t0rnkit ...

[Johannes Goecke]

Hi,

ich hatte hier ein ähnliches Problem, weiß aber nicht welches Rootkit..

Markus Wigge wrote:
> Tag,
> 
> ich habe auf einer mitlerweile ausgetauschten Maschine deutliche
> Spuren des t0rn Root-Kits gefunden.
> Mir ist auch ungefähr bekannt ab wann der Einbruch auf die Maschine
> stattgefunden haben muß, nur noch nicht ganz wie.
> Mein Verdacht ist momentan eine alte Version des wu.ftpd, nur weiß
> ich nicht wie und woran ich das genau fest machen kann...
> 
> Gibt es irgendeine Strategie herauszufinden von wo ein Einbruch
> letztendlich erfolgt ist?

von wo ist IMHO schwer, denn ich traue nach einem Einbruch keinen
logfiles mehr, wenn der Einbruch auch nur halbwegs "professionel"
durchgeführt wurde, sind die Logfiles gefakted.

Ich wurde (nach einem Hinweis) erst stutzig, als mein Syslog
3mal hintereinander gestartet wurde im abstand von wenigen Sekunden
ohne daß der Rechner gebootet worden ist!

interessant wäre sicherlich mal die Platte nach
Dateien und Verzeichnissen zu durchsuchen, nach
dateien, die sonst dem gefakten ls nicht sichtbar sind
(z.B. logdateien von tcp-Sniffern...:-( )


> 
> Es war eine nicht ganz aktuelle Fassung der SuSE 5.3 ;-)
> Das Glück an der Sache war das auf dieser SuSE (vermutlich wg.
> Libraryproblemen) die ausgetauschten Systemtools (ls, ps, login ...)
> nicht liefen (Segfault). Dadurch war die Kiste von außen quasi gar
> nicht mehr erreichbar (wohl auch für den Angreifer).
> Beispiel eines Loginversuchs:
> 
> markus at gandalf:~> ssh root@???????
> root@?????'s password:
> Warning: Remote host denied X11 forwarding, perhaps xauth program could not
> be run on the server side.
> /usr/sbin/sshd: error in loading shared libraries: /usr/sbin/sshd: symbol
> updwtmpx, version GLIBC_2.1 not defined in file libc.so.6 with link
> time reference
> Connection to ?????? closed.
> 
> Für Tipps wonach ich im Dateisystem der alten Möhre noch suchen kann
> wär ich sehr dankbar ... Hab das ganze Zeug in einem sauberen
> Rechner gemountet und hangel mich grade durch die logs.


versuche den Tag des Einbruchs zu erkennen und suche mit find nach
Dateien und Verzeichnissen die an diesem Tag erstellt wurden -
oder nach Dateien die neuer sind als das Install-Date
bzw. das Datum des letzten System-Updates

achte dabei z.B. auf Versteckte Verzeichnisse (.z.B. <path>/.lib/ oder 
auf ".config" )

ggf. auf binaries, die nicht zur Disti gehören (z.B. /usr/bin/ssh2d )
der bei mir auf einem merkwürdigen Port gelauscht hat...



> 
> Mit freundlichen Grüßen
>   Markus Wigge
> 

wenn du noch Dinge rausfindest sag bescheid
gruss
Johannes



-- 
Dipl.Wirt.Inform. Johannes Goecke | Wirtschaftsinformatik IV, DS&OR Lab
E-Mail : goecke at uni-paderborn.de  | Uni Paderborn, Warburger Str. 100
Raum   : N4.128                   | 33098 Paderborn
Tel    : (+49) (0)5251/ 60-52 36  | http://dsor.uni-paderborn.de