Rootkited

Dieses Thema im Forum "Linux OS" wurde erstellt von linuzt, 06.04.2010.

  1. linuzt

    linuzt Grünschnabel

    Dabei seit:
    06.04.2010
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo,

    in mein System ist ein Rootkit eingedrungen,

    mit abgehaengter Festplatte habe ich mit PartedMagic Live gebootet und
    Rkhunter und Chrootkit laufen lassen folgende Resultate.

    ./chkrootkit -q zeigt mir
    Code:
    Checking `basename'... INFECTED
    unknown shell '%s', assuming bash
    Checking `date'... INFECTED
    Checking `du'... INFECTED
    Checking `dirname'... INFECTED
    Checking `echo'... INFECTED
    Checking `env'... INFECTED
    can't exec ./strings-static, Checking `login'... INFECTED
    Checking `netstat'... INFECTED
    Checking `passwd'... INFECTED
    Checking `ps'... INFECTED
    Checking `traceroute'... INFECTED
    strings: w: No such file or directory
    strings: write: No such file or directory
    ls: write: No such file or directory
    
    /usr/lib/.directory 
    /lib/unionfs/usr/bin/.directory 
    /lib/unionfs/usr/bin/clone/.directory 
    /lib/unionfs/usr/lib/.directory 
    /lib/unionfs/usr/sbin/.directory 
    /lib/unionfs/usr/share/icons/hicolor/16x16/actions/.directory 
    /lib/unionfs/usr/share/icons/hicolor/24x24/devices/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/actions/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/apps/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/categories/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/devices/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/mimetypes/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/misc/.directory 
    /lib/unionfs/usr/share/icons/hicolor/48x48/stock/.directory 
    /lib/unionfs/usr/share/lxpanel/images/.directory 
    /lib/unionfs/usr/share/pixmaps/.directory
    
    Warning: /sbin/init INFECTED
    not tested: can't exec 
    not tested: can't exec ./ifpromisc
    not tested: can't exec ./chkwtmp
    not tested: can't exec ./chklastlog
    not tested: can't exec ./chkutmp
    lsof -i
    Code:
    COMMAND    PID USER   FD   TYPE DEVICE SIZE NODE NAME
    rpc.statd 2838 root    6u  IPv4  10088       UDP *:894 
    rpc.statd 2838 root    8u  IPv4  10096       UDP *:49924 
    rpc.statd 2838 root    9u  IPv4  10099       TCP *:41461 (LISTEN)
    rpc.rquot 2842 root    3u  IPv4  10114       UDP *:899 
    rpc.rquot 2842 root    4u  IPv4  10120       TCP *:902 (LISTEN)
    rpc.mount 2857 root    3u  IPv4  10221       UDP *:48625 
    rpc.mount 2857 root    4u  IPv4  10226       TCP *:46557 (LISTEN)
    sshd      3122 root    3u  IPv4  11683       TCP *:ssh (LISTEN)
    sshd      3122 root    4u  IPv6  11686       TCP *:ssh (LISTEN)
    
    cat /proc/1/maps
    Code:
    08048000-080bc000 r-xp 00000000 00:0d 1676       /bin/busybox
    080bc000-080bd000 rwxp 00074000 00:0d 1676       /bin/busybox
    080bd000-080e0000 rwxp 00000000 00:00 0          [heap]
    b760f000-b7610000 rwxp 00000000 00:00 0 
    b7610000-b777b000 r-xp 00000000 00:0d 2246       /lib/libc-2.11.1.so
    b777b000-b777c000 ---p 0016b000 00:0d 2246       /lib/libc-2.11.1.so
    b777c000-b777e000 r-xp 0016b000 00:0d 2246       /lib/libc-2.11.1.so
    b777e000-b777f000 rwxp 0016d000 00:0d 2246       /lib/libc-2.11.1.so
    b777f000-b7782000 rwxp 00000000 00:00 0 
    b7782000-b77a9000 r-xp 00000000 00:0d 2252       /lib/libm-2.11.1.so
    b77a9000-b77aa000 r-xp 00026000 00:0d 2252       /lib/libm-2.11.1.so
    b77aa000-b77ab000 rwxp 00027000 00:0d 2252       /lib/libm-2.11.1.so
    b77ab000-b77ac000 rwxp 00000000 00:00 0 
    b77ac000-b77ca000 r-xp 00000000 00:0d 2242       /lib/ld-2.11.1.so
    b77ca000-b77cb000 r-xp 0001e000 00:0d 2242       /lib/ld-2.11.1.so
    b77cb000-b77cc000 rwxp 0001f000 00:0d 2242       /lib/ld-2.11.1.so
    bfb3a000-bfb3d000 rw-p 00000000 00:00 0          [stack]
    ffffe000-fffff000 r-xp 00000000 00:00 0          [vdso]
    rkhunter -c zeigt

    Code:
    [01:54:21] Warning: Checking for prerequisites               [ Warning ]
    [01:54:21]          No output from the 'lsattr' command - all file immutable-bit checks will be skipped.
    [01:57:32] Warning: Checking for possible rootkit strings    [ Warning ]
    [01:57:32]          Found string 'sendmail' in file '//bin/login'. Possible rootkit: Ambient (ark) Rootkit
    [01:57:42] Performing trojan specific checks
    [01:57:43] Info: Starting test name 'trojans'
    [01:57:43] Info: Using inetd configuration file '/etc/inetd.conf'
    [01:57:43]   Checking for enabled inetd services             [ Warning ]
    [01:57:43] Warning: Found enabled inetd service: echo
    [01:57:43] Warning: Found enabled inetd service: echo
    [01:57:43] Warning: Found enabled inetd service: daytime
    [01:57:43] Warning: Found enabled inetd service: daytime
    [01:57:43] Warning: Found enabled inetd service: time
    [01:57:43] Warning: Found enabled inetd service: time
    [01:57:43] Warning: Found enabled inetd service: telnet
    
    Code:
    [13:36:18]   Checking for syslog configuration file          [ Warning ]
    [13:36:19] Warning: The syslog daemon is running, but no configuration file can be found.
    
    tail -f /var/log/wtmp zeigt

    Code:
    9
      tty11LOGIN9
                 ��0<9
                      tty11root9
                                ��0<�pts/0/0root:0��0<[�9pts/0/0root��0<�pts/1/1root:0z1<�0�pts/2/2root:0�1<��
    �pts/2/2root:01<�F,          pts/2/2root�1<�
    pts/2/2root-1<�pts/3/3root:0�1<�epts/3/3root�1<Y��pts/3/3root:0�1<'�pts/2/�pts/2/2root:0!�1<.
    
    Sowas habe ich bis jetzt noch nicht erlebt.

    kA wo sich der eingenistet hat, vll im VGA ROM?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 BloodyMary, 06.04.2010
    BloodyMary

    BloodyMary Pornophon

    Dabei seit:
    15.03.2005
    Beiträge:
    615
    Zustimmungen:
    1
    Ort:
    Bayern
    Und jetzt willste das ding loswerden ja?
    Festplatte plätten und von der Datensicherung zuückspielen. Wenn du keine Datensicherung hast, dann wirst du wohl mit äusserster Vorsicht deine Daten zurückspielen müssen.
    Achja, Passwörter ändern und Benachbarte Systeme ebenfalls testen.
     
  4. linuzt

    linuzt Grünschnabel

    Dabei seit:
    06.04.2010
    Beiträge:
    4
    Zustimmungen:
    0
    Uhm, ich dachte ich haette erwaehnt, dass ich ohne Festplatte starte mit PartedMagic Live Linux.

    Loswerden duerfte schwierig werden, ich wollte berichten und evtl. hat jemand sowas aehnliches schonmal gehabt.
     
  5. towo

    towo Haudegen

    Dabei seit:
    16.05.2003
    Beiträge:
    649
    Zustimmungen:
    1
    Ort:
    Pößneck
    Wenn Du die Platte nicht angeschlossen hast, was, bitteschön, scanst Du da?
     
  6. myth88

    myth88 Haudegen

    Dabei seit:
    02.06.2007
    Beiträge:
    604
    Zustimmungen:
    0
    Ort:
    Italien
    Vielleicht das im Ram liegenden Live-System?
     
  7. #6 Blender3D, 07.04.2010
    Blender3D

    Blender3D Vitamin C++

    Dabei seit:
    17.09.2007
    Beiträge:
    228
    Zustimmungen:
    0
    Ort:
    /root
    Wenn du es mit einer anderen Grafikkarte versuchst könntest du sehen, ob deine Vermutung richtig ist.
    Sonst vielleicht im BIOS?

    Grüße, Blender3D
     
  8. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.054
    Zustimmungen:
    8
    hm, ein root-Kit, welches sich in einem ROM einnisten kann wäre echt mal eine Neuheit...
     
  9. #8 Bâshgob, 07.04.2010
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    100%, das mit dem Livesystem entweder was nicht stimmt oder das auch nur merkwürdig gepatcht ist. Du brauchst die Ghostbusters, du jagst nämlich ein Gespenst.
     
  10. myth88

    myth88 Haudegen

    Dabei seit:
    02.06.2007
    Beiträge:
    604
    Zustimmungen:
    0
    Ort:
    Italien
    @marce:

    Ein ROM kann es sicher nicht sein, aber vielleicht eine Prom, EProm, EeProm oder so... :P
     
  11. linuzt

    linuzt Grünschnabel

    Dabei seit:
    06.04.2010
    Beiträge:
    4
    Zustimmungen:
    0
    Ja so komme ich mir auch vor, nur fehlt mir der Staubsauger von den Ghostbusters um das Ding einzudaemmen.

    Hier der Artikel kommt dem ganzen schon naeher http://www.ngssoftware.com/research/papers/BH-DC-07-Heasman.pdf

    mein voriges System hat's auch erwischt, Festplatte abgebaut MHDD laufen lassen uns siehe da, es wurde mir trotzdem eine Festplatte mit EBIOS und grosser Kapazitaet angezeigt , spasseshalber mit MHDD Oberflaechenscan laufen lassen, wow was fuer schnelle Zugriffzeiten untern 2 MS, agebrochen, da es im Loop war.

    Und jedes System, welches in Beruehrung mit meinem Speichermedium kam wurde infiziert, scheint irgendwie Sektoren auf dem Speichermedium fuer sich zu nutzen.

    Und ich moechte wirklich nicht unglaubwuerdig klingen, bei meinem vorigen Notebook
    habe ich nachdem Verdacht auf einen Rootkit, da ich unter WinXP Ordner mit langen Ordnerverzeichnissen gefunden habe, die ich nicht loeschen konnte, und Zertifikate ausgetauscht wurden , UltimateBootCD mit Festplatte gestartet und ich konnte es selber nicht glauben als ich mit dem Commander einen TMP Ordner ausgelesen und Frakatalsweise konnte ich die Unterhaltung von den Clients mitverfolgen, einer hatte mein Mirofon eingeschaltet und ueber meine Unterhaltungen berichtet, kein spass, und andere haben meine Festplatte gescannt und darueber berichtet was sie so auf meiner Festplatte gefunden haben.
    Eine Config.Sys und Kernel.Sys haben sie auch veraendert.

    Nachdem ich die Command.com Version veraendert habe, konnte ich auch eine UMBPCI.SYS entdecken eine UMBPCI.TXT war auch dabei :think:

    http://www.uwe-sieber.de/umbpci.html

    "UMBPCI 'mißbraucht' für die UMBs Speicher, der für's Shadow-RAM gedacht und normalerweise abgeschaltet ist, also brachliegt. Er selbst belegt nur o.g. 160 Bytes - das ist alles.
    EMM386 holt sich den Speicher für die UMBs dagegen vom Exteded Memory, braucht selbst noch gut 150K XMS, 4K unteren DOS-Speicher, sowie 7K UMBs und schaltet die CPU in den Protected Mode, um die Memory Management Unit (MMU) der >386-CPUs benutzten zu können"

    Diese Jungs oder Maedels haben wirklich Ahnung von der Materierie

    Ich bin zur Zeit mit PartedMagicLinux welches auf Slackware basiert ohne Festplatte mit meinem Notebook drin und habe Zugriff auf mtd-tools http://docs.blackfin.uclinux.org/doku.php?id=uclinux-dist:mtd-utils

    welche wirklich nicht Bestandteil von der Distro sein sollten aber irgendwie mit migriert sind, wenn ich wuesste wie man diese Tools einsetzt um den Urzustand meiner Systeme herzustellen waere ich schon weiter.

    Gruss
     
  12. #11 Bâshgob, 08.04.2010
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Ist das richtig, das chkrootkit und rkhunter nicht in der Parted Magic enthalten sind oder habe ich etwas übersehen?

    Verstehe ich nicht. Was ist das genau für Hardware, Hersteller, Typ, etc. Alles, nur nichts auslassen.
     
  13. #12 linuzt, 09.04.2010
    Zuletzt bearbeitet: 09.04.2010
    linuzt

    linuzt Grünschnabel

    Dabei seit:
    06.04.2010
    Beiträge:
    4
    Zustimmungen:
    0
    Ja, ist richtig, chrootkit und rkhunter habe ich selber hinzugefuegt, iptables waren auch nicht vorhanden, *confused*

    mit MHDD http://hddguru.com/content/en/software/2005.10.02-MHDD/

    habe ich mit abgebauter Festplatte den Festplatten Controller ansprechen koennen ,
    weil der mir trotz fehlender Festplatte angezeigt wurde, wahrscheinlich wurde der PCI Controller absichtlich so zugaenglich gemacht.

    in /dev/ sind 256 Loop devices ersichtlich und zig Ramdisks und einige pty.. und tty.. Konsolen

    update
    achja und wenn ich mount eingebe kommt:

    sysfs on /sys type sysfs (rw)
    /dev/loop0 on /lib/unionfs/usr type squashfs (rw)
    unionfs on /usr type unionfs (rw,dirs=/usr=rw:/lib/unionfs/usr=ro)
    /dev/loop1 on /lib/unionfs/firmware type squashfs (rw)
    unionfs on /lib/firmware type unionfs (rw,dirs=/lib/firmware=rw:/lib/unionfs/firmware=ro)
    /dev/loop2 on /lib/unionfs/modules type squashfs (rw)
    unionfs on /lib/modules type unionfs (rw,dirs=/lib/modules=rw:/lib/unionfs/modules=ro)
    shm on /dev/shm type tmpfs (rw)
     
  14. #13 towo, 09.04.2010
    Zuletzt bearbeitet: 09.04.2010
    towo

    towo Haudegen

    Dabei seit:
    16.05.2003
    Beiträge:
    649
    Zustimmungen:
    1
    Ort:
    Pößneck
    Das ist bei einer Live-CD völlig normal!
    Auf jeden Fall jagst Du Gespenster und und wirklich Sinn macht das auch nicht, was Du da machst!
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 longman, 09.04.2010
    longman

    longman Jungspund

    Dabei seit:
    30.10.2005
    Beiträge:
    19
    Zustimmungen:
    0
    Vor allen Dingen wenn man ROM mal ausschreibt. ReadOnlyMemory :-)
     
  17. #15 Bâshgob, 09.04.2010
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Das erklärt einiges. :erschlag: Wenn du viel überflüssige Zeit hast kannst du jetzt weiter Gespenster jagen oder lieber was sinnvolles tun. It's up to you!
     
Thema:

Rootkited