RootForum Community

Hallo allerseits,

ich habe bis heute ein debian sarge auf einem root Server betrieben. Bis mir heute aufgefallen ist dass auf dem Port 23 ein SSH server läuft.
Eigentlich habe ich nur einen auf 665 (nur für root) und einen auf 666 (nur für user in einem eigenen chroot) einen sshd laufen.
Zunächst mal bin ich davon ausgegangen dass ich eventuell beim experimentieren in einem chroot das ding gestartet habe, und wollte sicherheitshalber neu starten.

Doch der Server meldete sich nicht mehr, auch nicht nach einem hardware reset.
Im rescue system stelle ich nun fest: /etc/network fehlt komplett.
Der war vor ein paar wochen noch da und ich habe nie etwas in /etc per hand gelöscht, und ich bin der einzige mit root zugriff.

Ist das bloß eine verkettung dummer zufälle?
Ich habe gelesen dass manche hacker nicht viel mit dem server machen und sich statt dessen ein Hintertürchen öffnen um ihn später zu für Massen-DoS zu verwenden o.Ä.

Bin für jeden Rat dankbar, abhängig davon werde ich nun die Netzwerkeinstellungen wiederherstellen oder das debian komplett neu drauf packen.

gruß
Dennis

Nachdem du dir nicht sicher bist ob du gehackt wurdest ist neu aufsetzen meiner Meinung nach die einzige sinnvolle Loesung.

xardias wrote:Ich habe gelesen dass manche hacker nicht viel mit dem server machen und sich statt dessen ein Hintertürchen öffnen um ihn später zu für Massen-DoS zu verwenden o.Ä.

Du kannst dich da nicht darauf verlassen. Wenn da ein Rootkit drauf ist bist du sowieso blind was das System betrifft.

Neuaufsetzen auf jeden Fall, aber ich würde erstmal nachsehen ob ich nicht etwas finde was auf einen Einbruch schliessen lässt, vielleicht ist noch etwas in /var/log/ zu finden (das müsste auch auffallen wenn da nix mehr drinsteht). Wenn du nicht gerade ein Hashabgleich machen kannst mit deinem System, ist das suchen von veränderten Dateien wirklich schwachsinnig und neuaufsetzen dauert nicht so lange (hast du saubere Backups?). Kopier nicht dein /etc blind, vielleicht hat jemand die Configs verändert und du merkst es nicht. Sicher deine Bewegungsdaten, wenn nicht schon geschehen und dann neuaufsetzen.

Kurz Offtopic: Kernelbasierende Rootkits gibt es ja nur im 2.4´er Kerneltree, 2.6 wurde so verändert das ein Rootkit nicht mehr funktionieren soll. Das letzte was ich gelesen habe zu dem Thema war ein Proof of Concept Rootkit der allerdings kurz danach nicht mehr funktionierte. Ist jemanden etwas anderes bekannt?

Lord_Pinhead wrote:Ist jemanden etwas anderes bekannt?

http://eth0.uttx.net/cms/?section=news& ... &newsid=29

was nicht ist wird vielleicht noch was werden. :roll:

Ist jemanden etwas anderes bekannt?

Ja, es gibt (erstaunlich gut) funktionierende 2.6er-Rootkits wie z.B. das dort oben genannte. Der Artikel dazu im letzten Linux-Magazin war recht lesenswert.

Werd mir mal das Magazin versuchen zu holen, hab bisher nur diesen Proof of Concept Rootkit gehört aber nie mehr wieder was dafür.