RootForum Community

Hallo,

ich habe in meinen Serverlogs des öfteren ssh-Meldungen der Form „Did not receive identification string from <IP-Adresse>" und habe mir bislang keine großen Gedanken darum gemacht. Jetzt habe ich aber eine solche Meldung mit IP-Adresse 127.0.0.1. Von localhost aus habe ich aber nicht versucht, mich per ssh einzuloggen o.dgl. Was kann das zu bedeuten haben?

Viele Grüße
Wolfgang

Irgendein Prozess auf deinem System hat eine Verbindung zu Port 22 (oder woran auch immer dein sshd gebunden ist) hergestellt und die Verbindung sofort wieder beendet. Möglicherweise irgendein Prozess, der überprüft, ob der sshd noch läuft?

Roger Wilco wrote:Irgendein Prozess auf deinem System hat eine Verbindung zu Port 22 (oder woran auch immer dein sshd gebunden ist) hergestellt und die Verbindung sofort wieder beendet. Möglicherweise irgendein Prozess, der überprüft, ob der sshd noch läuft?

Das kann eigentlich nicht sein. Außer ssh laufen nur noch solche Sachen wie Courier MTA, Courier IMAP, logcheck, AIDE und Snort. Die stellen m.W. keine ssh-Verbindungen her. Auf der deutschsprachigen Debian-User-Mailingliste wurde schon gemutmaßt, dass hier ein Angreifer seine Absender-IP-Adresse gefälscht hat, aber ich kann mir eigentlich nicht vorstellen, dass der Anbieter meines virtuellen Servers IP-Pakete mit Absenderadresse 127.0.0.1 durch sein Netz lässt. Sollte ich mal einen Root-Kit-Test machen oder wäre das übertrieben?

Viele Grüße
Wolfgang

jeltsch wrote:Sollte ich mal einen Root-Kit-Test machen oder wäre das übertrieben?

Das kann nie schaden und sollte IMHO auch Standard sein ... Hast Du einen (Apache)-Proxy am Laufen?

flo.

flo wrote:

jeltsch wrote:Sollte ich mal einen Root-Kit-Test machen oder wäre das übertrieben?

Das kann nie schaden und sollte IMHO auch Standard sein ...

Ach ja, das bedeutet wieder Arbeit… Kann so ein Root-Kit-Test auch vom richtigen System aus durchgeführt werden oder sollte ich das aus dem Rettungssystem heraus machen? Da es sich um einen virtuellen Server handelt, kann ein Einbrecher eigentlich nichts am Kernel verändert haben, an ps usw. allerdings schon. Das Problem mit dem Rettungssystem ist, dass da das total veraltete Standardimage des Anbieters benutzt wird, durch das ich mir am Ende noch ein Root-Kit einfange…

flo wrote:Hast Du einen (Apache)-Proxy am Laufen?

Nein.

Viele Grüße
Wolfgang

jeltsch wrote:Kann so ein Root-Kit-Test auch vom richtigen System aus durchgeführt werden oder sollte ich das aus dem Rettungssystem heraus machen?

Kann ja, ob es sinnvoll ist, ist die Frage, aber eigentlich wäre ein dementsprechender Output von rkhunter oder chkrootkit ein Indiz, den Rechner genauer unter die Lupe zu nehmen, beide Tools warnen etwas zu schnell, aber das ist ja auch ihre Aufgabe.

flo.

flo wrote:

jeltsch wrote:Kann so ein Root-Kit-Test auch vom richtigen System aus durchgeführt werden oder sollte ich das aus dem Rettungssystem heraus machen?

Kann ja, ob es sinnvoll ist, ist die Frage, aber eigentlich wäre ein dementsprechender Output von rkhunter oder chkrootkit ein Indiz, den Rechner genauer unter die Lupe zu nehmen, beide Tools warnen etwas zu schnell, aber das ist ja auch ihre Aufgabe.

flo.

Was ist ein „dementsprechender Output"? Ein Output, den der Root-Kit-Checker liefert, wenn ich ihn in dem normalen System laufen lasse, und der mir sagt, dass ich das Rettungssystem nehmen soll? Verwirrt…

Aber trotzdem danke schon mal!

Viele Grüße
Wolfgang

Schon mal ausprobiert?

Bei mir kommt zum Beispiel das als Ausgabe von chkrootkit: Soll ich den Rechner deswegen plattmachen? Oder ihn ins Rettungssystem booten?

flo.

Wenn SMTP mit SSL läuft nein :D Ich hab mit chkrootkit auch ein false Positive, er meint es ist der t0rn Rootkit installiert, warum hab ich bis heute nicht rausfinden können, hab den Rootkit auch schon runtergeladen und nachgesehen wo er seine Sachen ablegt. Selbst ein Strace hat mich nicht weitergebracht wo er sucht, aber seit 1 Jahr macht die Kiste nichts ausser das was sie machen soll, also nicht viel gedanken drüber machen. Das schlechte ist, man misstraut danach seinen Tools eher und sieht nicht nach.

@Lord_Pinhead: Die Zeile, die den angeblichen LKM diagnostiziert, habe ich auch schon rausgenommen - ist ein VServer. ;-)

Von rkhunter habe ich den besseren Eindruck - aber ich lasse trotzdem beides laufen, die Tools fressen mit Ihrem Durchlauf nicht lange Performance.

flo.

flo wrote:Schon mal ausprobiert?

Bei mir kommt zum Beispiel das als Ausgabe von chkrootkit:

Code: Select all

/etc/cron.daily/chkrootkit:
INFECTED (PORTS:  465)

Soll ich den Rechner deswegen plattmachen? Oder ihn ins Rettungssystem booten?

flo.

Hallo,

ich verstehe dich leider immer noch nicht. Die Frage, die ich mir stellte, war eigentlich, ob ich durch das Laufen-Lassen des Root-Kit-Checkers im normalen System das eine oder andere Root-Kit eventuell nicht finde, weil es sich mit gewissen Methoden versteckt, und deshalb das Rettungssystem zum checken nehmen sollte.

Viele Grüße
Wolfgang

Du sollst grundsätzlich nicht blind irgendeinem Tool vertrauen - aber wenn Du ein Rootkit drauf hast, wird eins der Tools Dir mindestens eine verwertbare Ausgabe liefern, anhand derer Du dann tätig werden kannst.

Will heißen:
- Nein muttu nich Rettungssystem wenn normal
- Ja, muttu Rettungssystem wenn nicht normal, is besser, weil evtl. Rootkit nicht aktiv

Ernst: IMHO gibt es außer Proof-of-Concepts kein Rootkit für Kernel 2.6, daß sich wirklich und komplett verstecken kann - die derzeitigen Tools (aktuelle Version vorausgesetzt) finden garantiert irgendetwas, das faul ist. Was Du dann mit dieser Ausgabe anfängst, ist Dein Bier, weil Dein Server. Googlen hilft - oftmals stellt sich das dann zum Glück als "false positive" raus. Das ist aber nunmal abhängig von Deinem Server, den laufenden Prozessen und noch ein bißchen mehr - hier zu verallgemeinern heißt trügerische Sicherheit.

flo.