Page 1 of 1
chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 18:37
by wecki
Hallo,
mein chkrootkit hat mir soeben für einen meiner Server folgende Meldung
via eMail zugesendet.
"eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456]) "
Wenn ich mir jetzt den Prozess 456 ansehe, finde ich folgendes:
"root 456 0.0 0.0 1524 476 ? Ss 18:29 0:00 /sbin/dhcpcd-bin -Y -H -D eth0"
Was ist das für ein Dienst?
Wenn ich ihn terminiere (mit "kill 456") verabschiedet sich mein SSHd und mein eth0 geht down.
Selbst der neustart des eth0 mittels ifconfig und dann der start des SSHd bringt nichts.
Muss ich mir jetzt gedanken machen?
in der log ist übrigens von einem "dhcpcd.exe" die Rede.... seit wann kann Linux die .exe?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 18:40
by Joe User
Da hat Dir ein netter Gast Deinen DHCP-Clienten ausgetauscht -> Reinitialisieren...
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 18:41
by chaosad
DHCP client for automatically configuring IPv4 networking
Ich nehm mal an das ist kein Server oder?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 18:41
by wecki
Wie finde ich denn raus wo der nette Gast reinkahm und was er noch so alles gemacht hat?
Irgendwie find ich nix in den Logs und AIDE war noch nicht aktiv...
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 18:45
by wecki
Doch, er ist ein Root-Server wieso?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 19:22
by wecki
Kann ich nicht den dhcp Clienten einfach weglassen? Der Server hat doch eine feste IP und dann müsste ich nurnoch den DHCP Clienten deinstallieren und der Sniffer wäre weg oder?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 19:24
by Joe User
wecki wrote:Kann ich nicht den dhcp Clienten einfach weglassen? Der Server hat doch eine feste IP und dann müsste ich nurnoch den DHCP Clienten deinstallieren und der Sniffer wäre weg oder?
Nein. Nein.
http://www.rootforum.org/faq/index.php? ... artlang=de
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 21:16
by andreask2
Joe User wrote:Da hat Dir ein netter Gast Deinen DHCP-Clienten ausgetauscht -> Reinitialisieren...
Woraus kann man das eigentlich schließen? Einen "dhcp client daemon" haben wohl die meisten root-server. Für mich sieht die Zeile total normal aus (natürlich ist das auch das Ziel eines Angreifers). Jedenfalls müsste der Angreifer ja root geworden sein, und hat chrootkit nicht deaktiviert.
In meinen Augen spricht die Tatsache, dass das Netzwerk ohne diesen dhcpcd nicht funktioniert eher dafür, dass das Programm tatsächlich das ist, wofür es sich ausgibt.
@wecki: Hat chrootkit den Dienst denn bisher akzeptiert?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 21:47
by wecki
chkrootkit gibt dies weiterhin als Sniffer aus...
ich bin mir da ernsthaft unsicher....
Auf meinen anderen, nicht Komprometierten Servern wird es aber nicht von chkrootkit ausgewiesen...
nebenbei: Da läuft es laut ps aux auch garnicht
Ich konnte aber feststellen, das ein bestimmter Server mit einer festen IP mehrere versuche ausgeführt hat auf den Server zuzugreifen...
Er wurde immer von der Firewall Rejectet und FTP hat root auch nicht zugelssen...
Des spricht doch dafür, das die Angriffe von dort kahmen oder?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 22:06
by andreask2
wecki wrote:chkrootkit gibt dies weiterhin als Sniffer aus...
Die Frage die ich mir stelle lautet - ob chkrootkit auf diesem Server bei bestehender Internetverbindung auch schonmal ohne diese Meldung durchgelaufen ist.
wecki wrote:ich bin mir da ernsthaft unsicher....
Das wäre ich auch ;-)
wecki wrote:Auf meinen anderen, nicht Komprometierten Servern wird es aber nicht von chkrootkit ausgewiesen...
Sind die anderen Server denn beim gleichen Provider, mit gleicher Distribution, vergleichbarer Netzwerk-Config... (z.B. "dhcp" vs. "feste IP")?
wecki wrote:nebenbei: Da läuft es laut ps aux auch garnicht
dhcpcd braucht man auch nur wenn man die IP per DHCP bezieht, bei Root-Servern allerdings keine Seltenheit.
wecki wrote:Ich konnte aber feststellen, das ein bestimmter Server mit einer festen IP mehrere versuche ausgeführt hat auf den Server zuzugreifen...
Und welche IP ist das? Nicht zufälligerweise der DHCP-Server Deines Providers?
wecki wrote:...und FTP hat root auch nicht zugelssen...
was meinst Du damit?
wecki wrote:Des spricht doch dafür, das die Angriffe von dort kahmen oder?
wenn es denn Angriffe sind. Aber das kann und will ich nicht wirklich ausschließen...
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 22:15
by chaosad
Wie beziehst du denn nun deine IP? Falls nicht über dhcpcd dann hat dieser ja auch nix drauf verloren.
Lass doch mal rkhnter laufen, mal schaun was der so findet
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-16 22:32
by wecki
Also, ich habe keinen "nicht kompromitierten" Server beim selben Anbieter. Also auch keine vergleichbare Konfig.
Der "nicht kompromitierten" Server bekommt seine IP-Adresse nicht zugewiesen. Diese ist dort fest.
Die "kompromitierten" Server erhalten diese alle per DHCP.
Wie ist es denn bei anderen (vielleicht ist hier ja einer) der nen rooty bei Stra*** hat?
Läuft da chkrootkit so durch?
Ich meine nämlich des wäre am Anfang nicht gewesen, kann es aber nicht zu 100% sagen...
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-17 10:20
by Joe User
andreask2 wrote:Joe User wrote:Da hat Dir ein netter Gast Deinen DHCP-Clienten ausgetauscht -> Reinitialisieren...
Woraus kann man das eigentlich schließen?
Erstes Post, letzter Satz:
wecki wrote:in der log ist übrigens von einem "dhcpcd.exe" die Rede
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-18 18:18
by wecki
Hat mal irgendwer auf seinem Strato den chkrootkit mal durchlaufen lassen?
Sagt der da das Selbe?
Re: chkrootkit ermittelt: eth0 PACKET SNIFFER(/sbin/dhcpcd-bin[456])
Posted: 2005-11-20 12:53
by jeti-power
wecki wrote:Hat mal irgendwer auf seinem Strato den chkrootkit mal durchlaufen lassen?
Sagt der da das Selbe?
Hi,
ja und ja :-)
Oben wurde ja schon bereits geschrieen, dass viele Anbieter gerne die IPs per DHCP zuteilen und genau das macht Strato auch. Einwenig Googlen hätte dir auch gezeigt, dass die Software sehr oft den dhcp-client als Paket-Sniffer erkennt.
Code: Select all
Von daher *kann* diese Meldung normal sein:
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient)
eth0:1: PF_PACKET(/sbin/dhclient)
Aber natürlich kann dir keiner garantieren, dass der dhcp-Client nicht doch getauscht wurde.
Wahrscheinlich wirst du noch sogar feststellen, die Software öfters mal Warnungen ausspuckt, die bei näherer Betrachtung keine sind:
Code: Select all
Checking `scalper'... warning, got duplicate tcp line.
...
Checking `lkm'... You have xxx process hidden for readdir command
You have xxx process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
...
Checking `bindshell'... INFECTED (PORTS: 31337)
Gerade letzteres ist sehr beliebt nach der Installation von psyncBNC ;-)
Es bringt die beste Software leider nichts, wenn man deren Ausgabe nicht "lesen" kann. Wobei das Zeugs eigentlich bei chkrootkit eigentlich sehr gut Dokumentiert ist im Internet.
Gruss,
jeti-power