Rootkited

L

linuzt

Grünschnabel
Hallo,

in mein System ist ein Rootkit eingedrungen,

mit abgehaengter Festplatte habe ich mit PartedMagic Live gebootet und
Rkhunter und Chrootkit laufen lassen folgende Resultate.

./chkrootkit -q zeigt mir
Code: 
Checking `basename'... INFECTED
unknown shell '%s', assuming bash
Checking `date'... INFECTED
Checking `du'... INFECTED
Checking `dirname'... INFECTED
Checking `echo'... INFECTED
Checking `env'... INFECTED
can't exec ./strings-static, Checking `login'... INFECTED
Checking `netstat'... INFECTED
Checking `passwd'... INFECTED
Checking `ps'... INFECTED
Checking `traceroute'... INFECTED
strings: w: No such file or directory
strings: write: No such file or directory
ls: write: No such file or directory

/usr/lib/.directory 
/lib/unionfs/usr/bin/.directory 
/lib/unionfs/usr/bin/clone/.directory 
/lib/unionfs/usr/lib/.directory 
/lib/unionfs/usr/sbin/.directory 
/lib/unionfs/usr/share/icons/hicolor/16x16/actions/.directory 
/lib/unionfs/usr/share/icons/hicolor/24x24/devices/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/actions/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/apps/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/categories/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/devices/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/mimetypes/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/misc/.directory 
/lib/unionfs/usr/share/icons/hicolor/48x48/stock/.directory 
/lib/unionfs/usr/share/lxpanel/images/.directory 
/lib/unionfs/usr/share/pixmaps/.directory

Warning: /sbin/init INFECTED
not tested: can't exec 
not tested: can't exec ./ifpromisc
not tested: can't exec ./chkwtmp
not tested: can't exec ./chklastlog
not tested: can't exec ./chkutmp

lsof -i
Code: 
COMMAND    PID USER   FD   TYPE DEVICE SIZE NODE NAME
rpc.statd 2838 root    6u  IPv4  10088       UDP *:894 
rpc.statd 2838 root    8u  IPv4  10096       UDP *:49924 
rpc.statd 2838 root    9u  IPv4  10099       TCP *:41461 (LISTEN)
rpc.rquot 2842 root    3u  IPv4  10114       UDP *:899 
rpc.rquot 2842 root    4u  IPv4  10120       TCP *:902 (LISTEN)
rpc.mount 2857 root    3u  IPv4  10221       UDP *:48625 
rpc.mount 2857 root    4u  IPv4  10226       TCP *:46557 (LISTEN)
sshd      3122 root    3u  IPv4  11683       TCP *:ssh (LISTEN)
sshd      3122 root    4u  IPv6  11686       TCP *:ssh (LISTEN)

cat /proc/1/maps
Code: 
08048000-080bc000 r-xp 00000000 00:0d 1676       /bin/busybox
080bc000-080bd000 rwxp 00074000 00:0d 1676       /bin/busybox
080bd000-080e0000 rwxp 00000000 00:00 0          [heap]
b760f000-b7610000 rwxp 00000000 00:00 0 
b7610000-b777b000 r-xp 00000000 00:0d 2246       /lib/libc-2.11.1.so
b777b000-b777c000 ---p 0016b000 00:0d 2246       /lib/libc-2.11.1.so
b777c000-b777e000 r-xp 0016b000 00:0d 2246       /lib/libc-2.11.1.so
b777e000-b777f000 rwxp 0016d000 00:0d 2246       /lib/libc-2.11.1.so
b777f000-b7782000 rwxp 00000000 00:00 0 
b7782000-b77a9000 r-xp 00000000 00:0d 2252       /lib/libm-2.11.1.so
b77a9000-b77aa000 r-xp 00026000 00:0d 2252       /lib/libm-2.11.1.so
b77aa000-b77ab000 rwxp 00027000 00:0d 2252       /lib/libm-2.11.1.so
b77ab000-b77ac000 rwxp 00000000 00:00 0 
b77ac000-b77ca000 r-xp 00000000 00:0d 2242       /lib/ld-2.11.1.so
b77ca000-b77cb000 r-xp 0001e000 00:0d 2242       /lib/ld-2.11.1.so
b77cb000-b77cc000 rwxp 0001f000 00:0d 2242       /lib/ld-2.11.1.so
bfb3a000-bfb3d000 rw-p 00000000 00:00 0          [stack]
ffffe000-fffff000 r-xp 00000000 00:00 0          [vdso]

rkhunter -c zeigt

Code: 
[01:54:21] Warning: Checking for prerequisites               [ Warning ]
[01:54:21]          No output from the 'lsattr' command - all file immutable-bit checks will be skipped.
[01:57:32] Warning: Checking for possible rootkit strings    [ Warning ]
[01:57:32]          Found string 'sendmail' in file '//bin/login'. Possible rootkit: Ambient (ark) Rootkit
[01:57:42] Performing trojan specific checks
[01:57:43] Info: Starting test name 'trojans'
[01:57:43] Info: Using inetd configuration file '/etc/inetd.conf'
[01:57:43]   Checking for enabled inetd services             [ Warning ]
[01:57:43] Warning: Found enabled inetd service: echo
[01:57:43] Warning: Found enabled inetd service: echo
[01:57:43] Warning: Found enabled inetd service: daytime
[01:57:43] Warning: Found enabled inetd service: daytime
[01:57:43] Warning: Found enabled inetd service: time
[01:57:43] Warning: Found enabled inetd service: time
[01:57:43] Warning: Found enabled inetd service: telnet

Code: 
[13:36:18]   Checking for syslog configuration file          [ Warning ]
[13:36:19] Warning: The syslog daemon is running, but no configuration file can be found.

tail -f /var/log/wtmp zeigt

Code: 
9
  tty11LOGIN9
             ��0<9
                  tty11root9
                            ��0<�pts/0/0root:0��0<[�9pts/0/0root��0<�pts/1/1root:0z1<�0�pts/2/2root:0�1<��
�pts/2/2root:01<�F,          pts/2/2root�1<�
pts/2/2root-1<�pts/3/3root:0�1<�epts/3/3root�1<Y��pts/3/3root:0�1<'�pts/2/�pts/2/2root:0!�1<.

Sowas habe ich bis jetzt noch nicht erlebt.

kA wo sich der eingenistet hat, vll im VGA ROM?
 
Und jetzt willste das ding loswerden ja?
Festplatte plätten und von der Datensicherung zuückspielen. Wenn du keine Datensicherung hast, dann wirst du wohl mit äusserster Vorsicht deine Daten zurückspielen müssen.
Achja, Passwörter ändern und Benachbarte Systeme ebenfalls testen.
 
BloodyMary schrieb:
Und jetzt willste das ding loswerden ja?
Festplatte plätten und von der Datensicherung zuückspielen. Wenn du keine Datensicherung hast, dann wirst du wohl mit äusserster Vorsicht deine Daten zurückspielen müssen.
Achja, Passwörter ändern und Benachbarte Systeme ebenfalls testen.
Zum Vergrößern anklicken....

Uhm, ich dachte ich haette erwaehnt, dass ich ohne Festplatte starte mit PartedMagic Live Linux.

Loswerden duerfte schwierig werden, ich wollte berichten und evtl. hat jemand sowas aehnliches schonmal gehabt.
 
Wenn Du die Platte nicht angeschlossen hast, was, bitteschön, scanst Du da?
 
kA wo sich der eingenistet hat, vll im VGA ROM?
Zum Vergrößern anklicken....

Wenn du es mit einer anderen Grafikkarte versuchst könntest du sehen, ob deine Vermutung richtig ist.
Sonst vielleicht im BIOS?

Grüße, Blender3D
 
hm, ein root-Kit, welches sich in einem ROM einnisten kann wäre echt mal eine Neuheit...
 
100%, das mit dem Livesystem entweder was nicht stimmt oder das auch nur merkwürdig gepatcht ist. Du brauchst die Ghostbusters, du jagst nämlich ein Gespenst.
 
@marce:

Ein ROM kann es sicher nicht sein, aber vielleicht eine Prom, EProm, EeProm oder so... :P
 
Bâshgob schrieb:
100%, das mit dem Livesystem entweder was nicht stimmt oder das auch nur merkwürdig gepatcht ist. Du brauchst die Ghostbusters, du jagst nämlich ein Gespenst.
Zum Vergrößern anklicken....

Ja so komme ich mir auch vor, nur fehlt mir der Staubsauger von den Ghostbusters um das Ding einzudaemmen.

Hier der Artikel kommt dem ganzen schon naeher http://www.ngssoftware.com/research/papers/BH-DC-07-Heasman.pdf

mein voriges System hat's auch erwischt, Festplatte abgebaut MHDD laufen lassen uns siehe da, es wurde mir trotzdem eine Festplatte mit EBIOS und grosser Kapazitaet angezeigt , spasseshalber mit MHDD Oberflaechenscan laufen lassen, wow was fuer schnelle Zugriffzeiten untern 2 MS, agebrochen, da es im Loop war.

Und jedes System, welches in Beruehrung mit meinem Speichermedium kam wurde infiziert, scheint irgendwie Sektoren auf dem Speichermedium fuer sich zu nutzen.

Und ich moechte wirklich nicht unglaubwuerdig klingen, bei meinem vorigen Notebook
habe ich nachdem Verdacht auf einen Rootkit, da ich unter WinXP Ordner mit langen Ordnerverzeichnissen gefunden habe, die ich nicht loeschen konnte, und Zertifikate ausgetauscht wurden , UltimateBootCD mit Festplatte gestartet und ich konnte es selber nicht glauben als ich mit dem Commander einen TMP Ordner ausgelesen und Frakatalsweise konnte ich die Unterhaltung von den Clients mitverfolgen, einer hatte mein Mirofon eingeschaltet und ueber meine Unterhaltungen berichtet, kein spass, und andere haben meine Festplatte gescannt und darueber berichtet was sie so auf meiner Festplatte gefunden haben.
Eine Config.Sys und Kernel.Sys haben sie auch veraendert.

Nachdem ich die Command.com Version veraendert habe, konnte ich auch eine UMBPCI.SYS entdecken eine UMBPCI.TXT war auch dabei :think:

http://www.uwe-sieber.de/umbpci.html

"UMBPCI 'mißbraucht' für die UMBs Speicher, der für's Shadow-RAM gedacht und normalerweise abgeschaltet ist, also brachliegt. Er selbst belegt nur o.g. 160 Bytes - das ist alles.
EMM386 holt sich den Speicher für die UMBs dagegen vom Exteded Memory, braucht selbst noch gut 150K XMS, 4K unteren DOS-Speicher, sowie 7K UMBs und schaltet die CPU in den Protected Mode, um die Memory Management Unit (MMU) der >386-CPUs benutzten zu können"

Diese Jungs oder Maedels haben wirklich Ahnung von der Materierie

Ich bin zur Zeit mit PartedMagicLinux welches auf Slackware basiert ohne Festplatte mit meinem Notebook drin und habe Zugriff auf mtd-tools http://docs.blackfin.uclinux.org/doku.php?id=uclinux-dist:mtd-utils

welche wirklich nicht Bestandteil von der Distro sein sollten aber irgendwie mit migriert sind, wenn ich wuesste wie man diese Tools einsetzt um den Urzustand meiner Systeme herzustellen waere ich schon weiter.

Gruss
 
Ist das richtig, das chkrootkit und rkhunter nicht in der Parted Magic enthalten sind oder habe ich etwas übersehen?

mein voriges System hat's auch erwischt, Festplatte abgebaut MHDD laufen lassen uns siehe da, es wurde mir trotzdem eine Festplatte mit EBIOS und grosser Kapazitaet angezeigt , spasseshalber mit MHDD Oberflaechenscan laufen lassen, wow was fuer schnelle Zugriffzeiten untern 2 MS, agebrochen, da es im Loop war.
Zum Vergrößern anklicken....

Verstehe ich nicht. Was ist das genau für Hardware, Hersteller, Typ, etc. Alles, nur nichts auslassen.
 
Bâshgob schrieb:
Ist das richtig, das chkrootkit und rkhunter nicht in der Parted Magic enthalten sind oder habe ich etwas übersehen?



Verstehe ich nicht. Was ist das genau für Hardware, Hersteller, Typ, etc. Alles, nur nichts auslassen.
Zum Vergrößern anklicken....

Ja, ist richtig, chrootkit und rkhunter habe ich selber hinzugefuegt, iptables waren auch nicht vorhanden, *confused*

mit MHDD http://hddguru.com/content/en/software/2005.10.02-MHDD/

habe ich mit abgebauter Festplatte den Festplatten Controller ansprechen koennen ,
weil der mir trotz fehlender Festplatte angezeigt wurde, wahrscheinlich wurde der PCI Controller absichtlich so zugaenglich gemacht.

in /dev/ sind 256 Loop devices ersichtlich und zig Ramdisks und einige pty.. und tty.. Konsolen

update
achja und wenn ich mount eingebe kommt:

sysfs on /sys type sysfs (rw)
/dev/loop0 on /lib/unionfs/usr type squashfs (rw)
unionfs on /usr type unionfs (rw,dirs=/usr=rw:/lib/unionfs/usr=ro)
/dev/loop1 on /lib/unionfs/firmware type squashfs (rw)
unionfs on /lib/firmware type unionfs (rw,dirs=/lib/firmware=rw:/lib/unionfs/firmware=ro)
/dev/loop2 on /lib/unionfs/modules type squashfs (rw)
unionfs on /lib/modules type unionfs (rw,dirs=/lib/modules=rw:/lib/unionfs/modules=ro)
shm on /dev/shm type tmpfs (rw)
 
Zuletzt bearbeitet:
in /dev/ sind 256 Loop devices ersichtlich und zig Ramdisks und einige pty.. und tty.. Konsolen

update
achja und wenn ich mount eingebe kommt:

sysfs on /sys type sysfs (rw)
/dev/loop0 on /lib/unionfs/usr type squashfs (rw)
unionfs on /usr type unionfs (rw,dirs=/usr=rw:/lib/unionfs/usr=ro)
/dev/loop1 on /lib/unionfs/firmware type squashfs (rw)
unionfs on /lib/firmware type unionfs (rw,dirs=/lib/firmware=rw:/lib/unionfs/firmware=ro)
/dev/loop2 on /lib/unionfs/modules type squashfs (rw)
unionfs on /lib/modules type unionfs (rw,dirs=/lib/modules=rw:/lib/unionfs/modules=ro)
shm on /dev/shm type tmpfs (rw)
Zum Vergrößern anklicken....
Das ist bei einer Live-CD völlig normal!
Auf jeden Fall jagst Du Gespenster und und wirklich Sinn macht das auch nicht, was Du da machst!
 
Zuletzt bearbeitet:
linuzt schrieb:
Ja, ist richtig, chrootkit und rkhunter habe ich selber hinzugefuegt, iptables waren auch nicht vorhanden, *confused*
Zum Vergrößern anklicken....

Das erklärt einiges. :erschlag: Wenn du viel überflüssige Zeit hast kannst du jetzt weiter Gespenster jagen oder lieber was sinnvolles tun. It's up to you!
 
Ich hab doch echt erstmal nachgeguckt, ob der Thread vom 1.4. ist... Sowas hab ich auch noch nicht gelesen..
 
Anmelden, um zu antworten.

Ähnliche Themen

grub-pc Probleme bei upgrade
grub-pc Probleme bei upgrade: Hallo, ich habe beim dist-upgrade folgendes Problem: die lib gibts etwas neuer: hat jemand ne Idee?

X startet nichtmehr
X startet nichtmehr: Hallo, ich habe versucht CUDA und OPENCL mit meiner Graka zum laufen zu bekommen ... nun hängt er aber schon beim Booten bei "started Update UTMP about...

xrandr: cant open display
xrandr: cant open display: Moin ich hier ein Problem und keine Lösung parat :/ Und zwar kA ob es daran liegt darf ich das erste mal mit ner ATI Graka Erfahrungen sammeln. Das Gerät...

OpenSuse 12.3 / Tiefschlaf funktioniert nicht
OpenSuse 12.3 / Tiefschlaf funktioniert nicht: Hallo zusammen. Ein altes Thema mal wieder. Aber ich bekomme es mit Google und Co. leider nicht gelöst. Vielleicht weiß einer von euch Rat. Der...

AWK Tip gesucht
AWK Tip gesucht: Hallo Unix- Freunde ich hab ein Problem bei dem ich nicht weiterkomme: ISTZUSTAND Ich suche mir im Moment per Script aus logdateien Fehlermeldungen...

Neueste Themen

Zurück
Oben