PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : RootKit



madfool
16.10.2006, 12:30
Zunächst, nein ich möchte nicht wissen was ein RootKit ist oder wo ich es herbekomme.

Ich habe aber den starken Verdacht, dass ich mir eines auf meinem Server eingefangen habe.

Warum?

Nun, zunächst einmal steht in der /etc/hostname neuerdings ein Name den ich dort sicher nicht reingeschrieben habe.
Will ich den Server mit 'hostname [neuer name]' umbenennen, so bekomme ich die folgende Meldung:



hostname: you must be root to change the host name


Um jeglicher Verdächtigung vorzubeugen; ja, ich habe das Kommando als root abgesetzt;)

Außerdem wird ein 'reboot' oder ein 'shutdown -r now' verweigert mit den Worten:



Broadcast message from root (pts/0) (Mon Oct 16 12:13:53 2006):

The system is going down for reboot NOW!
shutdown: /dev/initctl: No such file or directory
init: /dev/initctl: No such file or directory


ein 'chkrootkit -q' bringt folgendes:



Warning: `//root/.mysql_history' file size is zero
unable to open wtmp-file wtmp
unable to open wtmp-file wtmp


Was ja einigermaßen nach Spurenverwischung aussieht.

außerdem habe ich mir das Tool rkhunter besorgt, ein 'rkhunter -c' bringt aber keinerlei Meldung, obwohl ich vorher ein 'rkhunter --update' abgesetzt habe.

Ausgabe von rkhunter:



Rootkit Hunter 1.2.8 is running

Determining OS... Ready


Checking binaries
* Selftests
Strings (command) [ OK ]


* System tools
Performing 'known bad' check...
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/sbin/depmod [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ksyms [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/du [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/inetd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/xinetd [ OK ]
Performing 'known good' check...

[Press <ENTER> to continue]



Check rootkits
* Default files and directories
Rootkit '55808 Trojan - Variant A'... [ OK ]
ADM Worm... [ OK ]
Rootkit 'AjaKit'... [ OK ]
Rootkit 'aPa Kit'... [ OK ]
Rootkit 'Apache Worm'... [ OK ]
Rootkit 'Ambient (ark) Rootkit'... [ OK ]
Rootkit 'Balaur Rootkit'... [ OK ]
Rootkit 'BeastKit'... [ OK ]
Rootkit 'beX2'... [ OK ]
Rootkit 'BOBKit'... [ OK ]
Rootkit 'CiNIK Worm (Slapper.B variant)'... [ OK ]
Rootkit 'Danny-Boy's Abuse Kit'... [ OK ]
Rootkit 'Devil RootKit'... [ OK ]
Rootkit 'Dica'... [ OK ]
Rootkit 'Dreams Rootkit'... [ OK ]
Rootkit 'Duarawkz'... [ OK ]
Rootkit 'Flea Linux Rootkit'... [ OK ]
Rootkit 'FreeBSD Rootkit'... [ OK ]
Rootkit 'Fuck`it Rootkit'... [ OK ]
Rootkit 'GasKit'... [ OK ]
Rootkit 'Heroin LKM'... [ OK ]
Rootkit 'HjC Kit'... [ OK ]
Rootkit 'ignoKit'... [ OK ]
Rootkit 'ImperalsS-FBRK'... [ OK ]
Rootkit 'Irix Rootkit'... [ OK ]
Rootkit 'Kitko'... [ OK ]
Rootkit 'Knark'... [ OK ]
Rootkit 'Li0n Worm'... [ OK ]
Rootkit 'Lockit / LJK2'... [ OK ]
Rootkit 'MRK'... [ OK ]
Rootkit 'Ni0 Rootkit'... [ OK ]
Rootkit 'RootKit for SunOS / NSDAP'... [ OK ]
Rootkit 'Optic Kit (Tux)'... [ OK ]
Rootkit 'Oz Rootkit'... [ OK ]
Rootkit 'Portacelo'... [ OK ]
Rootkit 'R3dstorm Toolkit'... [ OK ]
Rootkit 'RH-Sharpe's rootkit'... [ OK ]
Rootkit 'RSHA's rootkit'... [ OK ]
Sebek LKM [ OK ]
Rootkit 'Scalper Worm'... [ OK ]
Rootkit 'Shutdown'... [ OK ]
Rootkit 'SHV4'... [ OK ]
Rootkit 'SHV5'... [ OK ]
Rootkit 'Sin Rootkit'... [ OK ]
Rootkit 'Slapper'... [ OK ]
Rootkit 'Sneakin Rootkit'... [ OK ]
Rootkit 'Suckit Rootkit'... [ OK ]
Rootkit 'SunOS Rootkit'... [ OK ]
Rootkit 'Superkit'... [ OK ]
Rootkit 'TBD (Telnet BackDoor)'... [ OK ]
Rootkit 'TeLeKiT'... [ OK ]
Rootkit 'T0rn Rootkit'... [ OK ]
Rootkit 'Trojanit Kit'... [ OK ]
Rootkit 'Tuxtendo'... [ OK ]
Rootkit 'URK'... [ OK ]
Rootkit 'VcKit'... [ OK ]
Rootkit 'Volc Rootkit'... [ OK ]
Rootkit 'X-Org SunOS Rootkit'... [ OK ]
Rootkit 'zaRwT.KiT Rootkit'... [ OK ]

* Suspicious files and malware
Scanning for known rootkit strings [ OK ]
Scanning for known rootkit files [ OK ]
Testing running processes... [ Skipped ]
Miscellaneous Login backdoors [ OK ]
Miscellaneous directories [ OK ]
Software related files [ OK ]
Sniffer logs [ OK ]

[Press <ENTER> to continue]


* Trojan specific characteristics
shv4
Checking /etc/rc.d/rc.sysinit [ Not found ]
Checking /etc/inetd.conf [ Clean ]
Checking /etc/xinetd.conf [ Clean ]

* Suspicious file properties
chmod properties
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]
Script replacements
Checking /bin/ps [ Clean ]
Checking /bin/ls [ Clean ]
Checking /usr/bin/w [ Clean ]
Checking /usr/bin/who [ Clean ]
Checking /bin/netstat [ Clean ]
Checking /bin/login [ Clean ]

* OS dependant tests

Linux
Checking loaded kernel modules... Skipped!
Checking files attributes [ OK ]
Checking LKM module path [ Skipped! ]


Networking
* Check: frequently used backdoors
Port 2001: Scalper Rootkit [ OK ]
Port 2006: CB Rootkit [ OK ]
Port 2128: MRK [ OK ]
Port 14856: Optic Kit (Tux) [ OK ]
Port 47107: T0rn Rootkit [ OK ]
Port 60922: zaRwT.KiT [ OK ]

* Interfaces
Scanning for promiscuous interfaces [ OK ]

[Press <ENTER> to continue]



System checks
* Allround tests
Checking hostname... Found. Hostname is manhatten.nemetz.de
Checking for passwordless user accounts... Skipped
Checking for differences in user accounts... OK. No changes.
Checking for differences in user groups... OK. No changes.
Checking boot.local/rc.local file...
- /etc/rc.local [ Not found ]
- /etc/rc.d/rc.local [ Not found ]
- /usr/local/etc/rc.local [ Not found ]
- /usr/local/etc/rc.d/rc.local [ Not found ]
- /etc/conf.d/local.start [ Not found ]
- /etc/init.d/boot.local [ Not found ]
Checking rc.d files... [ Not found ]
Checking history files
Bourne Shell [ OK ]

* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ OK ]

[Press <ENTER> to continue]



Application advisories
* Application scan
Checking Apache2 modules ... [ OK ]
Checking Apache configuration ... [ OK ]

* Application version scan
- OpenSSL 0.9.7e [ Old or patched version ]
- PHP 5.1.6 [ Unknown ]
- ProFTPd 1.2.10 [ OK ]
- OpenSSH 3.8.1p1 [ OK ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)


Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
info: PermitRootLogin yes
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ OK (Only SSH2 allowed) ]

* Check: Events and Logging
Search for syslog configuration... [ OK ]
Checking for running syslog slave... [ OK ]
Checking for logging to remote system... [ OK (no remote logging) ]

[Press <ENTER> to continue]



---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 1

Scanning took 374 seconds

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------



Gibt es eine reelle Chance das 'Ding' loszuwerden? Gibt es Tools mit denen ich es identifizieren könnte?

Gruß

D.

damager
16.10.2006, 12:46
rkhunter sagt:


Checking hostname... Found. Hostname is manhatten.nemetz.de

- ist das dein hostname?
- wie sehen den die rechte auf der /etc/hostname aus?
- was für eine distribution benutzt du eigentlich?
- die wtmp liegt per default unter /var/log (zumindest bei suse). wie sehen dort die rechte aus?
- irgendwelche updates gemacht?
- was sagt die ausgabe von last? dieser liest ja aus der wtmp.
- irgendwelche auffälligekeiten / änderungen in der passwd oder groups (/etc)?

madfool
16.10.2006, 14:04
- ist das dein hostname?
Ja, das ist mein Hostname. Der ist richtig, nur in der /etc/hostname halt nicht.


- wie sehen den die rechte auf der /etc/hostname aus?
-rw-r--r-- 1 root root 10 Oct 16 11:19 /etc/hostname


- was für eine distribution benutzt du eigentlich?
Ja, das sollte man angeben. debian/sarge 3.1


- die wtmp liegt per default unter /var/log (zumindest bei suse). wie sehen dort die rechte aus?
garnicht, eine solche Datein existiert bei mir im ganzen System nicht.


- irgendwelche updates gemacht?
Ja, ein apt-get update && apt-get upgrade, ein paar Minuten bevor ich das bemerkte.


- was sagt die ausgabe von last? dieser liest ja aus der wtmp.

last: /var/log/wtmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging last info.


- irgendwelche auffälligekeiten / änderungen in der passwd oder groups (/etc)?
Das einzige was mir auffällt, ist das bei root in der /etc/passwd anstelle eines passwortes nicht mehr ein * steht, so wie das bei enderen sarge-installationen von mir der Fall ist, sondern direkt ein verschlüsseltes Passwort...

Gruß

D.

theton
16.10.2006, 14:12
Das einzige was mir auffällt, ist das bei root in der /etc/passwd anstelle eines passwortes nicht mehr ein * steht, so wie das bei enderen sarge-installationen von mir der Fall ist, sondern direkt ein verschlüsseltes Passwort...


Da kommt es drauf an, ob du Shadow-Passwörter aktiviert hast (was man auf einem Server ja eigentlich immer sollte). Sind sie deaktiviert, landet dein Passwort in der /etc/passwd

tr0nix
17.10.2006, 12:55
Weisst du noch welche Packages du upgedated hast?

Hab mal in der Nacht einen Update gehabt der mir die LDAP DB zerschossen hat.. -> kein remote login, kein email, kein samba, kein subversion und noch mehr :)