RootForum Community

Schönen guten abend,

gerade lag eine eMail in meinem Postfach: Abgesendet wurde das von meinem cronjob, der nachts brac chkrootkit ausführt.

Prüfung der bach_history ergab, dass sie tatsächlich leer war.
Ich habe die eine Menge anderer Logs durchgeschaut und konnte nichts ungewöhnliches oder größere Lücken finden.
Der Server ist relativ wenig ausgelastet, dasher habe ich einen guten Ã?berblick was da so tatsächlich passiert.
Ich denke also nicht, dass da wirklich was schlimmes passiert ist, es ist kein erhöhter Traffic oder eine Spitze in Auslastung oder so aufgetraten.

Dennoch interessiert mich natürlich was da passiert ist... Ich habe gestern ein Update (Debian) durchgeführt, es gabe auch 2 neue Pakete aber mir will grad nicht einfallen was das war! Mift.

Hat jemand eine Idee wodurch das verursacht worden sein könnte oder wo ich noch speziell gucken könnte?

Danke,
stephan

Wird denn überhaupt was reingeschrieben?

Jau.
Mein syslogd läuft auch brav.
Nach einmal aus- und wieder einloggen stand wieder was drin.

Der cronjob läuft auch schon länger.

Ich beobachte das einfach weiter...

Legato wrote: Hat jemand eine Idee wodurch das verursacht worden sein könnte oder wo ich noch speziell gucken könnte?

rm /root/.bash_history && touch /root/.bash_history oder ähnliches ...

wenn du es nicht warst muss wohl jemand anders die Bash-history mit root-Rechten gelöscht haben. Vielleicht weil er was verbergen hat. Mich würde das aber ziehmlich nervös machen wenn die plötzlich leer ist obwohl ich die Konsole benutze.

Ja, klar,macht es auch.
Aber ich konnte sonst nichts feststellen.
Kein erhöhter Traffic, keine erhöhte Auslastung. Ich beobachte den Server eh recht gewissenhaft, und so lang mir nichts weiter auffällt lasse ich ihn auch in dem Zustand weiterlaufen.

Legato wrote:und so lang mir nichts weiter auffällt lasse ich ihn auch in dem Zustand weiterlaufen.

Also keine zeitnahen Updates? Woher kommt der doppelte Slash?

Hm, wie gesagt waren da am abend zuvor zwei pakete...
Habe mir dummerweise nicht gemerkt was das war, aber ich glaube nichts kritisches.

Der doppelte Slash war so in der Mail vom cron. Ich schätze mal das ist ganz normal, also Teil der Ausgabe von chkrootkit.

war der Update-Aufruf noch in der Bash-History?

Nein. Die war komplett leer :)

Hi,

habe genau das gleiche Problem: Die Datei ist bei mir auch leer, hat mir heute morgen chkrootkit gemeldet.

Aber rkhunter und chkrootkit sind sonst zufrieden mit meinem System.

Wenn ich als root etwas eingebe wird aber auch nichts in die Datei geschrieben. Woran könnte das denn liegen?

Transmitter wrote:Wenn ich als root etwas eingebe wird aber auch nichts in die Datei geschrieben. Woran könnte das denn liegen?

39 Stück in der History ..
Wenn ich mich auslogge und wieder einlogge stehen die Dinger auch wieder in der History.
Die Logfiles zeigen auch nichts besonderes. Muss ich jetzt arg beunruhigt sein? :(

Nein.

Wenn er /root/.bash_history nicht selbst geleert hat, sollte er sich schon Gedanken über eine Reinitialisierung machen...

Eine Ausgabeumleitung zur History war das nicht zufällig? müsste aber per Cron passiert sein!?

Ansonsten wäre es sehr interessant, zu wissen, wer die History gelöscht hat.

flo.

Ich habe mal mit der history rumgespielt, das ist aber sicher schon länger her als der letzte chkrootkit Durchlauf.
Kann die History nur durch echo > ~/.bash_history geleert werden, oder gibt es noch andere Möglichkeiten, die ich evtl. aus versehen eingegeben haben könnte?

Transmitter wrote:Kann die History nur durch echo > ~/.bash_history geleert werden

Ja.

Transmitter wrote:oder gibt es noch andere Möglichkeiten, die ich evtl. aus versehen eingegeben haben könnte?

Ja, z. B. `cat /dev/null > ~/.bash_history` und generell alles, was Ausgaben in ~/.bash_history umleitet und den Inhalt dabei überschreibt.

Es könnte natürlich auch ein kompromittiertes System vorliegen, wie Joe User angedeutet hat...

Gibt es evtl. einen Co-Admin, der das getan haben könnte?

Thorsten wrote:Gibt es evtl. einen Co-Admin, der das getan haben könnte?

Ich denke / hoffe nicht ;)

Egal was es war - imho wird die History erst beim Ausloggen in die Datei geschrieben, d.h. bei einem
steht in der .bash_history auch genau das und die letzte Session drin. Also müsste das Löschen in irgendeiner Form automatisiert vorkommen, was allerdings - unwissentlich geschehen - unwahrscheinlicher wäre als ein Bot, der den Rechner kompromittiert hat.

Hoffe, ich habe mich da nicht so wesentlich vertan und schreibe jetzt komplett Müll.

flo.

Tja, dann gibt es halt einen unbekannten Co-Admin ;)

Reinitialisierung!

@flo: Umgebungsvariablen kann man löschen (unset HISTFILE) oder ändern (HISTFILE=/dev/null) 8)

Was Du nicht sagst, Joe :-)

Dann zeig mir mal jemanden, der "unset" einfach so eingibt - hmm ... na klar, Moment, ich weiß, was Du meinen könntest - wenn er selber die Aufzeichnung der History beeinflusst hätte, würde er das wissen, IMHO schränkt das die Möglichkeiten auf einen Hack welcher Art auch immer ein, oder eben auf ein Versehen. Meiner Meinung nach eher der Hack ...

flo.

Ich denke auch es ist ein unerfahrener Hacker. Ansonsten hätte er zu allererst export HISTFILE="" eingegeben.

Ich denke er hat seine Spuren bemerkt, dann voller Panik das file geleert und dann die Variable HISTFILE manipuliert. Ansonsten wäre ja noch der Befehl zum Löschen zu finden.

chattr und die Option a sollte so einen Anfängerhacker schon vor eine Knobelaufgabe stellen :lol: