Ich befürchte ich wurde gehackt :(

Rund um die Sicherheit des Systems und die Applikationen
transmitter
Posts: 147
Joined: 2005-01-20 03:07

Ich befürchte ich wurde gehackt :(

Post by transmitter » 2006-01-03 19:12

Hi

Ich bekomme mit chkrootkit und rkhunter Warnungen:

Code: Select all

[18:59:34] *** Start scan FreeBSD Rootkit ***
[18:59:34]   - File /usr/lib/.fx/sched_host.2... WARNING! Exists.
[18:59:34]   - File /usr/lib/.fx/random_d.2... WARNING! Exists.
[18:59:34]   - File /usr/lib/.fx/set_pid.2... WARNING! Exists.
[18:59:34]   - File /usr/lib/.fx/cons.saver... WARNING! Exists.

[18:59:20] *** Start scan Ambient (ark) Rootkit ***
[18:59:20]   - File /usr/lib/.ark?... WARNING! Exists.
[18:59:20]   - File /dev/ptyxx/.log... OK. Not found.
[18:59:20]   - File /dev/ptyxx/.file... OK. Not found.
[18:59:20]   - Directory /dev/ptyxx... OK. Not found.

[19:00:50] WARNING, found:  /etc/.serial.conf.old (ASCII English text)
Was kann ich denn jetzt machen?
Kann ich rausfinden, was alles installiert ist und das löschen?
Sprich eine Neuinstallation umgehen?

ticool
Posts: 37
Joined: 2002-08-20 18:34
Location: Hamburg

Re: Ich befürchte ich wurde gehackt :(

Post by ticool » 2006-01-03 19:28

Muss man auf soetwas noch eingehen?

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Ich befürchte ich wurde gehackt :(

Post by transmitter » 2006-01-03 19:32

Ja, schön wäre es auf jeden Fall.

Und eine weitere Frage: Wie soll ich den Server denn vom Netz nehmen? Ich muss doch selbst noch da dran kommen!?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Ich befürchte ich wurde gehackt :(

Post by Roger Wilco » 2006-01-03 19:33

Transmitter wrote:Sprich eine Neuinstallation umgehen?
Gar nicht. Das sind Rootkits, d. h. der Angreifer hat bereits Rootrechte und versuchte das mit dem Rootkit (unerfolgreich?) zu verschleiern. Woher willst du wissen, was noch verändert wurde?
Mach eine Sicherung zur späteren Analyse und installiere dann das System neu...
Transmitter wrote:Und eine weitere Frage: Wie soll ich den Server denn vom Netz nehmen? Ich muss doch selbst noch da dran kommen!?
Alle Dienste außer SSH beenden (bzw. im Rescuesystem starten, wenn dein Provider so etwas anbietet), Sicherung anfertigen, Server plätten.
Last edited by Roger Wilco on 2006-01-03 19:35, edited 1 time in total.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ich befürchte ich wurde gehackt :(

Post by Joe User » 2006-01-03 19:35

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ich befürchte ich wurde gehackt :(

Post by Joe User » 2006-01-03 19:45

Roger Wilco wrote:Alle Dienste außer SSH beenden
Wenn die geposteten Warnungen stimmen, hilft ihm das nicht weiter:

Code: Select all

[--ARK version 1.0 - Ambient's Rootkit for Linux--]

THIS PACKAGE IS STRICTLY PRIVATE
**DO NOT SPREAD THIS AROUND**

This package includes backdoored versions of:

syslogd
login
sshd
ls
du
ps
pstree
killall
top
netstat


Quick explanation:

syslogd		Prevents logging if they match a certain string in
		/dev/ptyxx/.log
login		Login: arkd00r , Password: <yourpassword>
		and you got a rootshell.
sshd		Login: root , Password: <yourpassword>
		will spawn a .. guess what?
ls		File hiding using /dev/ptyxx/.file as the index
du		eq. ls
ps		Hide processes saved in /dev/ptyxx/.proc
		(LRK style, explanation stolen too ;-) w00h, evil me!)
		Example data file:
		0 0             Strips all processes running under root
		1 p0            Strips tty p0
		2 sniffer       Strips all programs with the name sniffer
		3 hack          Strips all programs with 'hack' in them
                		ie. proghack1, hack.scan, snhack etc.
pstree		eq. ps
killall		eq. ps
top		eq. ps
netstat		For hiding Ports, Connections, etc. saved in /dev/ptyxx/.addr
		(LRK style, explanation stolen too ;-) w00h, evil me!)
		type 0: hide uid
		type 1: hide local address
		type 2: hide remote address
		type 3: hide local port
		type 4: hide remote port
		type 5: hide UNIX socket path

		Example data file:
		0 500           <- Hides all connections by uid 500
		1 128.31        <- Hides all local connections from 128.31.X.X
		2 128.31.39.20  <- Hides all remote connections to 128.31.39.20
		3 8000          <- Hides all local connections from port 8000  
		4 6667          <- Hides all remote connections to port 6667
		5 .term/socket  <- Hides all UNIX sockets including the path
				   .term/socket


Gr33tZ (in no particulair order) fly out 2:
  ice-devil, Beast|E, togooz, orangehaw, CuCc`, mo`,
  ^Trance^, [dG], deaddrokz, Annihi|aT, Leentje..
  and ofcourse whoever i forgot to mention..
  not that you're forgotten though ;-)
					- |Ambient|
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Ich befürchte ich wurde gehackt :(

Post by transmitter » 2006-01-03 19:45

Das ist doch ein Scheiß :(

Bin jetzt über das Rescue System drin.

Kann ich jetzt noch irgendwie rausfinden, wie der Angreifer da rein kam?

Und gibt es einen Guide, der beschreibt, was ich bei der Neuinstallation alles beachten sollte?

Habe zwar schon recht viel gelesen, aber sicher fühle ich mich jetzt leider kein Stück mehr :(

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ich befürchte ich wurde gehackt :(

Post by Joe User » 2006-01-03 20:11

Transmitter wrote:Kann ich jetzt noch irgendwie rausfinden, wie der Angreifer da rein kam?
Beruhend auf Deinen bisherigen Posts: Kernel oder Webapplikaton (PHP).
Transmitter wrote:Und gibt es einen Guide, der beschreibt, was ich bei der Neuinstallation alles beachten sollte?
Das Ã?bliche: Alle verfügbaren Updates einspielen und ausschliesslich vertrauenswürdige (sichere) Software beziehungsweise Scripts einsetzen. Der Rest steht in oben verlinkten FAQ...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.