Rootkit

Dieses Thema im Forum "Security Talk" wurde erstellt von DeeDee0815, 07.01.2008.

  1. #1 DeeDee0815, 07.01.2008
    DeeDee0815

    DeeDee0815 Doppel-As

    Dabei seit:
    13.02.2007
    Beiträge:
    130
    Zustimmungen:
    0
    Hi,

    ich habe meinen gerade eine Woche alten Server mit Web- und Maildiensten darauf mal mit chkrootkit überprüfen lassen. Dabei kam folgendes nicht-gutes heraus:

    Code:
    Checking `bindshell'... INFECTED (PORTS:  1524 6667 31337)
    Checking `lkm'... You have    92 process hidden for readdir command
    chkproc: Warning: Possible LKM Trojan installed
    Was soll ich jetzt machen, um die Frage mal dumm zu stellen?

    MfG
    DeeDee0815
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Moin,

    von Hand chkrootkit gestartet? Oder per cronjob? Ansonsten heisst die Warnung nichts schlimmes.

    Gruß
    Blur
     
  4. #3 DeeDee0815, 07.01.2008
    DeeDee0815

    DeeDee0815 Doppel-As

    Dabei seit:
    13.02.2007
    Beiträge:
    130
    Zustimmungen:
    0
    Hi blur,

    danke für Deine schnelle Antwort: Zum ersten Test habe ich es mal per Hand gestartet, dabei ist mir das eben aufgefallen. Und es heißt nichts schlimmes, wenn das Programm sagt, dass eventuell ein LKM-Trojaner installiert ist? Nun ja, ich denke mal ich muss mich ein wenig über dieses Programm informieren, um mit den Ausgaben viel anfangen zu können.

    Eine Frage hätte ich aber noch: Bei allem anderen hat chkrootkit gesagt, nothing deleted, oder ähnlich. Heißt das, das chrootkit auch rootkits etc. löscht, wenn es sie erkennt?

    MfG
    DeeDee0815
     
  5. Gast1

    Gast1 Guest

    So etwas z.B.

    1. Ergebnisse 1 - 10 von ungefähr 672 für Checking `bindshell'... INFECTED. (0,10 Sekunden)

    2. Gechackt? User löschen trotz Login! - Server Support Forum (4. oder 5. Treffer)


    3. Darin ein Link zu => http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539

    4. Schauen ob es passt oder nicht.

    5. Was "false positive" bedeutet, ergooglest Du am besten jetzt selbst.
     
  6. #5 DeeDee0815, 07.01.2008
    DeeDee0815

    DeeDee0815 Doppel-As

    Dabei seit:
    13.02.2007
    Beiträge:
    130
    Zustimmungen:
    0
    Hi Rain_Maker,

    danke für die Hinweise: Beim nächsten Mal suche ich dann selbst. :D Ich war nur etwas erschrocken und dachte mir lieber mal gleich bei Kennern dieses Programms nachzufragen, da ich nicht riskieren wollte etwas riskantes falsch einzustufen.

    In der Tat: der Bug passt. Bei mir wird wohl ein "false positive", also, wie ich nun gelernt habe, ein fälschlicher Weise als böse erkanntes Programm etc., erkannt.

    Dann nochmal danke an euch Beide für die schnelle und kompetente Hilfe.

    MfG
    DeeDee0815
     
  7. Gast1

    Gast1 Guest

    Mal was Allgemeines (man möge mir gerne mit guten Argumenten widersprechen).

    Mit diesen "Rootkit"-Scannern ist es ähnlich wie mit Virenscannern unter Win.

    - Sie erkennen _nicht_ zuverlässig alle Schädlinge, sondern maximal das, was sie schon kennen. Selbst Heuristiken sind nur "gutes Raten", also können diese per definition nicht zuverlässig sein.

    - Sie verunsichern den User (das ist IMHO sogar hier schlimmer als bei Virenscannern unter Win) durch false Positives, siehe bisheriger Thread => Q.E.D.

    - Selbst wenn sie nichts finden (was anhand der vielen false Positives zwar unwahrscheinlich ist, irgendwie Ironie des Schicksals, oder?) kann man sich danach nicht sicher sein, ob alles OK ist.

    Man sollte sich also fragen, ob hier der potentielle Schaden (im Sinne von Verunsicherung oder in falscher Sicherheit wiegen, weil nichts gefunden wurde) im Verhältnis zum potentiellen Nutzen steht.
     
  8. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Ich versuche das mal :think:

    Das ist doch aber immer so. Ein Programm ist so gut wie sein Programmierer. Nur weil etwas nicht 100% erkannt wird, ist es doch nicht schlecht, oder? Aus dem wahren Leben gegriffen: Stell Dir vor, der Arzt sagt Du hättest Krebs. Was machst Du? Dich informieren und Dir zumindest eine zweite Meinung besorgen. Ist das schlechter als nichts zu tun und nicht zum Arzt zu gehen?

    Gerade dieser Thread zeigt, daß man sich beim Befall weiter informieren muss. False Positive sind in meinen Augen nichts schlechtes, man muss daraus nur Wissen zu lernen:oldman

    Sicher sollte man sich nie fühlen. Aber dann könnte man auch aufhören SPAM zu scannen, denn 100% wird der ja auch nicht rausgefiltert :-)
    Man sollte mit dem was man einsetzt auch umgehen können. Wenn das einige nicht können, liegt das doch nicht am Programm, sondern am Wissen desjenigen der es einsetzt. Waffen an sich sind nicht tödlich, es kommt immer noch der Faktor Mensch hinzu.

    Ich habe einen Kunden, der bekommt jeden Tag eine E-Mail mit der Scan-Ausgabe von chkrootkit. Bekommt er die nicht, läuft irgendetwas mit den Emails nicht richtig :D

    Gruß
    Blur
     
  9. #8 Gast1, 08.01.2008
    Zuletzt von einem Moderator bearbeitet: 08.01.2008
    Gast1

    Gast1 Guest

    Mal etwas Rethorik-Kritik:

    Ein vielleicht (darüber kann man diskutieren) gutes Argument kann man durch einen ungeschickten Vergleich ganz schön selbst zu nichte machen.

    *Hust*

    Auf das obige Beispiel bezogen frage ich mal so:

    Stell Dir vor, es gäbe einen Arzt, der in 90% der Fälle fälschlicherweise eine Krebserkrankung diagnostiziert.

    Würdest Du zu solch einem Arzt gehen?

    Und das hier:

    ist ein besonders unglücklicher Vergleich, denn ein Rechner ist nie "ein bisschen" mit einem Rootkit infiziert, entweder ist er das oder er ist es nicht, das wäre fast wie "ein bisschen schwanger" sein.

    Wenn man aber "einen Teil" der SPAM-Mails durch eine irgendwie geartete Maßnahme ausgefiltert bekommt, dann hat das schon einen Nutzen, das ist der entscheidende Unterschied.

    Wer genug Wissen hat, um die Ausgaben von solchen Rootkit-Suchtools mit hoher Wahrscheinlichkeit richtig zu deuten, der findet mit Sicherheit auch unstrittigere Anhaltspunkte, ob etwas faul ist oder nicht.

    Und nun wirds richtig lächerlich (trotz angefügtem Smiley).

    Was für jede durch cron erzeugten Mail gelten würde, auch die, welche nützlichere Informationen enthalten als die Information "Ich habe etwas/nichts gefunden, aber ob das stimmt, kann ich Dir nicht einmal mit geringer Wahrscheinlichkeit sagen", was nun mal die Ausgabe dieser Tools übersetzt bedeutet (siehe oben). Anders gesagt, wenn der Kunde regelmässig und automatisiert über den Zustand seines Servers informiert werden möchte, dann kann ich nur hoffen, daß das nicht die einzige tägliche Mail ist, die er automatisch bekommen soll.

    Greetz,

    RM
     
  10. chb

    chb Steirer

    Dabei seit:
    01.06.2003
    Beiträge:
    2.359
    Zustimmungen:
    0
    Ort:
    ÖSTERREICH
    Ich mach jetzt mal auf Spielverderber, aber was hat "Modul Loading Support" auf einem Server zu suchen :-). Und Checksummen über die basis binaries sollte man auch am Anfang gehabt haben ...

    SCNR ...
     
  11. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Das ist sicherlich richtig, aber man muss es auch "richtig" interpretieren.

    Falsche Vorstellung. Du gehst jedes Jahr zur Vorsorge und dieses Jahr sagt er Dir, Du hast Krebs. Ob das zu 90% stimmt oder nicht, musst Du nun mit weiteren Untersuchungen heraus bekommen. Und genau darum geht es. Auf ein Programm abgebildet. Wenn es bei 9 von 10 Aufrufen ein Rootkit meldet ist es sicherlich nutzlos. Da gebe ich Dir Recht. Sollte es aber nach jahrelanger Nutzung etwas melden, sollte man sich doch schon drum kümmern, oder?




    Aber auf die Gesamtheit des SPAMs bezogen habe ich immer noch False-Positive oder Spam der nicht erkannt wird. Und das wird sich wohl auch nie ändern.

    Und würde dann nicht ein Rootkit-Scanner helfen Hinweise auf den Übeltäter zu finden?


    Ich habe das Smilie nicht ohne Grund daran gesetzt. Der Rootkitscanner schickt seine E-Mail nicht lokal sondern nach extern und genau darauf zielte mein Smilie ab.

    Meine bisherigen Einsätze mit dem Rootkitscanner waren entweder erfolgreich und ich wusste mit was für einem Übeltäter ich es zu tun hatte oder nicht erfolgreich und da war dann wirklich nichts.

    Ich bin aber gerne bereit zu lernen. Welches Rootkit wird denn vom Scanner nicht erkannt?

    Gruß
    Blur
     
  12. Gast1

    Gast1 Guest

    Wie bei jedem anderen Malwarescanner auch; die, die er nicht in seinen Erkennungsmustern hat kann er nicht zuverlässig erkennen sondern nur gut erraten.

    Das funktioniert bei Virenscannern/Spywaretools nicht zuverlässig oder besser es funktioniert zuverlässig nicht, wieso sollten da für einen Rootkitscanner andere Regeln gelten?

    (Kann ja sein, nur dazu habe ich noch nirgends etwas gefunden, daß die Scanner da prinzipiell anders arbeiten als obige Tools.)

    Was ebenfalls hinzukommt, aber das gilt ebenfalls für alle Scannertools.

    Alles, was auf dem selben System wie auch die potentielle Malware läuft, kann manipuliert werden, das hängt nur vom Geschick des Einbrechers ab.

    Das könnte man unter Umständen umgehen, indem man dafür sorgt, daß der entsprechende Scanner erst direkt zum Zeitpunkt des Scans auf die Kiste kommt und entsprechende Checksummen ebenfalls direkt nach der Installation erstellt und _extern_ gesichert wurden. Das darf man dann aber vor jedem Scan wiederholen und bei jedem Softwareupdate müsste man die entsprechenden Checksummen für die geänderten Programme neu erstellen und extern sichern.

    Ziemlich viel Aufwand aber streng genommen absolut notwendig, wenn man solche Manipulationen ausschließen will.

    Salopp formuliert:

    Die besonders faulen/dämlichen "Cracker" (aka Sciptkiddies) erwischt man damit vielleicht, nur sind diese eigentlich eher durch entsprechende Vorsorge auszuschließen, damit die mit ihren bekannten 0815-Attacken auf meist schon längst bekannte Sicherheitslücken erst gar nicht auf die Kiste kommen.

    Ein besonders cleverer Einbrecher ist aber vielleicht in der Lage seinen Einbruch so gut zu tarnen bzw. den Scanner zu manipulieren, daß dieser "Alles Okidoki" meldet.

    Das Problem ist nicht (das habe ich weiter oben schon angedeutet), daß diese Tools gar keinen Nutzen haben, sondern, daß sie nur ein winziger Baustein sein können und maximal dann Sinn machen, wenn man schon ungefähr weiß, was man sucht und was nicht.

    Um den Arztvergleich zu bemühen, es kann bei der Diagnose helfen, wenn man schon vorher ein Symptom bemerkt hat und nicht um Symptome zu suchen.

    Gerade weniger erfahrene Serveradmins scheinen sich aber (so meine Beoachtung beim Querlesen diverser Serverforen) zu sehr auf chrootkit&co zu verlassen und dann werden meist die anderen Maßnahmen vernachlässigt, weil ja alles OK ist und der Scanner einen ja schon warnen wird, wenn etwas faul ist.

    Genau darauf zielte dieser Satz hier ab:

    Alleine schon das "sich ernsthaft fragen", ob es einem beim derzeitigen, eigenen Kenntnisstand mehr Nutzen als Schaden bringt ist nämlich (leider) in den meisten Fällen schon mehr Gedanken gemacht, als es bei vielen Serverneulingen der Fall ist (was ich als allgemeine Aussage und nicht auf den TE bezogen verstanden wissen möchte).

    Greetz,

    RM
     
  13. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Ich sehe darin keinen Widerspruch. Nur weil etwas weniger zuverlässig funktionieren könnte, soll ich es nicht nutzen und deshalb komplett auf irgendeine Sicherheit verzichten? Sieh doch bitte einen RootKit-Scanner nicht als böses Teufelszeug, sondern als Hilfsmittel, welches einem Admin hilft Dinge zu finden die sonst für immer unentdeckt geblieben wären. Ein Airback hilft auch nicht zu 100%, aber bei kleineren Unfällen schon.

    Kein Widerspruch, aber wie so alles im Leben kann man etwas dagegen tun.

    Ja viel Aufwand, vor allem, wenn man bedenkt, daß sich ein typischer Hacker um so etwas eher wenig kümmert. Aber es reicht schon, wenn man alles von CD startet :brav:

    Welche Vorsorge meint der Herr? Nicht immer ist die Lage so, daß man als Admin über alles die Hoheitsrechte hat. Und schon hat man das Problem...
    Es gibt Webanwendungen, die laufen einfach nach Sicherheitspatches nicht mehr.

    Ein cleverer Einbrecher ist dazu sicherlich in der Lage, aber das ist in meiner Laufbahn erst einmal vorgekommen. Meist lassen sich die Einbrecher relativ einfach finden und auch deren Tun läßt darauf schliessen, daß schon lange keine neueren Rootkits mehr im Umlauf sind.

    Ich lasse mich gerne verbessern, aber die Hacker die ich die letzten Jahre gefunden habe, nutzen Software, welche alle ähnlich aufgebaut ist und vom Alter her, vor der letzten Jahrtausend-Wende programmiert wurde :D

    Also wird erst reagiert, wenn der Hacker sich ein paar Wochen eingenistet hat und dann leider etwas kaputt macht. Und das fällt dann auf :D
    Deshalb gibt es auch keine Vorsorge-Untersuchungen für Frauen und für Männer ab 35 Jahren?

    Sei mir nicht böse, aber eine tägliche Diagnose schadet nicht und hilft vielleicht Problemen frühzeitig auf die Spur zu kommen.

    Das soll natürlich nicht so sein, aber genau deswegen diskutieren wir ja hier. Eine 100% Sicherheit gibt es nicht, daß sollte jedem klar sein. Und der gesunde Menschverstand gehört immer dazu, wenn einem etwas komisch vor kommt.

    Gruß
    Blur
     
  14. Gast1

    Gast1 Guest

    Den Rest meines Posts gelesen, bevor das geschrieben wurde?

    Wohl kaum.

    Hast Du auf jeden Server physikalischen Zugriff? Turnschuhadmin?

    Ah ja, also statt vorzubeugen und Software auf dem möglichst aktuellen Sicherheitstand des Distributors zu halten, lässt man Updates aus, aber zumindest will man wenigstens im Nachhinein wissen, wann man durch dieses Gestümper ins Knie gef***** wurde, weil jemand die Kiste aufgemacht hat?

    Seltsame Logik.

    Das liegt aber sicher nicht an Sicherheitsupdates des Distributors sondern an Stümperei des Herstellers dieser Anwendungen bzw. daß es sich um nicht unterstütze Drittanbietersoftware handelt.

    Da muß ich jetzt schmunzeln, denn auch wenn das stimmen mag muß ich darauf einfach antworten.

    "Bist Du Dir da sicher?"

    (Du kannst es nicht sein, denn wer weiß, vielleicht wurde einer/mehrere gar nicht bemerkt, eben weil er/sie so clever war und sich auch wieder unbemerkt aus dem Staub gemacht hat).

    siehe einen Abschnitt weiter oben *fg*

    Du widersprichst Dir indirekt gerade selbst bzw. bestätigst meine Aussage mit der seltsamen Logik.

    Wenn ich absichtlich Löcher offen lasse, weil ich Updates nicht einspiele/einspielen darf, dann mache ich genau das, was Du oben beschreibst, ich reagiere zu spät (oder noch schlimmer, ich reagiere gar nicht).

    Ein Scanner kann Dich ausserdem gar nicht schützen, er kann nur bemerken, ob Du schon "0wned" bist und dann ist es eh zu spät.

    Die eigentliche Schutzwirkung ist also gleich null, da gibt es wohl keinerlei Zweifel.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Ich fasse mal zusammen, korrigier mich bitte Rain_Maker, falls das nicht stimmen sollte, nach Deiner Auffassung sind rootkit-scanner unsinnig, da
    • sie wie Viren-Scanner nur nach Signaturen scannen
    • die Server immer mit aktuellen Patches versorgt sind (sein sollen)
    • man nur mit viel Aufwand alles absichern kann (Scanner wir kompromitiert)
    • zuviele False-Positive entstehen
    • die Admins sich in Sicherheit wiegen
    Ernsthafte Frage, musstest Du schonmal ein rootkit entdecken und entfernen?
    Oder redest Du nur theoretisch darüber? Also ohne praktische Erfahrung?

    Um gleich einem Missverständniss vorzubeugen, wenn ich einen Bösewicht entdecken und entfernen musste, war ich vorher kein Admin auf der Kiste. Und das ich dann physikalischen Zugang hatte, hat die Lösung des Problems erst ermöglicht. Remote sehe ich da wenig Chancen für eine Entfernung des Übeltäters.

    Schönen Abend noch

    Blur
     
  17. #15 Gast1, 08.01.2008
    Zuletzt von einem Moderator bearbeitet: 08.01.2008
    Gast1

    Gast1 Guest

    Nö, ich schrieb nur (und zwar mehrfach) daß die Dinger unzuverlässig sind und man genau abwägen sollte, ob sie einem nutzen.

    Eine Datensicherung und Neuinstallation (die nach solch einem Angriff, bei denen der Angreifer root-Privilegien erlangt hat, doch anerkanntermassen durchgeführt werden muss) war remote nicht möglich?

    Wie wurde die Kiste dann zuvor administriert?
     
Thema:

Rootkit

Die Seite wird geladen...

Rootkit - Ähnliche Themen

  1. Logs von debsecan, tiger, chkrootkit richtig auswerten.

    Logs von debsecan, tiger, chkrootkit richtig auswerten.: Hallo! ich habe debsecan drüber laufen lassen und der zeigt mir einen Haufen an low/medium/high urgency an, mit oder ohne remotly exploitable....
  2. Linux 2.6 Kernel /proc Rootkit Backdoor

    Linux 2.6 Kernel /proc Rootkit Backdoor: Unix/Darbe-A is a new kernel rootkit backdoor based in the /proc file system. Weiterlesen...
  3. Linux/Webserver-Rootkit aufgetaucht

    Linux/Webserver-Rootkit aufgetaucht: Ein bislang unbekanntes Rootkit klinkt sich als Kernel-Modul in Linux-Systeme ein, um Schadcode in Form von Iframes in allen durch den Webserver...
  4. Rootkit Hunter 1.4.0

    Rootkit Hunter 1.4.0: Rootkit Hunter scans files and systems for known and unknown rootkits, backdoors, and sniffers. The package contains one shell script, a few...
  5. Rootkited

    Rootkited: Hallo, in mein System ist ein Rootkit eingedrungen, mit abgehaengter Festplatte habe ich mit PartedMagic Live gebootet und Rkhunter und...