RootForum Community

Hallo Leute,

leider hat ein scriptkiddy einer unserer cluster-server geentert.
wie er reinkamm weiss ich nicht, die logs waren alle weg und diverse programme getaucht.

folgende tools waren getauscht worden: ls, who, last, find, ps und pstree
andere konnte ich bis jetzt nicht ausfindig machen. zudem wurden noch ein paar index seiten getauscht aber kommischerweisse nur 3 pages... chkrootkid meldet "Checking `ifconfig'... INFECTED" die anderen brachte ich lokal raus. allerdings scheint ifconfig nicht futsch zu sein.... wiederrum, wenn ich nach dateien suche (natürlich mit dem neuinstallieren find) die in den letzen 2 tagen gemodded wurden taucht auf "./ifconfig" in der liste auf.


folgende index pages fand ich auf dem cluster

ich habe mir die betroffenen packete neuinstalliert und sehe jetzt mit dem neuen pstree das ein prozess namens "sdb" läuft, hab auf den anderen servern geguckt, dorf läuft dieser prozess nicht.

mit google fand ich nichts schlaues raus, wenn ich das kommando starte kommt folgendes:
ich vermutte das progi ist ein backdoor das ssh startet und wartet bis das kiddy wieder kommt....

momentan bin ich gerade am backupen, ich mach den server morgen flach, leider kann ich ihn nicht sofort vom netz nehmen

BTW: ist ein debian system mit kernel vom april 03 (noch vom vorgänger)

ich habe jetzt doch noch spuren in den apache logs gefunden, das kiddy hat vermutlich die ip 24.46.111.81 benutzt

Hm...

dann würd ich mal den ganzen Usern da drauf mitteilen, dass sie ihre Passwörter ändern sollen.
(ALLE!)...

Ausserdem die Daten checken und prüfen, ob ihnen was verloren ging / was wichtiges dabei war, dass Sie unbedingt schützen müssen.

Und danach vielleicht einen fähigen Mann einstellen, der Scriptkiddies abwehren kann.

Gruss,

Out

space wrote:ich mach den server morgen flach, leider kann ich ihn nicht sofort vom netz nehmen

Das Du Dich durch den Weiterbetrieb gegebenenfalls Strafbar machst, ist Dir bewusst?

space wrote:BTW: ist ein debian system mit kernel vom april 03 (noch vom vorgänger)

Bitte? Man sollte jedes Bugtraq-Post ausdrucken und Dir kräftig um die Ohren hauen...

space wrote:ich habe jetzt doch noch spuren in den apache logs gefunden, das kiddy hat vermutlich die ip 24.46.111.81 und win98 *lol* benutzt

Garantiert nicht.

Nachtrag:

---> opfersrv:/usr/bin# ldb -V <----

[ ] Seil
[ ] Pistole
[ ] Gift
[ ] Strom


such dir eines aus.

scnr,

Out

Danke für die Antworten...

die user accounts sind momentan alle dicht, neue passwörter fürs neue system wurden bereits vergeben.

ich habe blöderweisse keine checksummen der system dateien, werde ich mir ebenfalls zulegen, man lernt nie aus....
am datenbestand wurde fast nix gemacht, total 4 dateien getauscht (ohne system binarys), hab bereits ich vom backup server restored

Joe User wrote: Das Du Dich durch den Weiterbetrieb gegebenenfalls Strafbar machst, ist Dir bewusst?

ja, es ist allerdings nicht meine kiste, sondern die vom arbeitgeber und ich mach was befohlen wurde... ich hätte ihn vom netz genommen aber mir sind die hände gebunden...

Joe User wrote: Bitte? Man sollte jedes Bugtraq-Post ausdrucken und Dir kräftig um die Ohren hauen...

stimmt, du hast recht.... ich habe allerdings draus gelernt und allen rechnern einen frisch kompilierten kernel spendiert

OutOfBound wrote:Nachtrag:

---> opfersrv:/usr/bin# ldb -V <----

[ ] Seil
[ ] Pistole
[ ] Gift
[ ] Strom


such dir eines aus.

scnr,

Out

hmmm du machst mir mut.... entweder bin ich zu blöd oder hab falsch gesucht, ich weiss noch immer nicht was ldb genau ist, ev. finde ichs ja noch raus

du brauchst gar nicht wissen was es ist. Ein gecracketes System kann nicht repariert werden sondern muss neu aufgesetzt werden. Diesmal mit aktueller Software, die auch aktuell bzw. sicher gehalten werden sollte.

øxygen wrote:du brauchst gar nicht wissen was es ist. Ein gecracketes System kann nicht repariert werden sondern muss neu aufgesetzt werden. Diesmal mit aktueller Software, die auch aktuell bzw. sicher gehalten werden sollte.

nunja ich möchte gerne wissen was da drauf ist um rauszufinden wie es wohl reingekommen ist und was es genau macht bzw. machte. das system wird in 2 stunden platt gemacht, wenn ich das ok bekomme

space wrote:

Joe User wrote:Das Du Dich durch den Weiterbetrieb gegebenenfalls Strafbar machst, ist Dir bewusst?

ja, es ist allerdings nicht meine kiste, sondern die vom arbeitgeber und ich mach was befohlen wurde... ich hätte ihn vom netz genommen aber mir sind die hände gebunden...

Kündigen! BTW: Auch Beihilfe ist Strafbar...

Joe User wrote:Kündigen! BTW: Auch Beihilfe ist Strafbar...

Jetzt übertreib' nicht. IANAL, aber auch mir ist bekannt, dass es bestimmte Umstände gibt unter denen auch an sich rechtswidriges Handeln zumindest in Teilen ungeahndet bleibt.

dea wrote:

Joe User wrote:Kündigen! BTW: Auch Beihilfe ist Strafbar...

Jetzt übertreib' nicht. IANAL, aber auch mir ist bekannt, dass es bestimmte Umstände gibt unter denen auch an sich rechtswidriges Handeln zumindest in Teilen ungeahndet bleibt.

Wo kein Kläger...

Andererseits weiss Niemand welche Daten (Kinderpornos/Warez/Cracks/...) über den Server verbreitet wurden/werden.

Ebenfalls IANAL

Was jedoch immer noch nicht die Frage nach dem ldb beantowrtet ;)

olfi wrote:Was jedoch immer noch nicht die Frage nach dem ldb beantowrtet ;)

System sichern, lokales Jail/chroot aufsetzen, Netzwerkkabel ziehen, 'strings ldb', 'strace ldb', usw. usf. ... ;)

Joe User: Sicher hast Du recht, wenn Du Dich auf eventuelle illegale Inhalte beziehst, die ggf. noch von der Maschine verfügbar gestellt werden.

Andererseits sollte auch anerkannt werden, dass Arbeitnehmer die Kompetenzlage schnell sehr schwierig wird (hängt immer vom jeweiligen Arbeitsvertrag und weiteren betrieblichen Dokumenten ab). Angenommen, space ist "nur Operator" und verfügt nicht über die notwendigen Mittel zur Abschaltung der Maschine, oder es ist innerbetrieblich festgelegt, dass Entscheidungen/Anweisungen zur Außerbetriebnahme einer Maschine von Vorgesetzten getroffen werden und nicht von ihm, oder, oder, oder ...

Alles nicht so einfach :/

@space

Steht das betroffene System in folgender Liste?
http://www.zone-h.org/en/defacements/fi ... er=atomix/

@dea:

Da er das File wohl eh schon als root ausgeführt hat, kann er das eh vergessen.

Wäre allerdings interessant rauszufinden, wie die Backdoors aktiviert werden, vielleicht
ist ja was neues dabei. Ist mir zumindest in der Konfiguration, wie bisher beschrieben,
noch nicht untergekommen.

Kann allerdings immernoch ein Standard- Teil sein, und die 1337- HaxX0rs haben das Zeugs einfach umbenannt. ;)

Gruss,

Out

Joe User wrote:Kündigen! BTW: Auch Beihilfe ist Strafbar...

Was? Beihilfe zur Fahrlässigkeit? Entschuldige, aber jetzt redest du quatsch.

Gruß,
Nico

Das Problem ist, dass du erstmal nachweisen musst, dass du
nicht zu denen gehörst, und dass du das Opfer bist, wenn Sie
deine Sachen beschlagnahmen. ;)

IANAL


Out

1. falsch, 2. falscher Zusammenhang.

Das Gerät gehört dem Arbeitgeber welcher somit verantwortlich ist. Er sagt "Server bleibt am Netz", dann kann höchstens er wegen Fahrlässigkeit dran sein.
Des weiteren muss ich nicht beweisen etwas nicht getan zu haben, wenn ich im Verdacht stehe eine Straftat begangen zu haben. Das wäre ja nochmal schöner. Man muss mir beweisen, DASS ich sie begangen habe. Bis das geschehen ist bin ich unschuldig.

Gruß,
Nico

1. falsch, 2. falscher Zusammenhang.

1. richtig
2. Welcher Zusammenhang?

Das Gerät gehört dem Arbeitgeber welcher somit verantwortlich ist. Er sagt "Server bleibt am Netz", dann kann höchstens er wegen Fahrlässigkeit dran sein.

Wenn von der Kiste aus gehackt wird und das Opfer Anzeige gegen diese IP erstattet
wird das Teil gesichert, wenn der Verdacht begründet ist, und da es der Firma gehört,
werden auch die Kisten von denen dran sein, die damit zu tun haben. Dass du unschuldig
bist hindert niemanden daran, die Kisten zur Beweissicherung abzuholen. Und davon
mal abgesehen, was wird die Firmenführung bei so einem Vorwurf machen? Richtig, sie
schiebens auf die Admins ab, oder auf irgend jemand entbehrlichen. Und DANN ist
es DEIN Problem.

Im Angesichte so einer Möglichkeit wird so mancher Chef ganz schnell damit
einverstanden sein, dass du das Ding runter fährst, vor allem wenn man ihn
freundlich auf den Medienrummel hinweist. ;)

Des weiteren muss ich nicht beweisen etwas nicht getan zu haben, wenn ich im Verdacht stehe eine Straftat begangen zu haben. Das wäre ja nochmal schöner. Man muss mir beweisen, DASS ich sie begangen habe. Bis das geschehen ist bin ich unschuldig.

Und eben deswegen findet eine Hausdurchsuchung statt und deine HW wird beschlagnahmt.
Oder die des Arbeitgebers, oder wie auch immer, das ist für diese Konstellation unerheblich,
und dann halt auch noch die entsprechenden Heimrechner von verdächtigen Mitarbeitern,
meist Azubis oder ähnlich Junge Leute.

Wenn die dann nix finden kreigst du VIELLEICHT deine Kisten wieder.

IANAL, ich sehe nicht mal wie ein Anwalt aus.

Gruss,

Out

PS: Denke auch darüber nach, dass vielleicht einige Leute hier Erfahrungen mit solchen Fällen haben könnten.

Wenn von der Kiste aus gehackt wird und das Opfer Anzeige gegen diese IP erstattet wird das Teil gesichert, wenn der Verdacht begründet ist, und da es der Firma gehört, werden auch die Kisten von denen dran sein, die damit zu tun haben. Dass du unschuldig
bist hindert niemanden daran, die Kisten zur Beweissicherung abzuholen. Und davon mal abgesehen, was wird die Firmenführung bei so einem Vorwurf machen? Richtig, sie schiebens auf die Admins ab, oder auf irgend jemand entbehrlichen. Und DANN ist es DEIN Problem.

1. Teil: ACK. Dass das ausreicht um Privatrechner sicherzustellen wage ich zu bezweifeln.
Sicher *kann* die Geschäftsführung behaupten, der Admin habe in eigenem Ermessen gehandelt. Dann steht eben Aussage gegen Aussage wenn nicht eine Seite ausreichend Beweise liefern kann.

Im Angesichte so einer Möglichkeit wird so mancher Chef ganz schnell damit einverstanden sein, dass du das Ding runter fährst, vor allem wenn man ihn freundlich auf den Medienrummel hinweist. ;)

Dass das sinnvoll ist habe ich nie bestritten ;)

Und eben deswegen findet eine Hausdurchsuchung statt und deine HW wird beschlagnahmt. Oder die des Arbeitgebers, oder wie auch immer, das ist für diese Konstellation unerheblich, und dann halt auch noch die entsprechenden Heimrechner von verdächtigen Mitarbeitern,
meist Azubis oder ähnlich Junge Leute.

Beschlagnahmt wird nur bei Widerspruch. Im Regelfall ist das "nur" eine Sicherstellung. Bei Widerspruch zögert sich das Ganze ohne Nutzen nur noch weiter hinaus.

Wenn die dann nix finden kreigst du VIELLEICHT deine Kisten wieder.

Wenn die nix finden(auch keine Zufallsfunde, z.B. Urheberrechtsverletzungen) bekommst du ganz sicher die Geräte wieder. Mit welcher Begründung sollten die Geräte denn einbehalten werden? Dass die Behörden sich auf diesem Wege ganz gerne neue Geräte beschaffen ist kein Geheimnis, aber trotz meiner Verachtung gegen die deutschen Behörden können die zum Glück nicht immer machen was sie wollen. Dass die Sicherstellung ansich vermutlich das größte Problem ist(gerade bei einem Betrieb) ist ein ganz anderes Thema.

PS: Denke auch darüber nach, dass vielleicht einige Leute hier Erfahrungen mit solchen Fällen haben könnten.

Soso.. meinst du ich denk mir das alles aus? :)

Gruß,
Nico

1. Teil: ACK. Dass das ausreicht um Privatrechner sicherzustellen wage ich zu bezweifeln.
Sicher *kann* die Geschäftsführung behaupten, der Admin habe in eigenem Ermessen gehandelt. Dann steht eben Aussage gegen Aussage wenn nicht eine Seite ausreichend Beweise liefern kann.

Punkt ist halt, dass so oder so einiges mehr an Schaden verursacht wird, als das
jetztige Abschalten der Kiste. ;)

Beschlagnahmt wird nur bei Widerspruch. Im Regelfall ist das "nur" eine Sicherstellung. Bei Widerspruch zögert sich das Ganze ohne Nutzen nur noch weiter hinaus.

Kurz: Weg ist weg. Liebe Kinder haben viele Namen. ;)

Wenn die nix finden(auch keine Zufallsfunde, z.B. Urheberrechtsverletzungen) bekommst du ganz sicher die Geräte wieder. Mit welcher Begründung sollten die Geräte denn einbehalten werden?

Theorie und Praxis. ;)

Dass die Behörden sich auf diesem Wege ganz gerne neue Geräte beschaffen ist kein Geheimnis, aber trotz meiner Verachtung gegen die deutschen Behörden können die zum Glück nicht immer machen was sie wollen. Dass die Sicherstellung ansich vermutlich das größte Problem ist(gerade bei einem Betrieb) ist ein ganz anderes Thema.

Vielleicht hätte ich das anders formulieren sollen:
Vielleicht bekommst du die Geräte wieder solange Sie oder die Daten darauf noch einen
einigermaßen angemessenen Wert haben. (PC ein Jahr lang weg ist keine Seltenheit) ;)

Soso.. meinst du ich denk mir das alles aus? :)

Nö, aber ich versuche meine Formulierungen neutral zu halten, da wir ja schliesslich
über das Problem Dritter reden. ;)


Gruss,

Out

Wobei sich auch die Frage stellt, in welchem Zustand man die Geräte wiederbekommt... ich will nicht die Kompetenz der Polizei in frage stellen, aber ich möchte die Gesichter der "Spezialisten" sehen, wenn auf meinem Rechner Gentoo mit cryptofs verschlüsseltem /home startet. Ich kann mir gut vorstellen das mögliche "Wiederherstellungsversuch" nicht gut enden.

Wenn du die Kompetenz nicht in Frage stellen möchtest, ich tu das gerne. Deren "IT-Profis" sind im wesentlichen Flaschen. Hier und da gibt es sicher ein paar Ausnahmen.
Zumindest bei Materialschaden hast du Anspruch auf Schadenersatz. Wenn Daten beschädigt sind möchte ich mich jetzt mal nicht festlegen, kann ja mal jemand überprüfen wenn es interessiert.

Gruß,
Nico

Da es ja hier ohnehin schon komplett OT ist:

Deren "IT-Profis" sind im wesentlichen Flaschen. Hier und da gibt es sicher ein paar Ausnahmen.

Woher beziehst du diese Information und vor allem: wie alt ist sie? IMHO vertust du dich dort (zum großen Teil) ganz schön...

Nico82 wrote:Dass das ausreicht um Privatrechner sicherzustellen wage ich zu bezweifeln.

Beweismittelsicherung, da Gefahr im Verzug...

Die Pressemeldungen bezüglich Filmkopien, Filesharing, etc der letzten Wochen hast Du verfolgt?