Bots software/Server gehackt

[umbroboy]

Hallo,

was gibt es denn noch ausser chrootkit.

Ich hab nen Report bekommen, dass irgend ein bots drauf sei...

find jetzt auch nichts...

gibts da noch mehr software?

Vielen Dank

marcus

[DeletedUserReAsG]

rkhunter habe ich in dem Zusammenhang öfter gelesen.

cu

[armin]

Das ganze macht aber sowieso nur wirklich Sinn, wenn du von einer sauberen Rettungs-CD bootest.

[umbroboy]

Danke schonmal.

Na ich würd aber gern mal wissen wo das teil sich eingeschlichen hat und wo es ist auch.

[DeletedUserReAsG]

Na ich würd aber gern mal wissen wo das teil sich eingeschlichen hat und wo es ist auch.

Bin ich der Einzige, der angesichts dieser Aussage hofft, dass es sich nicht um einen dedizierten Server handelt? Ist nicht böse gemeint, umbroboy - ich denke nur, dass jemand, der einen Server, gleich welcher Art, betreibt, wissen sollte, was zu tun ist (und es tut, anstatt sich im Posting zu fragen, was dieses Tun viel effizienter zutage fördern würde).

cu

[umbroboy]

mei was für ein schöner spruch.
ist halt jetzt passiert.
jetzt erzähl mir doch nicht, dass das einem profi nicht passieren würde!

[H4kk3r]

Na ich würd aber gern mal wissen wo das teil sich eingeschlichen hat und wo es ist auch.

Bin ich der Einzige, der angesichts dieser Aussage hofft, dass es sich nicht um einen dedizierten Server handelt? Ist nicht böse gemeint, umbroboy - ich denke nur, dass jemand, der einen Server, gleich welcher Art, betreibt, wissen sollte, was zu tun ist (und es tut, anstatt sich im Posting zu fragen, was dieses Tun viel effizienter zutage fördern würde).

cu

Niemand hat vollkommen recht. Du solltest jetzt so schnell wie möglich ein Backup ziehen und die Kiste platt machen oder sie zumindest vom Netz nehmen (lassen). Dann suchst du nach der Lücke und machst den oder die Fehler nicht mehr. Um ein erneutes Aufsetzen des Systems kommst du nicht herum.

Lass halt mal den rkhunter drüber rennen und suche in /var/tmp und /tmp nach tollen Dateien. Dann solltest du dir überlegen, was falsch gelaufen ist. Welche Software könnte schuld sein? Was erreicht man von außen?

Code: Alles auswählen

netstat -an

[DeletedUserReAsG]

jetzt erzähl mir doch nicht, dass das einem profi nicht passieren würde!

Man muss hier zwischen zwei Bedeutungen des Wortes "Profi" differenzieren: Zum Einen könnte man jemanden meinen, der weiß, was er tut - dem sollte das in der Tat nicht passieren. Zum Anderen könnte jemand gemeint sein, der sich die Bezeichnung durch Zertifikate o.Ä. erworben hat - dem kann das durchaus passieren.

Aber darum geht es nicht, es geht darum, dass du offensichtlich keinerlei Plan hast, wie du nun vorzugehen hast. Man muss aber kein Profi sein, um genau das nachzulesen.

In aller Kürze: Maschine vom Netz trennen (Schadensbegrenzung, Sicherung des Status quo)! Logfiles und andere Files sichern, die Hinweise geben könnten. Nutzdaten sichern. Kiste neu aufsetzen, nachdem der Schwachpunkt erkannt und beseitigt wurde. Handeln, statt in Foren posten, suchen, statt fragen, und, so leid es mir tut, The Fuck... Friendly Manual lesen!

cu

[umbroboy]

Hi
also rkhunter hab ichs chon laufen lassen und hat nichts gefunden.

Aber ich denke ich habe in den Verbindungen was gefunden nur in den TMP files etc find ich auch nichts.

Code: Alles auswählen

tcp        0      0 89.XXX.194.125:51204    64.161.255.200:6667     VERBUNDEN
tcp        0      0 89.XXX.194.125:50316    195.204.1.132:7000      VERBUNDEN
tcp        0      0 89.XXX.194.125:52672    64.161.255.200:6667     VERBUNDEN
tcp        0      0 89.XXX.194.125:50443    64.161.255.200:6667     VERBUNDEN

tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:199             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN

tcp6       0      0 :::993                  :::*                    LISTEN
tcp6       0      0 :::995                  :::*                    LISTEN
tcp6       0      0 :::49252                :::*                    LISTEN
tcp6       0      0 :::389                  :::*                    LISTEN
tcp6       0      0 :::110                  :::*                    LISTEN
tcp6       0      0 :::143                  :::*                    LISTEN
tcp6       0      0 :::80                   :::*                    LISTEN
tcp6       0      0 :::2224                 :::*                    LISTEN
tcp6       0      0 :::25                   :::*                    LISTEN
tcp6       0      0 :::443                  :::*                    LISTEN

Aber dann muss ich doch endlich mal was finden :/

marcus

Edit KBDCALLS: Codetags eingefügt.

[gms]

Aber ich denke ich habe in den Verbindungen was gefunden

denkst du, oder hast du ?
Erwartest du, daß wir dir verraten, welche der geposteten Verbindungen suspekt sind ? Diese Frage solltest eigentlich du uns beantworten können, oder hat das System ein anderer konfiguriert ?

Gruß
gms

[umbroboy]

Da hast du natürlich recht. Der jenige der das eingerichtet hat, ist für 2 Wochen im Urlaub.

Jetzt steh ich natürlich da.

Irgendwelche supskete dateien müssen ja auch auf dem Server sein, aber da find ich nichts. Ebenso muss doch der Bot im Hintergrund laufen. Den müsst ich doch auch unter den aktuellen prozessen sehen..

[I.C.Wiener]

Rootkits verändern (ersetzen) die Systemprogramme, damit sie den schadhaften Prozess nicht anzeigen. Das ist einer der Gründe, warum man so ein System grundsätzlich neu aufsetzt.