RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Ich befürchte ich wurde gehackt :(

https://www.rootforum.org/forum/viewtopic.php?t=38437

Page 1 of 1

Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:12
by transmitter
Hi

Ich bekomme mit chkrootkit und rkhunter Warnungen:

Code: Select all

[18:59:34] *** Start scan FreeBSD Rootkit ***
[18:59:34]   - File /usr/lib/.fx/sched_host.2... WARNING! Exists.
[18:59:34]   - File /usr/lib/.fx/random_d.2... WARNING! Exists.
[18:59:34]   - File /usr/lib/.fx/set_pid.2... WARNING! Exists.
[18:59:34]   - File /usr/lib/.fx/cons.saver... WARNING! Exists.

[18:59:20] *** Start scan Ambient (ark) Rootkit ***
[18:59:20]   - File /usr/lib/.ark?... WARNING! Exists.
[18:59:20]   - File /dev/ptyxx/.log... OK. Not found.
[18:59:20]   - File /dev/ptyxx/.file... OK. Not found.
[18:59:20]   - Directory /dev/ptyxx... OK. Not found.

[19:00:50] WARNING, found:  /etc/.serial.conf.old (ASCII English text)
Was kann ich denn jetzt machen?
Kann ich rausfinden, was alles installiert ist und das löschen?
Sprich eine Neuinstallation umgehen?

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:28
by ticool
Muss man auf soetwas noch eingehen?

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:32
by transmitter
Ja, schön wäre es auf jeden Fall.

Und eine weitere Frage: Wie soll ich den Server denn vom Netz nehmen? Ich muss doch selbst noch da dran kommen!?

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:33
by Roger Wilco
Transmitter wrote:Sprich eine Neuinstallation umgehen?
Gar nicht. Das sind Rootkits, d. h. der Angreifer hat bereits Rootrechte und versuchte das mit dem Rootkit (unerfolgreich?) zu verschleiern. Woher willst du wissen, was noch verändert wurde?
Mach eine Sicherung zur späteren Analyse und installiere dann das System neu...
Transmitter wrote:Und eine weitere Frage: Wie soll ich den Server denn vom Netz nehmen? Ich muss doch selbst noch da dran kommen!?
Alle Dienste außer SSH beenden (bzw. im Rescuesystem starten, wenn dein Provider so etwas anbietet), Sicherung anfertigen, Server plätten.

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:35
by Joe User
RescueSystem / Serial Console

http://www.rootforum.org/faq/index.php? ... artlang=de

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:45
by Joe User
Roger Wilco wrote:Alle Dienste außer SSH beenden
Wenn die geposteten Warnungen stimmen, hilft ihm das nicht weiter:

Code: Select all

[--ARK version 1.0 - Ambient's Rootkit for Linux--]

THIS PACKAGE IS STRICTLY PRIVATE
**DO NOT SPREAD THIS AROUND**

This package includes backdoored versions of:

syslogd
login
sshd
ls
du
ps
pstree
killall
top
netstat


Quick explanation:

syslogd		Prevents logging if they match a certain string in
		/dev/ptyxx/.log
login		Login: arkd00r , Password: <yourpassword>
		and you got a rootshell.
sshd		Login: root , Password: <yourpassword>
		will spawn a .. guess what?
ls		File hiding using /dev/ptyxx/.file as the index
du		eq. ls
ps		Hide processes saved in /dev/ptyxx/.proc
		(LRK style, explanation stolen too ;-) w00h, evil me!)
		Example data file:
		0 0             Strips all processes running under root
		1 p0            Strips tty p0
		2 sniffer       Strips all programs with the name sniffer
		3 hack          Strips all programs with 'hack' in them
                		ie. proghack1, hack.scan, snhack etc.
pstree		eq. ps
killall		eq. ps
top		eq. ps
netstat		For hiding Ports, Connections, etc. saved in /dev/ptyxx/.addr
		(LRK style, explanation stolen too ;-) w00h, evil me!)
		type 0: hide uid
		type 1: hide local address
		type 2: hide remote address
		type 3: hide local port
		type 4: hide remote port
		type 5: hide UNIX socket path

		Example data file:
		0 500           <- Hides all connections by uid 500
		1 128.31        <- Hides all local connections from 128.31.X.X
		2 128.31.39.20  <- Hides all remote connections to 128.31.39.20
		3 8000          <- Hides all local connections from port 8000  
		4 6667          <- Hides all remote connections to port 6667
		5 .term/socket  <- Hides all UNIX sockets including the path
				   .term/socket


Gr33tZ (in no particulair order) fly out 2:
  ice-devil, Beast|E, togooz, orangehaw, CuCc`, mo`,
  ^Trance^, [dG], deaddrokz, Annihi|aT, Leentje..
  and ofcourse whoever i forgot to mention..
  not that you're forgotten though ;-)
					- |Ambient|

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 19:45
by transmitter
Das ist doch ein Scheiß :(

Bin jetzt über das Rescue System drin.

Kann ich jetzt noch irgendwie rausfinden, wie der Angreifer da rein kam?

Und gibt es einen Guide, der beschreibt, was ich bei der Neuinstallation alles beachten sollte?

Habe zwar schon recht viel gelesen, aber sicher fühle ich mich jetzt leider kein Stück mehr :(

Re: Ich befürchte ich wurde gehackt :(

Posted: 2006-01-03 20:11
by Joe User
Transmitter wrote:Kann ich jetzt noch irgendwie rausfinden, wie der Angreifer da rein kam?
Beruhend auf Deinen bisherigen Posts: Kernel oder Webapplikaton (PHP).
Transmitter wrote:Und gibt es einen Guide, der beschreibt, was ich bei der Neuinstallation alles beachten sollte?
Das Ã?bliche: Alle verfügbaren Updates einspielen und ausschliesslich vertrauenswürdige (sichere) Software beziehungsweise Scripts einsetzen. Der Rest steht in oben verlinkten FAQ...
All times are UTC+01:00
Page 1 of 1