Re: Einbruch? Paranoia?

To: debian-user-german@lists.debian.org
Subject: Re: Einbruch? Paranoia?
From: Jakob Lell <jlell@JakobLell.de>
Date: Thu, 11 Mar 2004 21:22:50 +0100
Message-id: <[🔎] 200403112122.50492.jlell@JakobLell.de>
In-reply-to: <[🔎] 20040311174315.GA1985@pcvo.jfis.de>
References: <[🔎] 20040311174315.GA1985@pcvo.jfis.de>

On Thursday 11 March 2004 18:43, Joerg Fischer wrote:
> Hallo Welt,
>
> auf meinem Debian SID, aktueller Stand von heute, sind merkwürdige
> Dinge passiert. Ich benutze xpppload um meine DSL-Leitung ein wenig im
> Auge zu behalten. Heute nachmittag war da plötzlich Verkehr, der dort
> nicht hingehört. Es lief eigentlich nichts, aber xpppload zeigte im
> Schnitt 5-10kB/s Last an. Ob ankommend oder abgehend kann xpppload
> leider nicht sagen.
Hallo,
da könnte ifconfig oder ein Sniffer helfen. Leider ist es jetzt wohl zu spät 
dafür.
>
> Richtung Internet läuft ein iptable-Paketfilter, nach innen offen ist
> ssh und http. Abgehende Verbindungen sind zulässig, ebenso natürlich
> Antworten auf abgehende Pakete. Ich habe der Reihe nach alle Dienste
> beendet die halbwegs in Verdacht kommen. Zunächst natürlich den apache,
> dann alles was es eigentlich *nicht* sein kann. bind9, ntp, ssh, naja,
> einfach alles. Bei '/etc/init.d/samba stop' verschwand der Verkehr...
>
> Ja, ein Samba ist installiert und nach innen offen. Ich bin mir aber zu
> 98% sicher mit der 'interfaces'-Option gearbeitet zu haben. Die war in
> /etc/smaba/smb.conf aber WEG! Dafür gibt es einen Eintrag, an dessen
> anlegen ich mich nicht recht erinnern kann (ich will es aber auch nicht
>
> ganz ausschließen, ich konfiguriere selten am Samba herum...):
> |[fileserver]
> |        comment = Samba server's /fileserver
> |        writable = yes
> |        locking = yes
> |        path = /fileserver
> |        public = yes
>
> Ein Verzeichnis /fileserver existiert _nicht_... (Ich betone nochmal
> das smb Richtung Internet natürlich nicht durch den Paketfilter kommt.)

Kann es sein, dass Samba upgedated wurde und dpkg dich gefragt hat, ob es die 
alte Konfigurationsdatei überschreiben soll? Eventuell solltest du deine 
Version von /etc/samba/smb.conf mit der Standardversion von Debian 
vergleichen. Dies könnte den Eintrag /fileserver erklären.

> Ich habe die Logfiles inspiziert und mußte feststellen das heute für um
> 7.30 das logging endete. Normalerweise schlagen ja immer mal Pakete am
> Firewall auf, die logge ich z.B. mit.)
Wenn möglich kannst du versuchen, von einem anderen Rechner einen Portscan auf 
dein System zu starten oder manuell auf einen geschlossenen Port zugreifen. 
Wenn dies nich in den Logfiles auftaucht, kann es sein, dass auf dem System 
ein Rootkit installiert ist. Auch chkrootkit (am besten von KNOPPIX aus 
gestartet) könnte hilfreich sein.
>
> Das war der Moment wo ich die Kiste vom Netz genommen habe um in Ruhe
> nachzudenken. Ich habe eine Knoppix gebootet und die Platte relativ
> genau unter die Lupe genommen. 'find -ctime' hilft leider nicht weiter,
> da ich *gerade heute* jede Menge Pakete aktualisiert hatte. :-/ Meine
> händische Suche nach Auffälligkeiten brachte nichts.

Überprüfe noch einmal Veränderungen bei /sbin/init, dem Kernel und allen 
Modulen. Dort könnte ein Rootkit versteckt sein. Wenn du den Kernel selbst 
kompiliert hast, könntest du ihn zur Sicherheit von KNOPPIX aus neu 
kompilieren.
>
> Auf der Maschine sind nur 3 User eingerichtet, alle mit guten, langen
> Passwörtern. Da sie außer apache und ssh keine Dienste anbot kann ich
> mir das ganze irgendwie nicht ganz erklären. Und weil ich es mir nicht
> erklären konnte, bin ich mit angeschaltenem ethereal wieder ans Netz.

Kann es sein, dass ein User einen Cronjob hat, der den Traffick erzeugt? Ich 
z.B. hole meine Mails mit einem Cronjob über fetchmail.
>
> Jetzt beobachte ich seit ungefähr 2h gebannt was hier passiert. Der
> ominöse Datenverkehr ist weg. Der syslog loggt wie immer.
> Arbeitshypothese: Jemand hatte gegen mich einen Portscan laufen, das
> war der sichtbare Datenverkehr. Der Portscan war *zufällig* ungefähr da
> zu Ende wo ich den Samba anhielt.

Es kann auch sein, dass derjenige, der die IP-Adresse vor dir hatte, ein 
P2P-Programm verwendet hat und andere Clients versuchen, auf ihn zuzugreifen. 
Da P2P-Programme eine unerreichbare IP nach einer gewissen Zeit vergessen, 
kann dies ein plötzliches Ende des "Angriffs" erklären.
>
> Was würdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu
> aufsetzen?

Wenn die oben genannten Tests den Verdacht nicht erhärten können, ist das IMHO 
nicht notwendig.

Gruss
  Jakob

Reply to:

References:
- Einbruch? Paranoia?
  - From: Joerg Fischer <usenet102003@jfis.de>

Prev by Date: Re: Kdelibs-bin
Next by Date: Re: Nvidia Grafikkarte und TV-Ausgang
Previous by thread: Einbruch? Paranoia?
Next by thread: Re: Einbruch? Paranoia?
Index(es):
- Date
- Thread