chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])

[wecki]

Hallo,

mein chkrootkit hat mir soeben für einen meiner Server folgende Meldung
via eMail zugesendet.
"eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456]) "

Wenn ich mir jetzt den Prozess 456 ansehe, finde ich folgendes:

"root 456 0.0 0.0 1524 476 ? Ss 18:29 0:00 /sbin/dhcpcd-bin -Y -H -D eth0"

Was ist das für ein Dienst?

Wenn ich ihn terminiere (mit "kill 456") verabschiedet sich mein SSHd und mein eth0 geht down.
Selbst der neustart des eth0 mittels ifconfig und dann der start des SSHd bringt nichts.

Muss ich mir jetzt gedanken machen?

in der log ist übrigens von einem "dhcpcd.exe" die Rede.... seit wann kann Linux die .exe?

[Joe User]

Da hat Dir ein netter Gast Deinen DHCP-Clienten ausgetauscht -> Reinitialisieren...

[chaosad]

DHCP client for automatically configuring IPv4 networking

Ich nehm mal an das ist kein Server oder?

[wecki]

Wie finde ich denn raus wo der nette Gast reinkahm und was er noch so alles gemacht hat?

Irgendwie find ich nix in den Logs und AIDE war noch nicht aktiv...

[wecki]

Doch, er ist ein Root-Server wieso?

[wecki]

Kann ich nicht den dhcp Clienten einfach weglassen? Der Server hat doch eine feste IP und dann müsste ich nurnoch den DHCP Clienten deinstallieren und der Sniffer wäre weg oder?

[Joe User]

Kann ich nicht den dhcp Clienten einfach weglassen? Der Server hat doch eine feste IP und dann müsste ich nurnoch den DHCP Clienten deinstallieren und der Sniffer wäre weg oder?

Nein. Nein. http://www.rootforum.org/faq/index.php? ... artlang=de

[andreask2]

Da hat Dir ein netter Gast Deinen DHCP-Clienten ausgetauscht -> Reinitialisieren...

Woraus kann man das eigentlich schließen? Einen "dhcp client daemon" haben wohl die meisten root-server. Für mich sieht die Zeile total normal aus (natürlich ist das auch das Ziel eines Angreifers). Jedenfalls müsste der Angreifer ja root geworden sein, und hat chrootkit nicht deaktiviert.

In meinen Augen spricht die Tatsache, dass das Netzwerk ohne diesen dhcpcd nicht funktioniert eher dafür, dass das Programm tatsächlich das ist, wofür es sich ausgibt.

@wecki: Hat chrootkit den Dienst denn bisher akzeptiert?

[wecki]

chkrootkit gibt dies weiterhin als Sniffer aus...

ich bin mir da ernsthaft unsicher....

Auf meinen anderen, nicht Komprometierten Servern wird es aber nicht von chkrootkit ausgewiesen...

nebenbei: Da läuft es laut ps aux auch garnicht

Ich konnte aber feststellen, das ein bestimmter Server mit einer festen IP mehrere versuche ausgeführt hat auf den Server zuzugreifen...

Er wurde immer von der Firewall Rejectet und FTP hat root auch nicht zugelssen...

Des spricht doch dafür, das die Angriffe von dort kahmen oder?

[andreask2]

chkrootkit gibt dies weiterhin als Sniffer aus...

Die Frage die ich mir stelle lautet - ob chkrootkit auf diesem Server bei bestehender Internetverbindung auch schonmal ohne diese Meldung durchgelaufen ist.

ich bin mir da ernsthaft unsicher....

Das wäre ich auch ;-)

Auf meinen anderen, nicht Komprometierten Servern wird es aber nicht von chkrootkit ausgewiesen...

Sind die anderen Server denn beim gleichen Provider, mit gleicher Distribution, vergleichbarer Netzwerk-Config... (z.B. "dhcp" vs. "feste IP")?

nebenbei: Da läuft es laut ps aux auch garnicht

dhcpcd braucht man auch nur wenn man die IP per DHCP bezieht, bei Root-Servern allerdings keine Seltenheit.

Ich konnte aber feststellen, das ein bestimmter Server mit einer festen IP mehrere versuche ausgeführt hat auf den Server zuzugreifen...

Und welche IP ist das? Nicht zufälligerweise der DHCP-Server Deines Providers?

...und FTP hat root auch nicht zugelssen...

was meinst Du damit?

Des spricht doch dafür, das die Angriffe von dort kahmen oder?

wenn es denn Angriffe sind. Aber das kann und will ich nicht wirklich ausschließen...

[chaosad]

Wie beziehst du denn nun deine IP? Falls nicht über dhcpcd dann hat dieser ja auch nix drauf verloren.

Lass doch mal rkhnter laufen, mal schaun was der so findet

[wecki]

Also, ich habe keinen "nicht kompromitierten" Server beim selben Anbieter. Also auch keine vergleichbare Konfig.

Der "nicht kompromitierten" Server bekommt seine IP-Adresse nicht zugewiesen. Diese ist dort fest.

Die "kompromitierten" Server erhalten diese alle per DHCP.

Wie ist es denn bei anderen (vielleicht ist hier ja einer) der nen rooty bei Stra*** hat?

Läuft da chkrootkit so durch?

Ich meine nämlich des wäre am Anfang nicht gewesen, kann es aber nicht zu 100% sagen...

[Joe User]

Da hat Dir ein netter Gast Deinen DHCP-Clienten ausgetauscht -> Reinitialisieren...

Woraus kann man das eigentlich schließen?

Erstes Post, letzter Satz:

in der log ist übrigens von einem "dhcpcd.exe" die Rede

[wecki]

Hat mal irgendwer auf seinem Strato den chkrootkit mal durchlaufen lassen?

Sagt der da das Selbe?

[jeti-power]

Hat mal irgendwer auf seinem Strato den chkrootkit mal durchlaufen lassen?

Sagt der da das Selbe?

Hi,

ja und ja :-)

Oben wurde ja schon bereits geschrieen, dass viele Anbieter gerne die IPs per DHCP zuteilen und genau das macht Strato auch. Einwenig Googlen hätte dir auch gezeigt, dass die Software sehr oft den dhcp-client als Paket-Sniffer erkennt.

Code: Select all

Von daher *kann* diese Meldung normal sein:
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient)
eth0:1: PF_PACKET(/sbin/dhclient)

Aber natürlich kann dir keiner garantieren, dass der dhcp-Client nicht doch getauscht wurde.

Wahrscheinlich wirst du noch sogar feststellen, die Software öfters mal Warnungen ausspuckt, die bei näherer Betrachtung keine sind:

Code: Select all

Checking `scalper'... warning, got duplicate tcp line.
...
Checking `lkm'... You have   xxx process hidden for readdir command
You have   xxx process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
...
Checking `bindshell'... INFECTED (PORTS:  31337)

Gerade letzteres ist sehr beliebt nach der Installation von psyncBNC ;-)

Es bringt die beste Software leider nichts, wenn man deren Ausgabe nicht "lesen" kann. Wobei das Zeugs eigentlich bei chkrootkit eigentlich sehr gut Dokumentiert ist im Internet.

Gruss,
jeti-power