Nen Kollege meinte auf meinen Rechner ist suck-it installiert.
Jetzt hab ich 2 Fragen ;)
1. Wie kann ich feststellen ob es stimmt ?
2. Wie kann ich es ggfalls loswerden ?
3. Was kann es schlimmstenfalls anstellen ?
Danke schonmal =)
Suck-It / Backdoor installiert ?
Re: Suck-It / Backdoor installiert ?
überprüfe das mal mit http://www.chkrootkit.org/
ansonsten scheint da ne anleitung wie man ihn wegbekommt:
http://www.mail-archive.com/debian-user ... 43575.html
ansonsten scheint da ne anleitung wie man ihn wegbekommt:
http://www.mail-archive.com/debian-user ... 43575.html
Re: Suck-It / Backdoor installiert ?
Hm, danke erstmal.
chkrootkit hat angeblich nix gefunden
Searching for Suckit rootkit ... nothing found
Bloss wenn ich über SSH (SSH-1.5-?) auf Port 8095 connecte, kann ich ganz normal einloggen, bloss bekomm ich dann die Meldung ".:[: fuckZ own j00 arse :]:.
".
Gibts irgendwo ne Anleitung wie man das ganze bei SuSe los wird ?
chkrootkit hat angeblich nix gefunden
Searching for Suckit rootkit ... nothing found
Bloss wenn ich über SSH (SSH-1.5-?) auf Port 8095 connecte, kann ich ganz normal einloggen, bloss bekomm ich dann die Meldung ".:[: fuckZ own j00 arse :]:.
".
Gibts irgendwo ne Anleitung wie man das ganze bei SuSe los wird ?
Re: Suck-It / Backdoor installiert ?
also grundsätzlich is das system auf dem das teil läuft egal sollte auch dann auf dem selben weg entfernbar sein.
allerdings können die leute die das bei dir installiert haben ja auch woanders verstecken.
kannst ja mal mit
lsof | grep LISTEN
gucken ob du da was findest.
also wenn du nicht irgendwie mit z.b. tripwire deine files auf änderungen überprüfst, können die noch einiges mehr in deinem system versteckt haben was du so vielleicht nie findest. :(
IMHO is da nen sauberer reinstall am sichersten.
[/code]
allerdings können die leute die das bei dir installiert haben ja auch woanders verstecken.
kannst ja mal mit
lsof | grep LISTEN
gucken ob du da was findest.
also wenn du nicht irgendwie mit z.b. tripwire deine files auf änderungen überprüfst, können die noch einiges mehr in deinem system versteckt haben was du so vielleicht nie findest. :(
IMHO is da nen sauberer reinstall am sichersten.
[/code]
-
alexander newald
- Posts: 1117
- Joined: 2002-09-27 00:54
- Location: Hannover
- Contact:
Re: Suck-It / Backdoor installiert ?
Hi, wenn dein Server schon auf einem Port antwortet, auf dem er nicht sollte und du sicher bist, das nicht selber installiert zu haben, solltest du den Server in den Rescue Modus fahren!!!
Wenn man erstmal auf der Kiste ist (und root geworden ist) dann kann man so ziemlich alles verheimlichen und ändern, was man möchte - inkl. lsof, ls, ps Ausgaben, Einträge in /proc und sogar geladene Module!
Allerdings sollte man, bevor man den Server platt macht erstmal schauen, ob wirklich jeman root geworden ist. Bei Ports > 1024 kann jeder, der als normaler Benutzer sich einloggen kann auf diese Ports Serverdienste setzen. Ausserdem sollte man den Server sichern, damit man im Streifall nachweisen kann, dass man es nicht selber war.
Auch hier gilt. Erstmal tief durchatmen und dann weiterschauen.
Wenn man erstmal auf der Kiste ist (und root geworden ist) dann kann man so ziemlich alles verheimlichen und ändern, was man möchte - inkl. lsof, ls, ps Ausgaben, Einträge in /proc und sogar geladene Module!
Allerdings sollte man, bevor man den Server platt macht erstmal schauen, ob wirklich jeman root geworden ist. Bei Ports > 1024 kann jeder, der als normaler Benutzer sich einloggen kann auf diese Ports Serverdienste setzen. Ausserdem sollte man den Server sichern, damit man im Streifall nachweisen kann, dass man es nicht selber war.
Auch hier gilt. Erstmal tief durchatmen und dann weiterschauen.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Suck-It / Backdoor installiert ?
Ich kann mich hier nur anschließen : Bei (nachgewiesenen) Backdoors ist eine komplette Neuinstallation grundsätzlich die beste Alternative.
Ein ganz netter Artikel dazu : http://www.soohrt.org/stuff/linux/suckit/
Ein ganz netter Artikel dazu : http://www.soohrt.org/stuff/linux/suckit/
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc