RootKit

Dieses Thema im Forum "Security Talk" wurde erstellt von madfool, 16.10.2006.

  1. #1 madfool, 16.10.2006
    madfool

    madfool Tripel-As

    Dabei seit:
    12.08.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Zunächst, nein ich möchte nicht wissen was ein RootKit ist oder wo ich es herbekomme.

    Ich habe aber den starken Verdacht, dass ich mir eines auf meinem Server eingefangen habe.

    Warum?

    Nun, zunächst einmal steht in der /etc/hostname neuerdings ein Name den ich dort sicher nicht reingeschrieben habe.
    Will ich den Server mit 'hostname [neuer name]' umbenennen, so bekomme ich die folgende Meldung:

    Code:
    hostname: you must be root to change the host name
    
    Um jeglicher Verdächtigung vorzubeugen; ja, ich habe das Kommando als root abgesetzt;)

    Außerdem wird ein 'reboot' oder ein 'shutdown -r now' verweigert mit den Worten:

    Code:
    Broadcast message from root (pts/0) (Mon Oct 16 12:13:53 2006):
    
    The system is going down for reboot NOW!
    shutdown: /dev/initctl: No such file or directory
    init: /dev/initctl: No such file or directory
    
    ein 'chkrootkit -q' bringt folgendes:

    Code:
    Warning: `//root/.mysql_history' file size is zero
    unable to open wtmp-file wtmp
    unable to open wtmp-file wtmp
    
    Was ja einigermaßen nach Spurenverwischung aussieht.

    außerdem habe ich mir das Tool rkhunter besorgt, ein 'rkhunter -c' bringt aber keinerlei Meldung, obwohl ich vorher ein 'rkhunter --update' abgesetzt habe.

    Ausgabe von rkhunter:

    Code:
    Rootkit Hunter 1.2.8 is running
    
    Determining OS... Ready
    
    
    Checking binaries
    * Selftests
         Strings (command)                                        [ OK ]
    
    
    * System tools
      Performing 'known bad' check...
       /bin/cat                                                   [ OK ]
       /bin/chmod                                                 [ OK ]
       /bin/chown                                                 [ OK ]
       /bin/date                                                  [ OK ]
       /bin/df                                                    [ OK ]
       /bin/dmesg                                                 [ OK ]
       /bin/echo                                                  [ OK ]
       /bin/ed                                                    [ OK ]
       /bin/egrep                                                 [ OK ]
       /bin/fgrep                                                 [ OK ]
       /bin/grep                                                  [ OK ]
       /bin/kill                                                  [ OK ]
       /bin/login                                                 [ OK ]
       /bin/ls                                                    [ OK ]
       /bin/more                                                  [ OK ]
       /bin/mount                                                 [ OK ]
       /bin/netstat                                               [ OK ]
       /bin/ps                                                    [ OK ]
       /bin/sh                                                    [ OK ]
       /bin/su                                                    [ OK ]
       /sbin/depmod                                               [ OK ]
       /sbin/ifconfig                                             [ OK ]
       /sbin/ifdown                                               [ OK ]
       /sbin/ifup                                                 [ OK ]
       /sbin/init                                                 [ OK ]
       /sbin/insmod                                               [ OK ]
       /sbin/ksyms                                                [ OK ]
       /sbin/lsmod                                                [ OK ]
       /sbin/modinfo                                              [ OK ]
       /sbin/modprobe                                             [ OK ]
       /sbin/rmmod                                                [ OK ]
       /sbin/runlevel                                             [ OK ]
       /sbin/sulogin                                              [ OK ]
       /sbin/sysctl                                               [ OK ]
       /sbin/syslogd                                              [ OK ]
       /usr/bin/basename                                          [ OK ]
       /usr/bin/chattr                                            [ OK ]
       /usr/bin/du                                                [ OK ]
       /usr/bin/file                                              [ OK ]
       /usr/bin/find                                              [ OK ]
       /usr/bin/groups                                            [ OK ]
       /usr/bin/head                                              [ OK ]
       /usr/bin/killall                                           [ OK ]
       /usr/bin/last                                              [ OK ]
       /usr/bin/lastlog                                           [ OK ]
       /usr/bin/less                                              [ OK ]
       /usr/bin/locate                                            [ OK ]
       /usr/bin/logger                                            [ OK ]
       /usr/bin/lsattr                                            [ OK ]
       /usr/bin/md5sum                                            [ OK ]
       /usr/bin/passwd                                            [ OK ]
       /usr/bin/pstree                                            [ OK ]
       /usr/bin/sha1sum                                           [ OK ]
       /usr/bin/size                                              [ OK ]
       /usr/bin/sort                                              [ OK ]
       /usr/bin/stat                                              [ OK ]
       /usr/bin/strings                                           [ OK ]
       /usr/bin/test                                              [ OK ]
       /usr/bin/top                                               [ OK ]
       /usr/bin/touch                                             [ OK ]
       /usr/bin/users                                             [ OK ]
       /usr/bin/vmstat                                            [ OK ]
       /usr/bin/w                                                 [ OK ]
       /usr/bin/watch                                             [ OK ]
       /usr/bin/wc                                                [ OK ]
       /usr/bin/wget                                              [ OK ]
       /usr/bin/whatis                                            [ OK ]
       /usr/bin/whereis                                           [ OK ]
       /usr/bin/which                                             [ OK ]
       /usr/bin/who                                               [ OK ]
       /usr/bin/whoami                                            [ OK ]
       /usr/sbin/adduser                                          [ OK ]
       /usr/sbin/chroot                                           [ OK ]
       /usr/sbin/cron                                             [ OK ]
       /usr/sbin/inetd                                            [ OK ]
       /usr/sbin/tcpd                                             [ OK ]
       /usr/sbin/useradd                                          [ OK ]
       /usr/sbin/usermod                                          [ OK ]
       /usr/sbin/vipw                                             [ OK ]
       /usr/sbin/xinetd                                           [ OK ]
      Performing 'known good' check...
    
    [Press <ENTER> to continue]
    
    
    
    Check rootkits
    * Default files and directories
       Rootkit '55808 Trojan - Variant A'...                      [ OK ]
       ADM Worm...                                                [ OK ]
       Rootkit 'AjaKit'...                                        [ OK ]
       Rootkit 'aPa Kit'...                                       [ OK ]
       Rootkit 'Apache Worm'...                                   [ OK ]
       Rootkit 'Ambient (ark) Rootkit'...                         [ OK ]
       Rootkit 'Balaur Rootkit'...                                [ OK ]
       Rootkit 'BeastKit'...                                      [ OK ]
       Rootkit 'beX2'...                                          [ OK ]
       Rootkit 'BOBKit'...                                        [ OK ]
       Rootkit 'CiNIK Worm (Slapper.B variant)'...                [ OK ]
       Rootkit 'Danny-Boy's Abuse Kit'...                         [ OK ]
       Rootkit 'Devil RootKit'...                                 [ OK ]
       Rootkit 'Dica'...                                          [ OK ]
       Rootkit 'Dreams Rootkit'...                                [ OK ]
       Rootkit 'Duarawkz'...                                      [ OK ]
       Rootkit 'Flea Linux Rootkit'...                            [ OK ]
       Rootkit 'FreeBSD Rootkit'...                               [ OK ]
       Rootkit 'Fuck`it Rootkit'...                               [ OK ]
       Rootkit 'GasKit'...                                        [ OK ]
       Rootkit 'Heroin LKM'...                                    [ OK ]
       Rootkit 'HjC Kit'...                                       [ OK ]
       Rootkit 'ignoKit'...                                       [ OK ]
       Rootkit 'ImperalsS-FBRK'...                                [ OK ]
       Rootkit 'Irix Rootkit'...                                  [ OK ]
       Rootkit 'Kitko'...                                         [ OK ]
       Rootkit 'Knark'...                                         [ OK ]
       Rootkit 'Li0n Worm'...                                     [ OK ]
       Rootkit 'Lockit / LJK2'...                                 [ OK ]
       Rootkit 'MRK'...                                           [ OK ]
       Rootkit 'Ni0 Rootkit'...                                   [ OK ]
       Rootkit 'RootKit for SunOS / NSDAP'...                     [ OK ]
       Rootkit 'Optic Kit (Tux)'...                               [ OK ]
       Rootkit 'Oz Rootkit'...                                    [ OK ]
       Rootkit 'Portacelo'...                                     [ OK ]
       Rootkit 'R3dstorm Toolkit'...                              [ OK ]
       Rootkit 'RH-Sharpe's rootkit'...                           [ OK ]
       Rootkit 'RSHA's rootkit'...                                [ OK ]
       Sebek LKM                                                  [ OK ]
       Rootkit 'Scalper Worm'...                                  [ OK ]
       Rootkit 'Shutdown'...                                      [ OK ]
       Rootkit 'SHV4'...                                          [ OK ]
       Rootkit 'SHV5'...                                          [ OK ]
       Rootkit 'Sin Rootkit'...                                   [ OK ]
       Rootkit 'Slapper'...                                       [ OK ]
       Rootkit 'Sneakin Rootkit'...                               [ OK ]
       Rootkit 'Suckit Rootkit'...                                [ OK ]
       Rootkit 'SunOS Rootkit'...                                 [ OK ]
       Rootkit 'Superkit'...                                      [ OK ]
       Rootkit 'TBD (Telnet BackDoor)'...                         [ OK ]
       Rootkit 'TeLeKiT'...                                       [ OK ]
       Rootkit 'T0rn Rootkit'...                                  [ OK ]
       Rootkit 'Trojanit Kit'...                                  [ OK ]
       Rootkit 'Tuxtendo'...                                      [ OK ]
       Rootkit 'URK'...                                           [ OK ]
       Rootkit 'VcKit'...                                         [ OK ]
       Rootkit 'Volc Rootkit'...                                  [ OK ]
       Rootkit 'X-Org SunOS Rootkit'...                           [ OK ]
       Rootkit 'zaRwT.KiT Rootkit'...                             [ OK ]
    
    * Suspicious files and malware
       Scanning for known rootkit strings                         [ OK ]
       Scanning for known rootkit files                           [ OK ]
       Testing running processes...                               [ Skipped ]
       Miscellaneous Login backdoors                              [ OK ]
       Miscellaneous directories                                  [ OK ]
       Software related files                                     [ OK ]
       Sniffer logs                                               [ OK ]
    
    [Press <ENTER> to continue]
    
    
    * Trojan specific characteristics
       shv4
         Checking /etc/rc.d/rc.sysinit                            [ Not found ]
         Checking /etc/inetd.conf                                 [ Clean ]
         Checking /etc/xinetd.conf                                [ Clean ]
    
    * Suspicious file properties
       chmod properties
         Checking /bin/ps                                         [ Clean ]
         Checking /bin/ls                                         [ Clean ]
         Checking /usr/bin/w                                      [ Clean ]
         Checking /usr/bin/who                                    [ Clean ]
         Checking /bin/netstat                                    [ Clean ]
         Checking /bin/login                                      [ Clean ]
       Script replacements
         Checking /bin/ps                                         [ Clean ]
         Checking /bin/ls                                         [ Clean ]
         Checking /usr/bin/w                                      [ Clean ]
         Checking /usr/bin/who                                    [ Clean ]
         Checking /bin/netstat                                    [ Clean ]
         Checking /bin/login                                      [ Clean ]
    
    * OS dependant tests
    
       Linux
         Checking loaded kernel modules... Skipped!
         Checking files attributes                                [ OK ]
         Checking LKM module path                                 [ Skipped! ]
    
    
    Networking
    * Check: frequently used backdoors
      Port 2001: Scalper Rootkit                                  [ OK ]
      Port 2006: CB Rootkit                                       [ OK ]
      Port 2128: MRK                                              [ OK ]
      Port 14856: Optic Kit (Tux)                                 [ OK ]
      Port 47107: T0rn Rootkit                                    [ OK ]
      Port 60922: zaRwT.KiT                                       [ OK ]
    
    * Interfaces
         Scanning for promiscuous interfaces                      [ OK ]
    
    [Press <ENTER> to continue]
    
    
    
    System checks
    * Allround tests
       Checking hostname... Found. Hostname is manhatten.nemetz.de
       Checking for passwordless user accounts... Skipped
       Checking for differences in user accounts... OK. No changes.
       Checking for differences in user groups... OK. No changes.
       Checking boot.local/rc.local file...
         - /etc/rc.local                                          [ Not found ]
         - /etc/rc.d/rc.local                                     [ Not found ]
         - /usr/local/etc/rc.local                                [ Not found ]
         - /usr/local/etc/rc.d/rc.local                           [ Not found ]
         - /etc/conf.d/local.start                                [ Not found ]
         - /etc/init.d/boot.local                                 [ Not found ]
       Checking rc.d files...                                     [ Not found ]
       Checking history files
         Bourne Shell                                             [ OK ]
    
    * Filesystem checks
       Checking /dev for suspicious files...                      [ OK ]
       Scanning for hidden files...                               [ OK ]
    
    [Press <ENTER> to continue]
    
    
    
    Application advisories
    * Application scan
       Checking Apache2 modules ...                               [ OK ]
       Checking Apache configuration ...                          [ OK ]
    
    * Application version scan
       - OpenSSL 0.9.7e                                           [ Old or patched version ]
       - PHP 5.1.6                                                [ Unknown ]
       - ProFTPd 1.2.10                                           [ OK ]
       - OpenSSH 3.8.1p1                                          [ OK ]
    
    Your system contains some unknown version numbers. Please run Rootkit Hunter
    with the --update parameter or fill in the contact form (www.rootkit.nl)
    
    
    Security advisories
    * Check: Groups and Accounts
       Searching for /etc/passwd...                               [ Found ]
       Checking users with UID '0' (root)...                      [ OK ]
    
    * Check: SSH
       Searching for sshd_config...
       Found /etc/ssh/sshd_config
       Checking for allowed root login... Watch out Root login possible. Possible risk!
        info: PermitRootLogin yes
        Hint: See logfile for more information about this issue
       Checking for allowed protocols...                          [ OK (Only SSH2 allowed) ]
    
    * Check: Events and Logging
       Search for syslog configuration...                         [ OK ]
       Checking for running syslog slave...                       [ OK ]
       Checking for logging to remote system...                   [ OK (no remote logging) ]
    
    [Press <ENTER> to continue]
    
    
    
    ---------------------------- Scan results ----------------------------
    
    MD5
    MD5 compared: 0
    Incorrect MD5 checksums: 0
    
    File scan
    Scanned files: 342
    Possible infected files: 0
    
    Application scan
    Vulnerable applications: 1
    
    Scanning took 374 seconds
    
    -----------------------------------------------------------------------
    
    Do you have some problems, undetected rootkits, false positives, ideas
    or suggestions?
    Please e-mail me by filling in the contact form (@http://www.rootkit.nl)
    
    -----------------------------------------------------------------------
    
    
    Gibt es eine reelle Chance das 'Ding' loszuwerden? Gibt es Tools mit denen ich es identifizieren könnte?

    Gruß

    D.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 damager, 16.10.2006
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    rkhunter sagt:
    - ist das dein hostname?
    - wie sehen den die rechte auf der /etc/hostname aus?
    - was für eine distribution benutzt du eigentlich?
    - die wtmp liegt per default unter /var/log (zumindest bei suse). wie sehen dort die rechte aus?
    - irgendwelche updates gemacht?
    - was sagt die ausgabe von last? dieser liest ja aus der wtmp.
    - irgendwelche auffälligekeiten / änderungen in der passwd oder groups (/etc)?
     
  4. #3 madfool, 16.10.2006
    madfool

    madfool Tripel-As

    Dabei seit:
    12.08.2004
    Beiträge:
    192
    Zustimmungen:
    0
    Ja, das ist mein Hostname. Der ist richtig, nur in der /etc/hostname halt nicht.

    -rw-r--r-- 1 root root 10 Oct 16 11:19 /etc/hostname

    Ja, das sollte man angeben. debian/sarge 3.1

    garnicht, eine solche Datein existiert bei mir im ganzen System nicht.

    Ja, ein apt-get update && apt-get upgrade, ein paar Minuten bevor ich das bemerkte.

    Code:
    last: /var/log/wtmp: No such file or directory
    Perhaps this file was removed by the operator to prevent logging last info.
    Das einzige was mir auffällt, ist das bei root in der /etc/passwd anstelle eines passwortes nicht mehr ein * steht, so wie das bei enderen sarge-installationen von mir der Fall ist, sondern direkt ein verschlüsseltes Passwort...

    Gruß

    D.
     
  5. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Da kommt es drauf an, ob du Shadow-Passwörter aktiviert hast (was man auf einem Server ja eigentlich immer sollte). Sind sie deaktiviert, landet dein Passwort in der /etc/passwd
     
  6. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Weisst du noch welche Packages du upgedated hast?

    Hab mal in der Nacht einen Update gehabt der mir die LDAP DB zerschossen hat.. -> kein remote login, kein email, kein samba, kein subversion und noch mehr :)
     
Thema:

RootKit

Die Seite wird geladen...

RootKit - Ähnliche Themen

  1. Logs von debsecan, tiger, chkrootkit richtig auswerten.

    Logs von debsecan, tiger, chkrootkit richtig auswerten.: Hallo! ich habe debsecan drüber laufen lassen und der zeigt mir einen Haufen an low/medium/high urgency an, mit oder ohne remotly exploitable....
  2. Linux 2.6 Kernel /proc Rootkit Backdoor

    Linux 2.6 Kernel /proc Rootkit Backdoor: Unix/Darbe-A is a new kernel rootkit backdoor based in the /proc file system. Weiterlesen...
  3. Linux/Webserver-Rootkit aufgetaucht

    Linux/Webserver-Rootkit aufgetaucht: Ein bislang unbekanntes Rootkit klinkt sich als Kernel-Modul in Linux-Systeme ein, um Schadcode in Form von Iframes in allen durch den Webserver...
  4. Rootkit Hunter 1.4.0

    Rootkit Hunter 1.4.0: Rootkit Hunter scans files and systems for known and unknown rootkits, backdoors, and sniffers. The package contains one shell script, a few...
  5. Rootkited

    Rootkited: Hallo, in mein System ist ein Rootkit eingedrungen, mit abgehaengter Festplatte habe ich mit PartedMagic Live gebootet und Rkhunter und...