Kein Prozess-Output mehr mit "ps"

UThurm · Beitrag von **UThurm** » 18.07.2005 10:22:03

Heute früh bekam ich eine AutoMail mit dem Output meines Admin-Scripts, in der stand, dass alle wichtigen Prozesse auf dem Debian (Woody) Server nicht liefen.
Tatsächlich liefen sie aber alle - was nicht mehr funktioniert ist "ps" (??!!), auf dem die Messages im Script basieren.

Wenn ich "ps -ef" ausführe, ist alles, was ich erhalte:

PID TTY STST TIME COMMAND
1076 1 S 0:00 /sbin/getty 38400 tty1 BOOT_IMAGE=Linux AUTOBOOT=YES P
1077 2 S 0:00 /sbin/getty 38400 tty2 BOOT_IMAGE=Linux AUTOBOOT=YES P
1078 3 S 0:00 /sbin/getty 38400 tty3 BOOT_IMAGE=Linux AUTOBOOT=YES P
1079 4 S 0:00 /sbin/getty 38400 tty4 BOOT_IMAGE=Linux AUTOBOOT=YES P
1080 5 S 0:00 /sbin/getty 38400 tty5 BOOT_IMAGE=Linux AUTOBOOT=YES P
1082 6 S 0:00 /sbin/getty 38400 tty6 BOOT_IMAGE=Linux AUTOBOOT=YES P
1091 ? R 0:00 -bash USER=root LOGNAME=root HOME=/root PATH=/bin:/user/
1094 ? R 0:00 \_ ps -ef PWD=/root LD_LIBRARY_PATH=/usr/local/Berkele

Als ich auf dem Server nachschaute, fand ich dort den ganzen Bildschirm voll mit Zeilen wie dieser:

PAM_unix[10752]: authentication failure; (uid=0) -> root for ssh service
... usw.;
diese Zeile wiederholte sich für jeden User (statt root)
bis...
PAM_unix[10982]: (cron) session opened for user root by (uid=0)
(das war wahrscheinlich als der Cronjob für das Adminscript gestartet ist)

Offenbar hatte es einen Server Reboot gegeben...(?)

Samstag Morgen war alles noch OK (lt. Script-Output). Irgendwann zwischen Sa Morgen und So Morgen (in der Zeit hat garantiert niemand was am Server gemacht), muss "es" dann passiert sein.

Seltsamerweise habe ich bisher keine weiteren Störungen ausmachen können, alles scheint normal zu funktionieren.

Ich habe den Server neu gestartet; der Reboot Screen war ganz normal (also ohne die ganzen shh authentication failure Messages oben), aber "ps" gibt immer noch nur die o.a. Zeilen aus...

Wer kann mir helfen..?
(PS: Bin noch relativ unerfahren in der Linux-Administration & bitte daher um Nachsicht.)

Danke schon mal

Undine.

mauser · Beitrag von **mauser** » 18.07.2005 11:42:22

hi,

ich würde sagen jemand hat dir ein manipuliertes ps untergeschoben, nachdem er per ssh in deinen server eingebrochen ist. was mich daran stört, ist das ps etwas seltsam manipuliert wurde, da es ja fast gar nix mehr anzeit. normalerweise wird es nur soweit manipuliert, das es den prozess des rootkits nicht mehr anzeigt. auf jedenfall chkrootkit laufen lassen und wenn möglich den server vom netz nehmen, wenn ein einbruch nicht ausgeschlossen werden kann. natürlich gibts keine garantie das das auch wirklich ein einbruch war !!
mfg
mauser

UThurm · Beitrag von **UThurm** » 18.07.2005 11:59:56

Hallo mauser,

mach mich nicht schwach!! Einbruch in den Server wäre der SuperGAU! Da liegen unsere ganzen Sourcecodes (und noch mehr).
Wie ist denn sowas möglich, und dann noch per ssh?

So nach und nach stelle ich fest, dass doch nicht alles mehr funktioniert wie gehabt - z.B. dpkg nicht mehr! (beim Versuch chkrootkit zu installieren..):

apt-get install chkrootkit
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
chkrootkit
0 packages upgraded, 1 newly installed, 0 to remove and 5 not upgraded.
Need to get 28.7kB of archives. After unpacking 193kB will be used.
Get:1 http://ftp.sk.debian.org woody/main chkrootkit 0.35-1 [28.7kB]
Fetched 28.7kB in 0s (36.6kB/s)
Selecting previously deselected package chkrootkit.
(Reading database ... 21591 files and directories currently installed.)
Unpacking chkrootkit (from .../chkrootkit_0.35-1_i386.deb) ...
dpkg: error processing /var/cache/apt/archives/chkrootkit_0.35-1_i386.deb (--unpack):
unable to create `./usr/sbin/chkrootkit': Permission denied
dpkg-deb: subprocess paste killed by signal (Broken pipe)
Errors were encountered while processing:
/var/cache/apt/archives/chkrootkit_0.35-1_i386.deb
E: Sub-process /usr/bin/dpkg returned an error code (1)

Werde jetzt versuchen, das chkrootkit aus dem Tarball neu zu kompilieren; hoffe, das klappt

Silke · Beitrag von **Silke** » 18.07.2005 12:07:23

UThurm hat geschrieben: unable to create `./usr/sbin/chkrootkit': Permission denied

Ueberpruef mal die Berechtigungen von /usr/sbin. Und ueberpruefe, ob der User
root in /etc/passwd noch UserID und Gruppe 0 hat. Und nimm den Rechner vom
Netz.

Gruss,
- Silke -

mauser · Beitrag von **mauser** » 18.07.2005 12:16:34

Wie ist denn sowas möglich, und dann noch per ssh?

seit ein paar wochen habe ich auch regelmässige bruteforce attacken registriert, die alle nur darauf abzielen, möglichst schnell an dein root passwort oder das eines anderen benutzers zu kommen. ich schreibe gerade an einem kleinen tips & tricks dokument, in dem dieses problem auch erörtet wird. schau doch mal unter http://www.smoors.de/ssh.html vorbei.
ein sehr grosses risiko ist z.b. der erlaubte login über den root account..
mfg
mauser

Beitrag von **KBDCALLS** » 18.07.2005 12:21:06

Deswegen einen SSH Zugang nur mit KEY und den Zugang per Passwort verbieten. Und den Rootzugang der SSH auch gleich sperren.

Joghurt · Beitrag von **Joghurt** » 18.07.2005 12:45:13

UThurm hat geschrieben:mach mich nicht schwach!! Einbruch in den Server wäre der SuperGAU! Da liegen unsere ganzen Sourcecodes (und noch mehr).

Ein Grund mehr, den Rechner erstmal vom Netz zu nehmen: "Better safe than sorry!"

UThurm · Beitrag von **UThurm** » 18.07.2005 15:51:35

Hallo zusammen,

leider hast Du mit Deiner Diagnose voll ins Schwarze getroffen, mauser! (Danke noch mal für den schnellen Befund!)
Habe das chkrootkit schließlich installiert bekommen, und es hat auch prompt Alarm geschlagen. Hier der Output (in Auszügen):

Checking `amd'... not found
...
Checking `fingerd'... not found
...
Checking `hdparm'... not found (???)
...
Checking `identd'... not found
...
Checking `ls'... INFECTED

Checking `netstat'... INFECTED
Checking `named'... not found
...
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... INFECTED
...
Checking `rlogind'... not found
Checking `rshd'... not found
...
Checking `top'... INFECTED
Checking `telnetd'... not found
Checking `timed'... not found
...
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
...
Checking `lkm'... You have 1 process hidden for readdir command
You have 6 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... the name `ty,pid,ruser,args' is not a tty
chkutmp: nothing deleted

Den Server habe ich natürlich sofort vom Netz genommen. Inzwischen sind auch alle anderen Server in der Domäne still gelegt. Denn das erste Loch ist ja schon in der Firewall...
Wenn das dicht ist, muss wohl der gesamte Debianserver platt gemacht und neu aufgesetzt werden

( - @ Mr. Snede: So viel zum Thema "Jetzt hab ich meinen Debianserver wieder lieb".. - kleiner Insider.
Da alle Server down sind, sind wir derzeit komplett offline - nur für die Info-Rundmail und dieses Posting wurde der Server kurzfristig wieder hochgefahren..

Telefoniere jetzt schon die ganze Zeit hektisch herum, jemanden dafür zu finden (Server neu aufsetzen + sicherheitstechnisch *wirklich* dicht machen). Dazu fehlen mir definitiv sowohl Zeit als auch Ahnung - Administration war noch OK, aber auf meinem Arbeitsvertrag steht letztlich was von "Entwicklerin" und nichts von "Admin.." oder "Netzwerk..".

Kennt jemand vielleicht einen fitten Fachmann (Linux/Debian + Netzwerksicherheit) im Großraum Hamburg?
Meine spärlichen eigenen Kontakte haben leider keine Zeit..
Dass es superdringend ist, muss ich wohl nicht mehr erwähnen..

Werde diesem Thread von meinem privaten INet-Zugang aus weiter verfolgen.

Was für eine Sch....

Trotzdem danke für die rege Anteilnahme!

Undine.

mistersixt · Beitrag von **mistersixt** » 19.07.2005 08:22:27

Wann wurden das letzte Mal die Sicherheitsupdates auf dem Woody-Server installiert? Mich würde gerne interessieren, ob es daran lag oder Jemand einfach das root-Password oder das eines User geknackt hat.

Ich weiss, Du hast jetzt andere Probleme, wenn Du halt wieder etwas Luft hast ...

Gruss, mistersixt.

PS: chkrootkit ist teilweise etwas veraltet, der rkhunter ist aktueller und kann noch wesentlich mehr.

UThurm · Beitrag von **UThurm** » 27.07.2005 18:17:37

In der Tat hatte ich in den letzten Tagen andere Probleme...

Das ging schon damit los, dass ich einen halben Tag damit vergeudet habe, vergeblich den Adaptec 29320A SCSI-Raidcontroller zum Laufen zu bringen (dachte mir, wenn schon Server neu aufsetzen + sicherer machen, dann doch gleich mit Hardware-Raid, Level 1) - keine Chance

Erkannt wurde er zwar, und Raid wurde auch eingerichtet, aber beim Laden vom Modul aic79xx war dann jedes Mal Schicht im Schacht.. Offenbar wird er von Debian nicht unterstützt. Also umsonst gekauft. Hat der Server jetzt halt Software-Raid...

Zu Deiner Frage, mistersixt: Geknackt wurde ein User-Passwort.
Die Passwort-Konventionen in der password-common waren auch nicht gerade hoch eingestellt.

Danke für den Tipp mit dem rkhunter. Habe ich jetzt gleich mit installiert.
Warum ist das chkrootkit veraltet? Gibt es denn keine Updates mehr dafür?

Nach 2 Doppelschichten läuft der Server und alles darauf jetzt wieder, und zumindest ist er jetzt sicherer als vorher...