geheimnisvolle User

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
lars007
Posts: 41
Joined: 2005-02-24 14:05

geheimnisvolle User

Post by lars007 » 2006-01-01 18:24

Moin moin allerseits,
ein frohes neues Jahr!

Code: Select all

# uptime
  3:57pm  an 98 Tage 19:39,  100 Benutzer,  Durchschnittslast: 0,35, 0,23, 0,14

# users
web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web0 web1 web1 web1 web1 web1 web12 web12 web12 web12 web12 web12 web12 web12 web12 web12 web19 web35 web35 web35 web35

# ps u
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root      3366  0.0  0.0  1692    4 tty1     S     2005   0:00 /sbin/mingetty --noclear tty1
root      3374  0.0  0.0  1692    4 tty2     S     2005   0:00 /sbin/mingetty tty2
root      3375  0.0  0.0  1692    4 tty3     S     2005   0:00 /sbin/mingetty tty3
root      3376  0.0  0.0  1692    4 tty4     S     2005   0:00 /sbin/mingetty tty4
root      3377  0.0  0.0  1692    4 tty5     S     2005   0:00 /sbin/mingetty tty5
root      3378  0.0  0.0  1692    4 tty6     S     2005   0:00 /sbin/mingetty tty6
root     20438  0.0  0.2  2692 1160 pts/1298 S    15:54   0:00 su
root     20439  0.0  0.3  3100 1824 pts/1298 S    15:54   0:00 bash
root     20494  0.0  0.1  2864  856 pts/1298 R    15:57   0:00 ps u


# ps -u web0
  PID TTY          TIME CMD
 3806 ?        00:00:02 server_linux
 3807 ?        00:00:00 server_linux
 3808 ?        00:00:05 server_linux
 3809 ?        00:00:07 server_linux
 3810 ?        00:00:02 server_linux
 3811 ?        00:01:21 server_linux
 3812 ?        00:03:05 server_linux
 3813 ?        00:04:30 server_linux
 3817 ?        00:07:25 server_linux
 3818 ?        00:24:16 server_linux
 3819 ?        00:25:02 server_linux
 3829 ?        00:00:06 server_linux
 3830 ?        00:00:08 server_linux
 3831 ?        00:00:06 server_linux
 3835 ?        00:00:09 server_linux
 3836 ?        00:00:16 server_linux
 3837 ?        00:00:19 server_linux
 3838 ?        00:00:00 server_linux
 3839 ?        00:00:05 server_linux
 3840 ?        00:00:04 server_linux
 3841 ?        00:01:04 server_linux
 3977 ?        00:00:39 eggdrop
23025 ?        00:00:27 server_linux
23026 ?        00:01:34 server_linux
23027 ?        00:02:11 server_linux
 2334 ?        00:00:43 eggdrop
23825 ?        00:00:00 screen
23826 pts/373  00:00:00 bash
 5618 ?        00:00:22 server_linux
 5619 ?        00:01:06 server_linux
 5620 ?        00:01:21 server_linux
 1757 ?        00:01:03 server_linux
 1758 ?        00:02:43 server_linux
 1759 ?        00:03:34 server_linux
 4544 ?        00:01:06 ircd
29250 ?        00:00:13 srvx
 3524 ?        00:02:08 server_linux
 3525 ?        00:04:44 server_linux
 3526 ?        00:06:55 server_linux
17293 ?        00:00:50 eggdrop
12070 ?        00:03:00 eggdrop
 4746 ?        00:00:01 eggdrop
18438 pts/1298 00:00:00 bash

# ps -u web1
  PID TTY          TIME CMD
22618 ?        00:43:28 psybnc
 2570 ?        00:14:29 psybnc
19614 ?        00:01:20 psybnc

# ps -u web12
  PID TTY          TIME CMD

# ps -u web19
  PID TTY          TIME CMD
# ps -u web35
  PID TTY          TIME CMD
Hat irgendjemand eine Erklärung oder weitere Vorgehensweisen zu diesem Symptom?

Gruß,
Lars

aubergine
RSAC
Posts: 475
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: geheimnisvolle User

Post by aubergine » 2006-01-01 18:48

Falls du diese User weder kennst noch weist was da läuft, so ist dein Server massiv gehacked worden.

Daher neuinstallieren lassen.

Die Tatsache das dort Leute schon Bouncer und eggdrop laufen lassen, zeigt irgendwo auch dass das nit erst gestern passiert ist, sondern wohl schon über einen längeren Zeitraum geht

cat
RSAC
Posts: 125
Joined: 2002-09-14 20:57
Location: unterwegs-im.net ;)

Re: geheimnisvolle User

Post by cat » 2006-01-01 18:52

hiho

und dieser prozess "server_linux" gehoert afaik zu teamspeak (ist eher ungewoehnlich, dass da so viele von laufen)

greetZ
Cat

lars007
Posts: 41
Joined: 2005-02-24 14:05

Re: geheimnisvolle User

Post by lars007 » 2006-01-01 19:11

Vielen Dank euch beiden für die Antworten. Ich habe mich mal wieder nicht ausführlich genug ausgedrückt, entschuldigt das bitte.
Ich kenne die User als solches, das sind von mir über Confixx angelegte Systemuser - und ich weiß auch, was da läuft, das sind alles von mir angelegte Prozesse. Die TeamSpeaks sind auch ok, das sind um die zehn Server und das stimmt schon.
Ich habe den Server mittel rkhunter auf Rootkits geprüft, außerdem gehen mir stündlich alle auffälligen Logfileauszüge der wichtigsten System- und Serverlogs zu. Der Load ist normal und es wird auch kein übermäßiger Traffic protokolliert (Serverexternes Logging). Es sind keine Ports über netstat sichtbar, die nicht offen sein sollen. Da sich auch keine wirklich geheinem Daten auf dem Server finden, die es zu hacken lohnen würde, schließe ich ein Rootkit oder ähnliches mit an Sicherheit grenzender Warscheinlichkeit aus.
Es muss daher noch eine andere Lösung geben, warum derart viele User als eingeloggt erscheinen, obwohl sie es nicht sind.

Gruß,
Lars
Last edited by lars007 on 2006-01-01 19:18, edited 1 time in total.

cat
RSAC
Posts: 125
Joined: 2002-09-14 20:57
Location: unterwegs-im.net ;)

Re: geheimnisvolle User

Post by cat » 2006-01-01 19:16

was sagt denn "who"?

lars007
Posts: 41
Joined: 2005-02-24 14:05

Re: geheimnisvolle User

Post by lars007 » 2006-01-01 19:54

who sagt ganz viel, die entsprechenden User sind alle so aufgeführt (`who -a` Ausgabe):

Code: Select all

web0     ? pts/1001     Dec  9 22:50   ?          9354 (pXXXXXXXX.dip0.t-ipconnect.de)
Die entsprechende PID (9354) ist allerdings gar nicht mehr vorhanden, kann also von mir auch nicht mehr gekillt werden.

Code: Select all

# lsof | grep web35
# who -a | grep web35
web35    ? pts/1192     Dec 25 14:00   ?         25316 (pXXXXXXXX.dip0.t-ipconnect.de)
web35    ? pts/1194     Dec 25 14:46   ?         28366 (pXXXXXXXX.dip0.t-ipconnect.de)
web35    ? pts/1199     Dec 25 15:39   ?         29876 (pXXXXXXXX.dip0.t-ipconnect.de)
web35    ? pts/1218     Dec 26 14:01   ?         28992 (pXXXXXXXX.dip0.t-ipconnect.de)
# kill 28992
bash: kill: (28992) - Kein passender Prozess gefunden
# kill 29876
bash: kill: (29876) - Kein passender Prozess gefunden
# kill 28366
bash: kill: (28366) - Kein passender Prozess gefunden
# kill 25316
bash: kill: (25316) - Kein passender Prozess gefunden
Auch der pstree sieht ganz in Ordnung aus:

Code: Select all

# pstree
init-+-cron
     |-5*[eggdrop]
     |-events/0-+-aio/0
     |          |-kblockd/0
     |          |-kcryptd/0
     |          |-khelper
     |          `-2*[pdflush]
     |-httpd2-prefork-+-11*[httpd2-prefork]
     |                `-pipelog.pl
     |-ircd
     |-kapmd
     |-kjournald
     |-klogd
     |-kseriod
     |-ksoftirqd/0
     |-kswapd0
     |-6*[mingetty]
     |-mysqld_safe---mysqld---mysqld---mysqld
     |-oidentd
     |-portmap
     |-3*[psybnc]
     |-saslauthd---4*[saslauthd]
     |-screen---bash
     |-sendmail
     |-sendmail---sendmail
     |-server_linux---server_linux---31*[server_linux]
     |-spamd
     |-srvx
     |-sshd-+-bash---su---bash---pstree
     |      `-sshd
     |-sshd
     |-syslogd
     `-xinetd
Ich habe mal ein wenig an den Alive-Settings geschraubt, aber wie kriege ich die bereits bestehenden User abgeschossen?

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: geheimnisvolle User

Post by lord_pinhead » 2006-01-02 09:44

1) Hast du wirklich ein irc deamon installiert?
2) Wenn ein Bot installiert ist der Spammen oder ein DoS fahren soll, wirst du das glaub ich früh genug merken
3) was sagt ls -la /tmp ? Nur so zur Info ob da was drinliegt.

Hast du ein anderen Linuxrechner zur hand? Wenn ja, versuch mal netstat, find und lsof von dort rüberzukopieren und dann mittels ./netstat -tupa ausführen, dann hast du wenigstens ein sauberes ergebniss. kannst auch von einer anderen Kiste mal einen nmap Scan machen um auf Nummer sicher zu gehen. Ansonsten kann es einfach nur sein das Prozesse irgendwo im speicher hängengeblieben sind, müsstest einfach mal versuchen alle dienste mal runterzufahren, dann sollte bei einen start der Dienst alles wieder OK sein. Passiert mir nur bei Suse, das war einer der Gründe warum ich keine Suse mehr nutze.

Edit: Warum hält sich eigentlich der Glaube das pstree alles anzeigt? ps -axfu ist da für so einen Fall richtig ausführlich.

lars007
Posts: 41
Joined: 2005-02-24 14:05

Re: geheimnisvolle User

Post by lars007 » 2006-01-02 10:06

Vielen Dank für deine Antwort.
Ja, ich habe wirkliche einen ircd mit dazugehörigem srvx (Channelservices) installiert. Die angezeigten Dienste laufen alle, ich lass grad 'nen nmap rüberlaufen von 'nem Root in einem anderen RZ. Im /tmp is was drin, ja sicher, aber nichts ungewöhnliches.
Ich denke, das Problem waren einfach die fehlenden KeepAlive-Einstellungen im sshd, wodurch kein autologout erfolgte. sshd restart bringt leider auch keine Besserung. Und schon wieder neustarten wollte ich eigentlich nicht :wink:

// EDIT: nmap ist ok.