Server gehackt

[vurt_runner]

Vor einigen Tagen wurde ein Server von mir gehackt. Mitbekommen habe ich es dadurch, als ich ein 'ps ax' ausfuehren wollte und ich folgende Fehlermeldung zurueck bekam:

ps: error while loading shared libraries: libproc.so.2.0.6: cannot open shared object file: No such file or directory

danach schaute ich nach den logfiles, welche natuerlich geloescht waren und auch nicht mehr mitliefen.

im ersten schreck das ps neukompiliert und unter /usr/bin installiert, und siehe da, es liefen zwei gaenzlich mir unbekannte Prozesse namens

'/sbin/xc'
diese habe ich dann gekillt und die dateien auch geloescht, sowie auch wieder den syslog eingeschaltet. Ich vermute, der Angreifer hat eine Backdoor oder aehnliches installiert, da ich tagsdarauf aus Schweden Post bekam, wo sich ein Admin beschwehrte, das von meinem Rechner aus, seiner angegriffen wuerde.

Nun wollte ich die nicht mehr funktionierende ps loeschen, was allerdings nicht (als root) ging. flux nachgesehen, die Rechte der Datei:
-rwxr-xr-x 1 user user 58940 Aug 28 2001 /bin/ps

selbst als der user kann ich diese Date nicht mehr loeschen. Wie kann es denn sein, das ich selbst als root eine Datei nicht loeschen kann?

Fuer mich nicht nachvollziehbar ist, wie der Angreifer in den Rechner kam, da leider keine Logfiles mehr vorhanden sind. Es wurde auch nichts weiter "zerstoert". Ein durchlauf mit dem neuesten chkrootkit zeigte auch keine auffaelligkeiten. Mich wuerde nur interessieren, was besagtes xc - Programm machte. vielleicht ist jemanden von euch aehnliches schon mal unter gekommen. Mir bleibt jetzt wohl nichts anderes uebrig als nun endlich ein Debian zu installieren.

gruss thomas

[kase]

Es könnte sein, dass dieses /bin/ps als Prozess gerade läuft, ist dies der Fall, kann die Datei nicht mal von root gelöscht werden.

[oxygen]

Wenn ich mal raten darf: PHPNuke in Verbindung mit eGallery + do_brk(). Wie du schon erkannt hast handelt es sich um ein Rootkit -> Rechner muss neuaufgesetzt werden.

[vurt_runner]

noe, tut es nicht. was mich eben wundert, ist, ps gehoert normalerweise root.root und nicht einem user - das ist das was mich stutzig macht.
oder kann man einen Prozess vor ps unsichtbar machen, so dass eventuell doch die moeglichkeit besteht das das programm noch laeuft?

gruss thomas

[vurt_runner]

noe auch nicht
da laeuft zwar ein apache, aber keine webseiten drauf und erst recht kein phpNuke :)

gruss thomas

[dopefish]

irgendwas auffälliges bei lsmod?

[dodolin]

noe, tut es nicht.

Natürlich handelt es sich um ein Rootkit.
Oder auch andersrum gefragt: Wie kannst du es sicher ausschließen, dass nicht?

Der Rechner muss neu initialisiert werden!
Der Rechner muss neu initialisiert werden!
Der Rechner muss neu initialisiert werden!

Und danach von jemandem aufgesetzt und aktuell gehalten werden, der weiß, was er tut.

[vurt_runner]

noe, tut es nicht.

Natürlich handelt es sich um ein Rootkit.

bezog sich auch auf die Anfrage ob der ps-Prozess noch laeuft und daher vielleicht das Programm nicht loeschbar ist.
Das ich mir hier irgendwas eingefangen habe, bestreite ich nicht. Mir ging es lediglich darum, zu wissen was es ist.

Der Rechner muss neu initialisiert werden!

der hat das glueck komplett neu gemacht zu werden.

gruss thomas

[arnee]

oder kann man einen Prozess vor ps unsichtbar machen, so dass eventuell doch die moeglichkeit besteht das das programm noch laeuft?

Informier' dich mal über Kernel-basierte Rootkits.

[Anonymous]

Hi!
Zwei Möglichkeiten:

1.) Der Prozess hängt selbst (als daemon) in der Prozessliste. Killen und nochmal probieren.
2.) Ã?berprüfe mit lsattr /usr/bin/ps die Datei und setze ggf. den Schreibschutz zurück

Ich hatte auch diverse Angriffe/Hacks miterleben können. Teste am besten mal auf einen offenen UDP Port 3049 (nähere Info's hier: http://www.viruslibrary.com/virusinfo/L ... F.8759.htm)

[captaincrunch]

Ã?berprüfe mit lsattr /usr/bin/ps die Datei und setze ggf. den Schreibschutz zurück

[x] Du hast den Hinweis weiter oben über kernelbasierte Rootkits nicht gelesen.

[arnee]

Zu den Kernel-basierten Rootkits: Verwendet ihr kstat zum Auffinden / Ã?berprüfen oder welche/s Programm/e setzt ihr ein?

[dodolin]

Zu den Kernel-basierten Rootkits: Verwendet ihr kstat zum Auffinden / Ã?berprüfen oder welche/s Programm/e setzt ihr ein?

Wenn es ein perfektes Rootkit dieser Art wäre, kann man das überhaupt nicht im laufenden System feststellen - zumindest nicht zuverlässig. Da hilft nur von einem bekannt sauberen Medium zu booten und dann mithilfe von Tools ala Tripwire oder AIDE Ã?nderungen an Systemdateien festzustellen.

[arnee]

Tja, wie oft ist ein solches Check empfehlenswert, wenn man immer erst zum RZ fahren muss? Alle 2 Wochen?

Dann stellt sich außerdem noch das Problem, welchen Zustand man als sicher annehmen soll? Ist ein System als "stabil, sicher" zu bezeichnen, wenn man nur die offiziellen Debian-Mirror im apt verwendet?

[dodolin]

Tja, wie oft ist ein solches Check empfehlenswert, wenn man immer erst zum RZ fahren muss? Alle 2 Wochen?

Wenn ich das System selbst konfiguriert und für "sicher genug" befunden habe, würde ich sowas nur dann machen, wenn sich Auffälligkeiten im Systemverhalten oder andere Verdachtsanzeichen erkennen lassen.

Dann stellt sich außerdem noch das Problem, welchen Zustand man als sicher annehmen soll?

Direkt nach der Neuinstallation + einspielen aller Updates. Noch BEVOR die Kiste ans Netz gehängt wird (optimalerweise).