Re: Server hacked

To: debian-user-german <debian-user-german@lists.debian.org>
Subject: Re: Server hacked
From: Andreas Rabus <andreas.rabus@gmail.com>
Date: Wed, 25 May 2005 19:34:50 +0200
Message-id: <[🔎] 672138b0050525103457921f17@mail.gmail.com>
Reply-to: Andreas Rabus <andreas.rabus@gmail.com>
In-reply-to: <[🔎] 672138b005052310455fbccd53@mail.gmail.com>
References: <[🔎] 672138b005052310455fbccd53@mail.gmail.com>

Hallo Liste,
Danke für die Antworten.
Ich hoffe immer noch, das ich mit einem reinstall und stärkerem härten
des Systems um die neuinstallation rumkomme und da ich von einem
Backup die Daten holen müsste, wären zumidest Teile des rootkits
wieder auf dem System...
Außerdem ist das System ein aktver Webserver im Internet (Kein
Verbindung zum hiesigen LAN).
Wichtiger wäre mir daher das Einfallstor so zuverlässig wie möglich zu
identifizieren und zu schließen.

Anbei noch ein paar Erkenntnise meinerseits in den letzten Tagen:

2005/5/23, Andreas Rabus <andreas.rabus@gmail.com>:
> Außerdem waren noch zwei Log Säuberungs Skripte dabei.
Diese Skripte haben ihre arbeit gründlich gemacht...
Ich fand nix in den Logs. Aus der betroffenene Zeit fehlten nahzu alle
Logeinträge.
Ich kann nicht mal rausfinden wie das Teil auf meinen Rechner gekommen ist.
tct findet auch nix brauchbares...
 
> chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
das Skript hat sich an /lib/libproc.a gestört, das in libproc-dev ist,
was man manchmal braucht um aus Dateien unter /procschlau zu werden.
t0rn v8 ist also ein Fehlalarm.

> Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
> Originale ersetzt.
Und den Rechner neu gestartet und die Kennwörter geändert. 
Man kann der Ausgabe der Programme wie ps und netstat jetzt wohl wieder trauen.
Aber wenn der Sniffer noch aktiv ist hilft das nix....
Obwohl ich annehme die Verbindung zum Hacker erst mal unterbrochen
ist. Der IRC Server mit dem sich mein Rechner verbunden hat ist auch
erst mal unschädlich gemacht worden.
 
> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
> wird (am besten ohne alles platt zu machen...) ?
Es scheint also ein Eigenbau zu sein...

Und der SOCKS Proxy mocks wurde wohl von Hand übersetzt, was heißt
mindestens ein Mensch hat sich per ssh (alias /sbin/ttymon mit conf in
/lib/libsh u.ä.)  auf meinem Rechner eingeloggt. (Es war ain auth key
dabie auf den namen root@NoRad )

Das Teil scheint allerdings schon länger unterwegs zu sein:
Mein Rechner hat sich per IRC an einen anderen bereits gehackten
Rechner  gemeldet, der offensichtlich als "Sammler" diente.

Wenn sich noch ein Opfer findet wäre ich an einem Kenntniss Austausch
durch aus interessiert.

Andreas

Reply to:

References:
- Server hacked
  - From: Andreas Rabus <andreas.rabus@gmail.com>

Prev by Date: USB-Cardreader: unable to read partition table
Next by Date: Re: Merkwürdiges IMAP-Pine Problem
Previous by thread: Re: Server hacked
Next by thread: Empfehlung für Backup-Software bzw. -Strategie
Index(es):
- Date
- Thread