Gibt es Links die sich damit befassen?

Gruss
Heiko

[Harkan]

Exploits:

Well to explain this simply, a Exploit is a program that 'exploits' a bug in a specific software. All exploits are different, they do different things exploit different bugs,thats why exploits are allways program specific.
Exploits are made to get root on different operating systems. They achive this by exploiting a bug in software when the software is running as root. In UNIX type OS's,software may have to run as root ( or UID 0 ) in order to perform a specific task that cannot be performed as another user. So basically the exploit crashes the software while running as root to give you the beautiful root prompt.

Port 113 = auth kannst Du auch ruhig auf REJECT stellen

Ansonsten lies Dir mal als root die /etc/services (denke mal die wird auch unter Suse existieren) durch, da werden alle Dienste ihrem Port nach geordnet aufgeführt.

[deadbeef]

naja, unter einem exploit versteht man eigentlich ein kleines stück software,
welches eine schwachstelle eines dienstes (lokal/remote) ausnutzt, um mehr
rechte auf einem system zu erlangen, als gewollt.

das kann cross site scripting, sql injection aber natürlich auch ein klassischer
bufferoverflow sein.

websites die sich mit sowas befassen gibt es zu hauf.

wenn du was zum thema hacken und overflows etc, wissen möchtest,
les einfach mal ein paar artikel auf www.phrack.org

gruss,
deadbeef

[kleiner Pinguin]

Original geschrieben von Harkan
Falls Du den Linux Rechner als Router einsetzt, wovon ich nicht ausgehe:
Jürgen Schmidt: Den Internet Zugang richitg konfigurieren c't 03/02 S. 184
und dort als Änderung:
active-filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 !=0'

Ich habe es leider noch nicht ausprobieren können, aber es klingt genau nach meinem Problem, bzw. nach der Lösung (Ich hatte den Artikel noch nicht gelesen).

Für alle die die c't nicht lesen können (kaufen es lohnt sich ):
Ab der SuSE8.1 gibt es für den ppp-Daemon eine Option active-filter. Sie ist aber standardmässig ausgestellt. Mit dieser Option kann manangeben, was als erwünschte Aktivität zu gelten hat.
empfolene Einträge laut c't (Jürgen Schmidt) in der

/etc/ppp/options sind
active-filter 'outbound'
active-filter 'not icmp[icmptype] == icmp-unreach'
active-filter 'not tcp[tcpflags] & (tcp-rst| tcp-fin) != 0'

Ich denke Harkans Version ist wahrscheinlich die verfeinerte Form , ich werde beide mal ausprobieren und mich nochmal melden (in ca. einer woche) und berichten.

Vielen Dank für die Unterstützung

Gruss
Heiko

[kleiner Pinguin]

Hallo zusammen,

hat jetzt doch etwas länger als 1 Woche gedauert, ich hatte leider keine Zeit.

Die config von Harkan funktioniert.

Code:

active-filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 !=0'

Bei der anderen hatte ich leider keinen Erfolg kann aber auch sein das ich da irgend einen Fehler gemacht habe.

Gruss Heiko