Hacktool Rootkit WTF

Rund um die Sicherheit des Systems und die Applikationen
madmetzi
Posts: 15
Joined: 2006-09-15 15:00

Hacktool Rootkit WTF

Post by madmetzi » 2006-09-16 13:07

Ich habe im var Verzeichniss in tmp einen Ordner wtf entdeckt.
In diesem Ordner sind irgendwelche Datein.
z.B. eine go.sh
in der das drin steht

Code: Select all

./ss 22 -b $1 -i eth0 -s 6
cat bios.txt |sort | uniq > mfu.txt
./ssh-scan 50
rm -f bios.txt
auch ne wtf Datei in der das drin steht.

Code: Select all

#!/bin/bash
if [ $# != 1 ]; then
        echo " usage: $0 <b class>"
        exit;
fi





     

echo "* REMEMBER * This is NOT a FREE SCANNER. Behave!"
echo "# Kill the WABBIT."
./pscan2 $1 22 

sleep 10
cat $1.pscan.22 |sort |uniq > mfu.txt
oopsnr2=`grep -c . mfu.txt`
echo "# I FOUND $oopsnr2 SERVERS"
echo "----------------------------------------"
echo "..."
./ssh-scan 100
rm -rf $1.pscan.22 mfu.txt
echo "WTF? Where is the WABBIT?"
beim runterkopieren des tmp Inhaltes auf meine Festplatte ist Norton Antivirus angeschlagen mit dem Hinweis Hacktool detectet!

Auch wurde die Meldung Rootkit Hacktool angezeigt.
Ein Verzeichniss wtf ist auf dem Server nicht zu finden außer in var/tmp. Außerdem wurde ein Zugriff einer Ip aus Rumänien über den Account einer unserer Warserver gelogt.
Weil ich diesen Warserver neustarten wollte mit Putty sind mir Befehle wie cd wtf oder ./wtf 85.61 aufgefallen, beim scrollen!

Bekomm ich den Mist wieder runter? Reicht das löschen des Verzeichnisses in var/tmp. Natürlich habe ich die Passwörter geändert.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Hacktool Rootkit WTF

Post by Roger Wilco » 2006-09-16 13:13


sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Hacktool Rootkit WTF

Post by sledge0303 » 2006-09-16 13:22

Server neu aufsetzen und bevor die Kiste wieder online stellst, GRÜNDLICH absichern und OS aktuell halten.
Wie das geht brauchst nur SuFu benutzen, es sind dutzende von sehr guten Threads und Links zu finden.