Hat jemand das chkrootkit Tool im Einsatz? Hatte die letzten Tage Probleme mit DOS Attacken über meinen Server. Konnte die Ursache finden und beseitigen (Jooomla CMS Modul).
Ich möchte nun trotzdem den Server neu aufsetzen weil noch Suse 9.0 draufläuft - will aber bevor ich die Webs auf dem neuen System einsetze sicher sein das da nicht noch irgend etwas drauf ist.
Habe das hier gefunden:
http://www.chkrootkit.com/
chkrootkit ?
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: chkrootkit ?
Ähm, hast du schonmal die pstools verwendet?
Re: chkrootkit ?
Was war denn jetzt die Frage?
Ja.Hat jemand das chkrootkit Tool im Einsatz?
Re: chkrootkit ?
Wenn Du eh neu aufsetzt (also plattmachst neues OS aufspielst.. warum dann noch chkrootkit? Selbnst wenn Du was findest.. nach dem aufsetzen ist alles weg.
Nicht ganz
Wenn ich die alten Webs aber wieder draufsetze - könnte es doch sein dass in irgendeinem Script noch was drin ist ...
Deswegen wollte ich so sicher wie möglich gehen - lohnt sich die Mühe das chkrootkit zu installieren und ist das überhaupt zuverlässlich?
Deswegen wollte ich so sicher wie möglich gehen - lohnt sich die Mühe das chkrootkit zu installieren und ist das überhaupt zuverlässlich?
Re: chkrootkit ?
Auf der chkrootkit-HP steht:
Es schaut aber sicherlich nicht deine Webs durch und sucht nach unsicheren PHP-Skripten ;)
* chkrootkit: shell script that checks system binaries for rootkit modification.
* ifpromisc.c: checks if the interface is in promiscuous mode.
* chklastlog.c: checks for lastlog deletions.
* chkwtmp.c: checks for wtmp deletions.
* check_wtmpx.c: checks for wtmpx deletions. (Solaris only)
* chkproc.c: checks for signs of LKM trojans.
* chkdirs.c: checks for signs of LKM trojans.
* strings.c: quick and dirty strings replacement.
* chkutmp.c: checks for utmp deletions.
Re: chkrootkit ?
Unsichere PHP Scripte meine ich ja nicht (habe ich entfernt), sondern infizierte Scripts ... in den Webs.
Re: chkrootkit ?
Auch die wird es nicht finden, chkrootkit findet wie rkhunter nur die auswirkungen (Komische Prozesse, Gefakte Prozesse, Module, offene Ports), aber nie die Scripte von denen sie ausgehen!
Re: chkrootkit ?
O.K. verstanden. Ich kann dann nur selbst alles checken ... um sicher zu gehen.
Und die Webs offline auf einem Win System scannen bringt wohl auch nix ... oder gibt es Scanner die sowas prüfen können? Ist ziemlich aufwendig alles manuell zu checken ...
Und die Webs offline auf einem Win System scannen bringt wohl auch nix ... oder gibt es Scanner die sowas prüfen können? Ist ziemlich aufwendig alles manuell zu checken ...
Re: chkrootkit ?
Nein, gibt es nicht. Haste den viele selbstgeschriebene oder Standart-Scripte im Einsatz?
Re: chkrootkit ?
Hab ne grosse Online Auktion drauf laufen und Oscommerce. Die anderen Sachen sind von mir. Bis gestern war halt noch Joomla drauf, die Module von 3 Anbietern haben da das Problem ausgelöst.
Ich checke soweit es geht seit gestern schon ducrh, Joomla ist runter und die DOS Attacken haben aufgehört, d.h. auch keine Sperre mehr. Das ganze ist schon sehr nervig, ich hatte über 3 jahre keine Probleme - bis Joomla drauf war.
Ich checke soweit es geht seit gestern schon ducrh, Joomla ist runter und die DOS Attacken haben aufgehört, d.h. auch keine Sperre mehr. Das ganze ist schon sehr nervig, ich hatte über 3 jahre keine Probleme - bis Joomla drauf war.
chkrootkit
Das Teil hat mir ja keine Ruhe gelassen - hab nun mal chkrootkit installiert und einen kompletten Check gemacht > nichts wurde gefunden. Ist aber gar nicht so schlecht das Teil, werde ich demnächst jedenfalls per cron einsetzen.
-
khark
Re: chkrootkit ?
Es gibt auch noch rkhunter mit dem man nach Rootkits scannen kann.
http://www.rootkit.nl/
http://www.rootkit.nl/
Re: chkrootkit ?
Danke. rkhunter gefällt mir noch besser, gibt auch Warnungen raus bei möglichen Schwachstellen.Khark wrote:Es gibt auch noch rkhunter mit dem man nach Rootkits scannen kann.
http://www.rootkit.nl/
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: chkrootkit ?
Nutz am besten beides, is auf jeden Fall nicht verkehrt.
Und infizierte Scripte findet man schwer, aber wenn du nach sachen wie exec, system etc. durch die PHP Dateien grepst, dürfte das zum erfolg führen. In zukunft solltest du dir am besten md5 oder sha1 Hashes anlegen, das erstpart dir Stunden an arbeit.
Und infizierte Scripte findet man schwer, aber wenn du nach sachen wie exec, system etc. durch die PHP Dateien grepst, dürfte das zum erfolg führen. In zukunft solltest du dir am besten md5 oder sha1 Hashes anlegen, das erstpart dir Stunden an arbeit.
Re: Nicht ganz
Hallo,
Die false Positives erfährt man am einfachsten, indem man chkrootkit direkt nach der Neuinstallation laufen läßt, dabei davon ausgeht, daß die Neuinstallation sauber ist und folglich alles was chkrootkit trotzdem findet eine Fehlmeldung ist.
False Negatives gibt es schon deswegen, weil ein Einbrecher mit erobertem Rootzugang Dein System so manipulieren kann (Compiler, Shell), daß chkrootkit falsch anzeigt.
Ein Rootkit ist Software, mit der man einen einmal eroberten Rootzugang für weitere Nutzung offenhält, insbesondere auch dann, wenn das Rootpasswort geändert wurde. Es ist nicht geeignet, um sich erstmals Rootzugang zu verschaffen und es ist auch nicht geeignet, sich erstmals einen eingeschränkten Zugang zu verschaffen.
Standardablauf eines Volleinbruchs:
1) eingeschränkte Userrechte erobern
2) diese auf Rootrechte erweitern
3) Rootzugang für spätere Nutzung sichern
Chkrootkit versucht (3) zu erkennen, unsichere PHP-Scripts sind (1), hat also überhaupt nichts miteinander zu tun.
(2) erfolgt häufig über veralteten Kernel oder falsch gesetzte Rechte.
Gruß, Wolfgang
ja, aber nicht mehr in Deinem Fall (weil Du ohnehin Neuinstallieren willst/mußt).fulltilt wrote:lohnt sich die Mühe das chkrootkit zu installieren
nein, bringt false Positives und false Negatives.und ist das überhaupt zuverlässlich?
Die false Positives erfährt man am einfachsten, indem man chkrootkit direkt nach der Neuinstallation laufen läßt, dabei davon ausgeht, daß die Neuinstallation sauber ist und folglich alles was chkrootkit trotzdem findet eine Fehlmeldung ist.
False Negatives gibt es schon deswegen, weil ein Einbrecher mit erobertem Rootzugang Dein System so manipulieren kann (Compiler, Shell), daß chkrootkit falsch anzeigt.
Ein Rootkit ist Software, mit der man einen einmal eroberten Rootzugang für weitere Nutzung offenhält, insbesondere auch dann, wenn das Rootpasswort geändert wurde. Es ist nicht geeignet, um sich erstmals Rootzugang zu verschaffen und es ist auch nicht geeignet, sich erstmals einen eingeschränkten Zugang zu verschaffen.
Standardablauf eines Volleinbruchs:
1) eingeschränkte Userrechte erobern
2) diese auf Rootrechte erweitern
3) Rootzugang für spätere Nutzung sichern
Chkrootkit versucht (3) zu erkennen, unsichere PHP-Scripts sind (1), hat also überhaupt nichts miteinander zu tun.
(2) erfolgt häufig über veralteten Kernel oder falsch gesetzte Rechte.
Gruß, Wolfgang
Re: chkrootkit ?
obacht: rkhunter hat das problem, das er nur nach der version eines programms schaut, d.h. bei einer distribution wie suse, die bei gleicher versionsnummer nur das loch patcht, kriegt man falsche meldungen.fulltilt wrote: Danke. rkhunter gefällt mir noch besser, gibt auch Warnungen raus bei möglichen Schwachstellen.