Har min Debian-server hackats?
Hej!
Jag har en liten server-dator hemma i garderoben som kör Debian etch.
Sedan en vecka tillbaka får jag ett mail från den varje dag med
felmeddelanden från ett cron-jobb. Meddelandena är lite olika från gång
till gång, men det senaste såg ut så här:
/etc/cron.daily/dnsquery:
./popauth: error while loading shared libraries: libdb.so.3: cannot open
shared object file: No such file or directory
mkdir: kan inte skapa katalog "/usr/share/misc/": Filen existerar
mkdir: kan inte skapa katalog "/usr/share/misc/blah/": Filen existerar
popauth: ingen process avslutad
popauth: error while loading shared libraries: libdb.so.3: cannot open
shared object file: No such file or directory
Om man googlar på "/etc/cron.daily/dnsquery" så handlar de flesta
träffar om folk som blivit hackade, varför jag nu är orolig för att ha
råkat ut för detta. Filen dnsquery verkar inte tillhandahållas av något
Debian-paket (enligt sökning med dpkg -S dnsquery och sökning på
http://www.debian.org/distrib/packages ). Jag har nu stängt ner hela
cron-tjänsten tills vidare.
Jag såg nu att etch inte stöds längre för säkerhets-uppdateringar, så
jag tänker uppgradera till lenny, men först vill jag gå till botten med
om ett intrång skett eller ej, så att jag vet om jag ska uppgradera
eller installera om helt.
Det främsta tipset från google-träffarna är att köra en "rootkit
hunter", så jag provade att installera rkhunter (från
http://www.rootkit.nl/ ) på servern och köra denna. Den upptäckte inte
någon rootkit, men gav en hel del andra varningar. Vissa, kanske alla,
av dessa varningar tror jag beror på att rkhunter inte vet tillräckligt
mycket om hur Debian-disten är uppbyggd, finns det någon rootkit hunter
som är mer Debian-kunnig?
Först varnar den om att följande program har "bytts ut" mot skript, men
jag tror att det är Debian som väljer att tillhandahålla dessa tjänster
med skript:
/bin/egrep
/bin/fgrep
/bin/which
/usr/bin/groups
/usr/bin/ldd
/usr/bin/lwp-request
/usr/sbin/adduser
Andra varningar lyder
-- klipp --
[11:33:45] Info: Using inetd configuration file '/etc/inetd.conf'
[11:33:45] Checking for enabled inetd services [ Warning ]
[11:33:46] Warning: Found enabled inetd service: ident
-- klipp --
[12:01:45] Checking /dev for suspicious file types [ Warning ]
[12:01:45] Warning: Suspicious file types found in /dev:
[12:01:46] /dev/hdsmat: ASCII text
[12:01:48] Checking for hidden files and directories [ Warning ]
[12:01:48] Warning: Hidden directory found: /dev/.static
[12:01:48] Warning: Hidden directory found: /dev/.udev
[12:01:48] Warning: Hidden directory found: /dev/.initramfs
-- klipp --
Också varningar om att Exim, OpenSSL, PHP och OpenSSH är för gamla,
eftersom jag använder etch.
Jag har också försökt kolla i auth.log-filerna. De innehåller mängder av
öppnade och stängda CRON-sessioner (ska vara normalt enligt mitt
googlande) och mängder av misslyckade ssh-inloggningar, framförallt till
root-användaren. Ser ut som en ständigt pågående brute-force-attack
alltså. Tyvärr har jag hittintills tillåtit direkta root-inloggningar
via SSH, något som jag nu ändrat. Jag kan inte avgöra om
brute-force-attacken vid något tillfälle lyckats då jag inte minns alla
tillfällen när jag själv loggat in.
En annan misstänkt grej i auth.log är dessa rader som återkommer ibland:
Jun 6 06:25:09 bilbo su[30649]: Successful su for nobody by root
Jun 6 06:25:09 bilbo su[30649]: + ??? root:nobody
Jun 6 06:25:09 bilbo su[30649]: (pam_unix) session opened for user
nobody by (uid=0)
Jun 6 06:25:09 bilbo su[30649]: (pam_unix) session closed for user
nobody
Enligt tips på internet så ska användaren nobody inte ha något skal, men
på båda mina debian-burkar så har nobody ett skal (/bin/sh) som man kan
logga in på.
Tacksam för hjälp
/Pelle
Reply to: