RootKit

madfool

madfool

Tripel-As
Zunächst, nein ich möchte nicht wissen was ein RootKit ist oder wo ich es herbekomme.

Ich habe aber den starken Verdacht, dass ich mir eines auf meinem Server eingefangen habe.

Warum?

Nun, zunächst einmal steht in der /etc/hostname neuerdings ein Name den ich dort sicher nicht reingeschrieben habe.
Will ich den Server mit 'hostname [neuer name]' umbenennen, so bekomme ich die folgende Meldung:

Code:
hostname: you must be root to change the host name

Um jeglicher Verdächtigung vorzubeugen; ja, ich habe das Kommando als root abgesetzt;)

Außerdem wird ein 'reboot' oder ein 'shutdown -r now' verweigert mit den Worten:

Code:
Broadcast message from root (pts/0) (Mon Oct 16 12:13:53 2006):

The system is going down for reboot NOW!
shutdown: /dev/initctl: No such file or directory
init: /dev/initctl: No such file or directory

ein 'chkrootkit -q' bringt folgendes:

Code:
Warning: `//root/.mysql_history' file size is zero
unable to open wtmp-file wtmp
unable to open wtmp-file wtmp

Was ja einigermaßen nach Spurenverwischung aussieht.

außerdem habe ich mir das Tool rkhunter besorgt, ein 'rkhunter -c' bringt aber keinerlei Meldung, obwohl ich vorher ein 'rkhunter --update' abgesetzt habe.

Ausgabe von rkhunter:

Code:
Rootkit Hunter 1.2.8 is running

Determining OS... Ready


Checking binaries
* Selftests
     Strings (command)                                        [ OK ]


* System tools
  Performing 'known bad' check...
   /bin/cat                                                   [ OK ]
   /bin/chmod                                                 [ OK ]
   /bin/chown                                                 [ OK ]
   /bin/date                                                  [ OK ]
   /bin/df                                                    [ OK ]
   /bin/dmesg                                                 [ OK ]
   /bin/echo                                                  [ OK ]
   /bin/ed                                                    [ OK ]
   /bin/egrep                                                 [ OK ]
   /bin/fgrep                                                 [ OK ]
   /bin/grep                                                  [ OK ]
   /bin/kill                                                  [ OK ]
   /bin/login                                                 [ OK ]
   /bin/ls                                                    [ OK ]
   /bin/more                                                  [ OK ]
   /bin/mount                                                 [ OK ]
   /bin/netstat                                               [ OK ]
   /bin/ps                                                    [ OK ]
   /bin/sh                                                    [ OK ]
   /bin/su                                                    [ OK ]
   /sbin/depmod                                               [ OK ]
   /sbin/ifconfig                                             [ OK ]
   /sbin/ifdown                                               [ OK ]
   /sbin/ifup                                                 [ OK ]
   /sbin/init                                                 [ OK ]
   /sbin/insmod                                               [ OK ]
   /sbin/ksyms                                                [ OK ]
   /sbin/lsmod                                                [ OK ]
   /sbin/modinfo                                              [ OK ]
   /sbin/modprobe                                             [ OK ]
   /sbin/rmmod                                                [ OK ]
   /sbin/runlevel                                             [ OK ]
   /sbin/sulogin                                              [ OK ]
   /sbin/sysctl                                               [ OK ]
   /sbin/syslogd                                              [ OK ]
   /usr/bin/basename                                          [ OK ]
   /usr/bin/chattr                                            [ OK ]
   /usr/bin/du                                                [ OK ]
   /usr/bin/file                                              [ OK ]
   /usr/bin/find                                              [ OK ]
   /usr/bin/groups                                            [ OK ]
   /usr/bin/head                                              [ OK ]
   /usr/bin/killall                                           [ OK ]
   /usr/bin/last                                              [ OK ]
   /usr/bin/lastlog                                           [ OK ]
   /usr/bin/less                                              [ OK ]
   /usr/bin/locate                                            [ OK ]
   /usr/bin/logger                                            [ OK ]
   /usr/bin/lsattr                                            [ OK ]
   /usr/bin/md5sum                                            [ OK ]
   /usr/bin/passwd                                            [ OK ]
   /usr/bin/pstree                                            [ OK ]
   /usr/bin/sha1sum                                           [ OK ]
   /usr/bin/size                                              [ OK ]
   /usr/bin/sort                                              [ OK ]
   /usr/bin/stat                                              [ OK ]
   /usr/bin/strings                                           [ OK ]
   /usr/bin/test                                              [ OK ]
   /usr/bin/top                                               [ OK ]
   /usr/bin/touch                                             [ OK ]
   /usr/bin/users                                             [ OK ]
   /usr/bin/vmstat                                            [ OK ]
   /usr/bin/w                                                 [ OK ]
   /usr/bin/watch                                             [ OK ]
   /usr/bin/wc                                                [ OK ]
   /usr/bin/wget                                              [ OK ]
   /usr/bin/whatis                                            [ OK ]
   /usr/bin/whereis                                           [ OK ]
   /usr/bin/which                                             [ OK ]
   /usr/bin/who                                               [ OK ]
   /usr/bin/whoami                                            [ OK ]
   /usr/sbin/adduser                                          [ OK ]
   /usr/sbin/chroot                                           [ OK ]
   /usr/sbin/cron                                             [ OK ]
   /usr/sbin/inetd                                            [ OK ]
   /usr/sbin/tcpd                                             [ OK ]
   /usr/sbin/useradd                                          [ OK ]
   /usr/sbin/usermod                                          [ OK ]
   /usr/sbin/vipw                                             [ OK ]
   /usr/sbin/xinetd                                           [ OK ]
  Performing 'known good' check...

[Press <ENTER> to continue]



Check rootkits
* Default files and directories
   Rootkit '55808 Trojan - Variant A'...                      [ OK ]
   ADM Worm...                                                [ OK ]
   Rootkit 'AjaKit'...                                        [ OK ]
   Rootkit 'aPa Kit'...                                       [ OK ]
   Rootkit 'Apache Worm'...                                   [ OK ]
   Rootkit 'Ambient (ark) Rootkit'...                         [ OK ]
   Rootkit 'Balaur Rootkit'...                                [ OK ]
   Rootkit 'BeastKit'...                                      [ OK ]
   Rootkit 'beX2'...                                          [ OK ]
   Rootkit 'BOBKit'...                                        [ OK ]
   Rootkit 'CiNIK Worm (Slapper.B variant)'...                [ OK ]
   Rootkit 'Danny-Boy's Abuse Kit'...                         [ OK ]
   Rootkit 'Devil RootKit'...                                 [ OK ]
   Rootkit 'Dica'...                                          [ OK ]
   Rootkit 'Dreams Rootkit'...                                [ OK ]
   Rootkit 'Duarawkz'...                                      [ OK ]
   Rootkit 'Flea Linux Rootkit'...                            [ OK ]
   Rootkit 'FreeBSD Rootkit'...                               [ OK ]
   Rootkit 'Fuck`it Rootkit'...                               [ OK ]
   Rootkit 'GasKit'...                                        [ OK ]
   Rootkit 'Heroin LKM'...                                    [ OK ]
   Rootkit 'HjC Kit'...                                       [ OK ]
   Rootkit 'ignoKit'...                                       [ OK ]
   Rootkit 'ImperalsS-FBRK'...                                [ OK ]
   Rootkit 'Irix Rootkit'...                                  [ OK ]
   Rootkit 'Kitko'...                                         [ OK ]
   Rootkit 'Knark'...                                         [ OK ]
   Rootkit 'Li0n Worm'...                                     [ OK ]
   Rootkit 'Lockit / LJK2'...                                 [ OK ]
   Rootkit 'MRK'...                                           [ OK ]
   Rootkit 'Ni0 Rootkit'...                                   [ OK ]
   Rootkit 'RootKit for SunOS / NSDAP'...                     [ OK ]
   Rootkit 'Optic Kit (Tux)'...                               [ OK ]
   Rootkit 'Oz Rootkit'...                                    [ OK ]
   Rootkit 'Portacelo'...                                     [ OK ]
   Rootkit 'R3dstorm Toolkit'...                              [ OK ]
   Rootkit 'RH-Sharpe's rootkit'...                           [ OK ]
   Rootkit 'RSHA's rootkit'...                                [ OK ]
   Sebek LKM                                                  [ OK ]
   Rootkit 'Scalper Worm'...                                  [ OK ]
   Rootkit 'Shutdown'...                                      [ OK ]
   Rootkit 'SHV4'...                                          [ OK ]
   Rootkit 'SHV5'...                                          [ OK ]
   Rootkit 'Sin Rootkit'...                                   [ OK ]
   Rootkit 'Slapper'...                                       [ OK ]
   Rootkit 'Sneakin Rootkit'...                               [ OK ]
   Rootkit 'Suckit Rootkit'...                                [ OK ]
   Rootkit 'SunOS Rootkit'...                                 [ OK ]
   Rootkit 'Superkit'...                                      [ OK ]
   Rootkit 'TBD (Telnet BackDoor)'...                         [ OK ]
   Rootkit 'TeLeKiT'...                                       [ OK ]
   Rootkit 'T0rn Rootkit'...                                  [ OK ]
   Rootkit 'Trojanit Kit'...                                  [ OK ]
   Rootkit 'Tuxtendo'...                                      [ OK ]
   Rootkit 'URK'...                                           [ OK ]
   Rootkit 'VcKit'...                                         [ OK ]
   Rootkit 'Volc Rootkit'...                                  [ OK ]
   Rootkit 'X-Org SunOS Rootkit'...                           [ OK ]
   Rootkit 'zaRwT.KiT Rootkit'...                             [ OK ]

* Suspicious files and malware
   Scanning for known rootkit strings                         [ OK ]
   Scanning for known rootkit files                           [ OK ]
   Testing running processes...                               [ Skipped ]
   Miscellaneous Login backdoors                              [ OK ]
   Miscellaneous directories                                  [ OK ]
   Software related files                                     [ OK ]
   Sniffer logs                                               [ OK ]

[Press <ENTER> to continue]


* Trojan specific characteristics
   shv4
     Checking /etc/rc.d/rc.sysinit                            [ Not found ]
     Checking /etc/inetd.conf                                 [ Clean ]
     Checking /etc/xinetd.conf                                [ Clean ]

* Suspicious file properties
   chmod properties
     Checking /bin/ps                                         [ Clean ]
     Checking /bin/ls                                         [ Clean ]
     Checking /usr/bin/w                                      [ Clean ]
     Checking /usr/bin/who                                    [ Clean ]
     Checking /bin/netstat                                    [ Clean ]
     Checking /bin/login                                      [ Clean ]
   Script replacements
     Checking /bin/ps                                         [ Clean ]
     Checking /bin/ls                                         [ Clean ]
     Checking /usr/bin/w                                      [ Clean ]
     Checking /usr/bin/who                                    [ Clean ]
     Checking /bin/netstat                                    [ Clean ]
     Checking /bin/login                                      [ Clean ]

* OS dependant tests

   Linux
     Checking loaded kernel modules... Skipped!
     Checking files attributes                                [ OK ]
     Checking LKM module path                                 [ Skipped! ]


Networking
* Check: frequently used backdoors
  Port 2001: Scalper Rootkit                                  [ OK ]
  Port 2006: CB Rootkit                                       [ OK ]
  Port 2128: MRK                                              [ OK ]
  Port 14856: Optic Kit (Tux)                                 [ OK ]
  Port 47107: T0rn Rootkit                                    [ OK ]
  Port 60922: zaRwT.KiT                                       [ OK ]

* Interfaces
     Scanning for promiscuous interfaces                      [ OK ]

[Press <ENTER> to continue]



System checks
* Allround tests
   Checking hostname... Found. Hostname is manhatten.nemetz.de
   Checking for passwordless user accounts... Skipped
   Checking for differences in user accounts... OK. No changes.
   Checking for differences in user groups... OK. No changes.
   Checking boot.local/rc.local file...
     - /etc/rc.local                                          [ Not found ]
     - /etc/rc.d/rc.local                                     [ Not found ]
     - /usr/local/etc/rc.local                                [ Not found ]
     - /usr/local/etc/rc.d/rc.local                           [ Not found ]
     - /etc/conf.d/local.start                                [ Not found ]
     - /etc/init.d/boot.local                                 [ Not found ]
   Checking rc.d files...                                     [ Not found ]
   Checking history files
     Bourne Shell                                             [ OK ]

* Filesystem checks
   Checking /dev for suspicious files...                      [ OK ]
   Scanning for hidden files...                               [ OK ]

[Press <ENTER> to continue]



Application advisories
* Application scan
   Checking Apache2 modules ...                               [ OK ]
   Checking Apache configuration ...                          [ OK ]

* Application version scan
   - OpenSSL 0.9.7e                                           [ Old or patched version ]
   - PHP 5.1.6                                                [ Unknown ]
   - ProFTPd 1.2.10                                           [ OK ]
   - OpenSSH 3.8.1p1                                          [ OK ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)


Security advisories
* Check: Groups and Accounts
   Searching for /etc/passwd...                               [ Found ]
   Checking users with UID '0' (root)...                      [ OK ]

* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login... Watch out Root login possible. Possible risk!
    info: PermitRootLogin yes
    Hint: See logfile for more information about this issue
   Checking for allowed protocols...                          [ OK (Only SSH2 allowed) ]

* Check: Events and Logging
   Search for syslog configuration...                         [ OK ]
   Checking for running syslog slave...                       [ OK ]
   Checking for logging to remote system...                   [ OK (no remote logging) ]

[Press <ENTER> to continue]



---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 1

Scanning took 374 seconds

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------

Gibt es eine reelle Chance das 'Ding' loszuwerden? Gibt es Tools mit denen ich es identifizieren könnte?

Gruß

D.
 
rkhunter sagt:
Checking hostname... Found. Hostname is manhatten.nemetz.de
- ist das dein hostname?
- wie sehen den die rechte auf der /etc/hostname aus?
- was für eine distribution benutzt du eigentlich?
- die wtmp liegt per default unter /var/log (zumindest bei suse). wie sehen dort die rechte aus?
- irgendwelche updates gemacht?
- was sagt die ausgabe von last? dieser liest ja aus der wtmp.
- irgendwelche auffälligekeiten / änderungen in der passwd oder groups (/etc)?
 
- ist das dein hostname?
Ja, das ist mein Hostname. Der ist richtig, nur in der /etc/hostname halt nicht.

- wie sehen den die rechte auf der /etc/hostname aus?
-rw-r--r-- 1 root root 10 Oct 16 11:19 /etc/hostname

- was für eine distribution benutzt du eigentlich?
Ja, das sollte man angeben. debian/sarge 3.1

- die wtmp liegt per default unter /var/log (zumindest bei suse). wie sehen dort die rechte aus?
garnicht, eine solche Datein existiert bei mir im ganzen System nicht.

- irgendwelche updates gemacht?
Ja, ein apt-get update && apt-get upgrade, ein paar Minuten bevor ich das bemerkte.

- was sagt die ausgabe von last? dieser liest ja aus der wtmp.
Code:
last: /var/log/wtmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging last info.

- irgendwelche auffälligekeiten / änderungen in der passwd oder groups (/etc)?
Das einzige was mir auffällt, ist das bei root in der /etc/passwd anstelle eines passwortes nicht mehr ein * steht, so wie das bei enderen sarge-installationen von mir der Fall ist, sondern direkt ein verschlüsseltes Passwort...

Gruß

D.
 
Das einzige was mir auffällt, ist das bei root in der /etc/passwd anstelle eines passwortes nicht mehr ein * steht, so wie das bei enderen sarge-installationen von mir der Fall ist, sondern direkt ein verschlüsseltes Passwort...

Da kommt es drauf an, ob du Shadow-Passwörter aktiviert hast (was man auf einem Server ja eigentlich immer sollte). Sind sie deaktiviert, landet dein Passwort in der /etc/passwd
 
Weisst du noch welche Packages du upgedated hast?

Hab mal in der Nacht einen Update gehabt der mir die LDAP DB zerschossen hat.. -> kein remote login, kein email, kein samba, kein subversion und noch mehr :)
 

Ähnliche Themen

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Logs von debsecan, tiger, chkrootkit richtig auswerten.

Adressvergabe in anderen Subnets

X startet nichtmehr

./easy-wi_install.sh install Script

Zurück
Oben