Vorgehensweise bei gecracktem Server (hoher Traffik usw.)

[floschi]

Hi !

Aus den bisherigen Erfahrungen entstand in einem anderen Thread mal ein kurzer Leitfaden mit einigen sehr wichtigen Punkten für den Fall der Fälle, den ihr hier nachlesen könnt:

http://www.rootforum.org/faq/index.php? ... 012&id=104


Verbesserungen sind hier natürlich immer willkommen ;)


Grüßle

Olfi

[captaincrunch]

Zwar nicht unbedingt Verbesserungen, aber dafür Verfeinerungen des ganzen sind im Anmarsch. Ich hatte ja schon vor längerer Zeit angekündigt, da auch mal ein wenig dazu zu schreiben, und das ganze geht langsam aber sicher voran ...

[[tom]]

Klasse, dass Du den Thread eröffnet hast @olfi. Wollt ich vorhin auch schon machen, aber bin im Moment nicht gerade sehr Fit und dementsprechend lustlos. :-(

[TOM]

[dodolin]

Zum Thema: http://www.iks-jena.de/mitarb/lutz/usen ... ml#Angriff
Beschreibt das Vorgehen bei gecracktem Server sehr allgemein. Soweit ich das Howto überflogen habe, ist die dort beschriebene Vorgehensweise mit Lutz' FAQ identisch und etwas ausführlicher mit den Spezifika der Schlund-Rootserver beschrieben.

[phantom]

Und vielleicht auch noch eine Verbesserung von mir, die mich hier im Forum immer schon ziemlich nervt:

"Traffic" wird "Traffic" geschrieben und nicht anders. Ein deutsches Wort wäre Datentransfervolumen. Aber bitte bitte nicht dieses Unwort mit "k".

[captaincrunch]

Einen Verbesserungsvorchlag hätte ich dann doch auch noch :

Ausgehend von der Tatsache, dass viele Rootkits das ps-Binary austauschen, um die Aktivitäten des Kits zu "vertuschen" (genauer gesagt : damit man den (bzw. die) Prozess(e) nicht sieht, lässt sich das /proc-Filesystem recht gut dazu gebrauchen, "versteckte" Prozesse aufzuspüren.

Dazu hier ein kleiner Einzeiler, der die Anzahl der Prozesse aus /proc, und die Anzahl der von ps gemeldeten Prozesse ausgibt :

Code: Select all

ls -d /proc/* | grep [0-9] | wc -l; ps ax | wc -l

Beide Zahlen sollten auf jeden Fall übereinstimmen. Falls sie es nicht tun sollten, führt man das Kommando erst einmal innerhalb einer Zeitspanne von ca. 1 Minute ein paar Mal hintereinander aus, da es theoretisch möglich ist, dass in dem Moment, in dem ein Teil läuft, gerade ein anderer Prozess läuft.
Sollte sich die Anzahl über einen längeren Zeitraum unterscheiden, ist es sehr wahrscheinlich, dass man sich einen solchen Schädling eingefangen hat.

EDIT : Wäre das ganze einen Eintarg in die FAQ wert ?

[Anonymous]

Hallo CaptainCrunch,
schöne Zeile, habe ich gleich getestet und auf meiner Debiankiste sind die Werte exakt gleich, auf meinem SuSE-router liefert ps ax aber immer exakt 2 Prozesse mehr. Bin jetzt etwas verwirrt. Habe ich ein rootkit, daß sich nur im Procsystem versteckt??

Viele Grüße

Guido

[lufthansen]

141
102

hmm bei mir sind die deutlich unterscheidlich
ich habe den gr security patsch drin kann das damit was zu tun haben ?

[captaincrunch]

hmm bei mir sind die deutlich unterscheidlich
ich habe den gr security patsch drin kann das damit was zu tun haben ?

Pauschal lässt sich das sicherlich nicht beantworten. Mich wundert ohnehin, dass so viele dieses Problem haben. Welche Distri hast du / habt ihr ?

[lufthansen]

debian w00dy

[captaincrunch]

u.U. schlägt das grep nicht zu. Poste mal (einen Link) auf die Ausgaben von
ls -d /proc/* | grep [0-9] und
ps ax

[lufthansen]

http://217.160.140.161/ls.txt
http://217.160.140.161/ps.txt

[captaincrunch]

Mal ganz davon abgesehen, dass beim ls -d ziemlich wirre Steuerzeichen enthalten sind, haben wir den "Ã?beltäter" jetzt wohl :
Das grep scheint wirklich nicht zuzuschlagen, da noch sämtliche "normalen" Dateien, die nur sekundär etwas mit den laufenden Prozessen zu tun haben mit aufgelistet werden, wobei eigentlich nur die Directories angezeigt werden sollen, die Zahlen enthalten (das sind die Directories, die Informationen zu den laufenden Prozessen enthalten).

Habt ihr die Zeile per Cut&Paste rüberkopiert, oder die Sachen händisch eingetippert, und irgendwas vergessen ?

[lufthansen]

c&p
hmmkann es sein das die debian grep syntax anders ist oder so ?

[captaincrunch]

Nö ... auf sämtlichen von mir getesteten Systemen (sowohl Debian als auch RedHat) klappt das ganze problemlos ... keine Ahnung, warum das bei euch nicht läuft.

[Anonymous]

Hallo Ihr,
ich habe das ganze jetzt noch reichlich getestet, es kommt zu 99% immer das gleiche raus.
50
52
ganz selten sind sie gleich, ist aber auch schon vorgekommen, daß 50, 53 rauskam.
Ohne den Wordcount liefert /proc auch nur PIDs. Ich denke mal es liegt an SuSE und vielleicht daran, daß 64 MB RAM für den 133-er mit postfix, amavis, spamassassin, iptables, squid und minütlichem fetchmail doch ein wenig viel sind. Es liegen immer ca 35MB im swap. Der Proz reicht sicher aus, nur der RAM halt nicht. Ich wüsste eigentlich auch nicht, wie da irgendein rootkit draufkommen sollte, von aussen kommt keiner dran und innen kann nur ich mich von meinem Rechner per ssh mit key einloggen.
Trotzdem danke für die Anregung.

Guido

[sacha]

Hi,

Code: Select all

ls -d /proc/* | grep [0-9] | wc -l; ps ax | wc -l

cool. Kann jemand ein bash/perl Script dazu schreiben, dass die Ergebnisse vergleicht und bei einer Differenz eine Mail an root schreibt?

Danke und Ciao,

Sacha

[captaincrunch]

Code: Select all

#/bin/sh
LSPROC=`ls -d /proc/* | grep [0-9] | wc -l`
PSPROC=`ps ax | wc -l`

if [ $LSPROC != $PSPROC ]; then
        echo "Check mal deine Prozese" | mail -s "Mit den Prozessen stimmt was nicht" root@localhost
fi

Mal kurz aus dem Kopf getippert, sollte aber gehen. Wenn du's noch ein wenig "ausführlicher" hättest, kann ich dir das auch gerne einbauen ...

[sacha]

super, vielen Dank. Werde ich gleich per CronJob reglemaessig laufen lassen.

btw. wo ist bei Debian der "richtige" Ort, um solche Wartungs/Ueberwachungsskripte abzulegen? Im home-Verzeichnis von root?

[dodolin]

Ich habe sowas immer in /root/bin.
Wenn es auch andere (!=root) benutzen können sollen, dann /usr/local/bin.

[sacha]

Hi,

seltsam, seitdem ich das Skript per Cronjob alle 15 Min. starte, bekomme ich auch prompt jedesmal ne Mail.

Code: Select all

#/bin/sh
LSPROC=`ls -d /proc/* | grep [0-9] | wc -l`
PSPROC=`ps ax | wc -l`

if [ $LSPROC != $PSPROC ]; then
        echo "$LSPROC $PSPROC Check mal deine Prozese" | mail -s "Mit den Prozessen stimmt was nicht" server@mydomain.net
fi

Wenn ich direkt danach

Code: Select all

ls -d /proc/* | grep [0-9] | wc -l; ps ax | wc -l

eingebe, dann bekomme ich die gleiche Anzahl von Prozessen. Stimmt mit dem Skript was nicht? Muss man die Variablen vielleicht vorher reseten?

Danke und Ciao,

Sacha

[sascha]

Was sagt denn die Mail? Dort müsste ja die Anzahl der Prozesse stehen...

[sacha]

das schwankt:

67 71
65 71
67 71
64 68
63 67
63 67
58 62
61 65

jeweils 15minuetiger Abstand.

Weitere Info:

ich lasse den Cronjob ueber den User wwwadmin laufen - also nicht ueber root.

[s20]

Hallo,

und evtl. bei allem dieses aktuelle Urteil beachten.
http://www.onlinekosten.de/news/artikel/11836


Gruß S20

[dodolin]

Ja. Ich wollte aber hierzu anmerken, dass gerade das OLG Düsseldorf in Sachen Internetrecht etc. eine äusserst zweifelhafte Rechtsauffassung hat. Es könnte durchaus sein, dass andere Gerichte das völlig anders sehen - was nicht das erste Mal so wäre.