Komme nicht mehr auf Server

grub · Beitrag von **grub** » 01.11.2005 18:57:54

Hallo Zusammen

Ich komme seit ein paar Tagen nicht mehr auf meinen Server. Nicht über SSH oder über HTTP.

Das wirklich seltsame ist auch, dass wenn ich den Server per NMAP scanne plötzlich mein Host gescannt wird. Nun hab ich mich mal lokal angemolden und dort einen Portscan durchgeführt. Da gibts ein paar unstimmigkeiten auch als ich mit einem rootkithunter den Server gescannt habe kamm eine Warnung:

Code: Alles auswählen

OpenSSL 0.9.7g [Old or patched version]

Da noch die Resultate des lokale Portscanns (die Resultate die ich mir nicht erklären kann sind eingerückt):

Code: Alles auswählen

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-11-01 18:34 CET
Interesting ports on localhost.localdomain (127.0.0.1):
(The 131050 ports scanned but not shown below are in state: closed)
PORT      STATE         SERVICE
22/tcp    open          ssh
25/tcp    open          smtp
68/udp    open|filtered dhcpclient
80/tcp    open          http
111/tcp   open          rpcbind
111/udp   open|filtered rpcbind
        113/tcp   open          auth
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
139/tcp   open          netbios-ssn
143/tcp   open          imap
443/tcp   open          https
445/tcp   open          microsoft-ds
       700/udp   open|filtered unknown
       703/udp   open|filtered unknown
       706/tcp   open          silc
3306/tcp  open          mysql
3389/tcp  open          ms-term-serv
       8080/tcp  open          http-proxy
       10000/tcp open          snet-sensor-mgmt
       10000/udp open          unknown
       43767/udp open          unknown

Nmap finished: 1 IP address (1 host up) scanned in 58.656 seconds

Kann mir da jemand helfen? Hat jemand vermutungen?

Savar · Beitrag von **Savar** » 01.11.2005 19:07:03

wenn du dich lokal anmelden kannst, dann mach doch mal bitte:

Code: Alles auswählen

netstat -tulpen

grub · Beitrag von **grub** » 01.11.2005 19:36:36

Da ist die ausgabe des netstats

Code: Alles auswählen

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name   
tcp        0      0 0.0.0.0:706             0.0.0.0:*               LISTEN     0          4715       2220/rpc.statd      
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     0          4029       1991/mysqld         
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN     0          4502       2146/smbd           
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN     0          3939       1931/inetd          
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN     0          3370       1512/portmap        
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN     0          4830       2276/perl           
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     0          3940       1931/inetd          
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     0          4291       2133/master         
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN     0          4501       2146/smbd           
tcp6       0      0 :::80                   :::*                    LISTEN     0          4815       2283/apache2        
tcp6       0      0 :::8080                 :::*                    LISTEN     0          4636       2171/sshd           
tcp6       0      0 :::22                   :::*                    LISTEN     0          4642       2171/sshd           
tcp6       0      0 :::443                  :::*                    LISTEN     0          4816       2283/apache2        
tcp6       0      0 :::3389                 :::*                    LISTEN     0          4639       2171/sshd           
udp        0      0 192.168.100.4:137       0.0.0.0:*                          0          4442       2141/nmbd           
udp        0      0 0.0.0.0:137             0.0.0.0:*                          0          4439       2141/nmbd           
udp        0      0 192.168.100.4:138       0.0.0.0:*                          0          4443       2141/nmbd           
udp        0      0 0.0.0.0:138             0.0.0.0:*                          0          4440       2141/nmbd           
udp        0      0 0.0.0.0:10000           0.0.0.0:*                          0          4831       2276/perl           
udp        0      0 0.0.0.0:700             0.0.0.0:*                          0          4699       2220/rpc.statd      
udp        0      0 0.0.0.0:703             0.0.0.0:*                          0          4712       2220/rpc.statd      
udp        0      0 0.0.0.0:68              0.0.0.0:*                          0          3280       1487/dhclient       
udp        0      0 0.0.0.0:111             0.0.0.0:*                          0          3369       1512/portmap

und der perl Prozess (2276) gibt folgende Ausgabe (grep auwex | grep -w 2276):

Code: Alles auswählen

 2276 ?        Ss     0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf CONSOLE=/dev/console TERM=linux INIT_VERSION=sysvinit-2.86 PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin RUNLEVEL=2 runlevel=2 PWD=/ VERBOSE=yes PREVLEVEL=N previous=N HOME=/ SHLVL=2 _=/sbin/start-stop-daemon
31949 tty1     R+     0:00 grep -w 2276 SHELL=/bin/bash TERM=linux HUSHLOGIN=FALSE USER=root MAIL=/var/mail/root PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/bin/X11 PWD=/ LANG=de_CH PS1=\h:\w\$  SHLVL=1 HOME=/root LANGUAGE=de_CH:de_DE:de:en_GB:en LOGNAME=root _=/bin/grep OLDPWD=/mnt

Ich habe webmin jetzt noch deinstalliert denn eigentlich brauche ich es nie.

Savar · Beitrag von **Savar** » 01.11.2005 21:50:58

Tu dir den gefallen und zieh dir ne neue Version von rkhunter und chkrootkit , dann zieh den Server vom Netzwerk ab, dann lass das durchlaufen.. dein sshd läuft aber momentan z.B. nicht korrekt nur für tcp6

grub · Beitrag von **grub** » 02.11.2005 13:49:58

Code: Alles auswählen

Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2005-11-02 13:28 CET
Interesting ports on localhost.localdomain (127.0.0.1):
(The 131053 ports scanned but not shown below are in state: closed)
PORT      STATE         SERVICE
22/tcp    open          ssh
25/tcp    open          smtp
68/udp    open|filtered dhcpclient
80/tcp    open          http
111/tcp   open          rpcbind
111/udp   open|filtered rpcbind
113/tcp   open          auth
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
139/tcp   open          netbios-ssn
143/tcp   open          imap
443/tcp   open          https
445/tcp   open          microsoft-ds
700/udp   open|filtered unknown
703/udp   open|filtered unknown
706/tcp   open          silc
3306/tcp  open          mysql
3389/tcp  open          ms-term-serv
49010/udp open          unknown

So ich hab jetzt mal relativ stark aufgeräumt. Jetzt gibts eigentlich nur noch einen Port, welchen ich mir nicht erklären kann nämlich den Port 49010.
Bei allen anderen Ports konnte ich per lsof -i UDP:x bzw lsof -i TCP:x anschauen, welches Programm den Port offen hält. Nur gehts bei diesem Port nicht.

Ausserdem sagen jetzt chkrootkit und rkhunter nichts mehr.

mistersixt · Beitrag von **mistersixt** » 02.11.2005 14:52:20

Mach mal "rpcinfo -p", findest Du da die Portnummer wieder?

Gruss, mistersixt.

grub · Beitrag von **grub** » 03.11.2005 06:32:27

Nein mit rpcinfo -p taucht der Port nicht auf.
Das wirklich seltsame finde ich das sich der Port ändert. Heute ist es zum Beispiel
42255.

mistersixt · Beitrag von **mistersixt** » 03.11.2005 07:59:20

Und wenn Du ein nmap auf diesen Server laufen lässt, dann bekommst Du anschliessend einen Scan zurück genau von diesem Server??

grub · Beitrag von **grub** » 03.11.2005 08:13:39

Kann ich zur Zeit leider nicht ausprobieren.
Bin gerade bei der Arbeit und kann meinen Server da nicht scannen.

Mache das mal sobald ich zuhause bin.