Kompromitierter vServer ?!

Rund um die Sicherheit des Systems und die Applikationen
lordy
Posts: 83
Joined: 2006-06-22 12:45

Kompromitierter vServer ?!

Post by lordy » 2007-02-28 18:49

Hallo,

nach den mehrfachen Ausfällen eines großen Nürnberger Providers habe ich mich nun entschlossen, einen weiteren Secondary-DNS bei einem Provider in FFM aufzubauen. Um das Ganze möglichst günstig zu halten habe ich mir dafür einen vServer gemietet, denn mehr als tinydns und ssh brauche ich ja nicht.

Nachdem der vServer heute bereitgestellt wurde habe ich erstmal das übliche gemacht:

- Root-Passwort geändert
- apt-get upgrade
- SSH auf Port 2222 verlagert
- Alle unnötigen Dienste gestoppt

Um zu überprüfen, das auch wirklich alle unnötigen Ports dicht sind habe ich anschließend ein Nmap von außen laufen lassen. Aber was muß ich da sehen ? Ein weiterer SSH-Server auf Port 222 8O Dabei handelt es sich nicht um meinen (welcher auf 2222 läuft), denn dieser hat auch einen anderen Host-Key.

Um der Sache weiter auf den Grund zu gehen installierte ich chkrootkit und debsums. Während debsums keine geänderten Dateien finden konnte meldete chkrootkit folgendes:

Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/1/fd: Permission denied

Eine Google-Suche ergab zwar, das dies bei vServern häufiger auftritt aber gerade im Zusammenhang mit dem zweiten SSH-Server ist mir die Sache doch nicht geheuer.

Hat jemand von Euch eine Idee woran das liegen könnte und welche Informationen ich noch sammeln könnte, bevor ich damit an den Support (der erst morgen wieder erreichbar ist) heran trete ?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Kompromitierter vServer ?!

Post by Roger Wilco » 2007-02-28 19:07

Willkommen in der Welt der Wirtu^W Virtualisierung.

Der SSH-Daemon auf Port 222 läuft vermutlich auf dem Hostsystem, in dem dein vServer gehostet wird. Bei der Ausgabe von "netstat -alpen" wird der Prozess vermutlich nicht aufgeführt.

Benutze bitte die Suchfunktion, das Thema hatten wir schon ein, zwei mal.