RootForum Community

Hallo,

ich poste mal den output von Root Kit Hunter:

* System tools
/bin/kill [ BAD ]
/bin/killall [ BAD ]
/bin/login [ BAD ]
/bin/ls [ BAD ]
/bin/netstat [ BAD ]
/bin/ps [ BAD ]
/sbin/ifconfig [ BAD ]
/sbin/sysctl [ BAD ]
/usr/bin/file [ BAD ]
/usr/bin/find [ BAD ]
/usr/bin/pstree [ BAD ]
/usr/bin/w [ BAD ]
/usr/bin/watch [ BAD ]


Rootkit 'SHV4'... [ Warning! ]
Rootkit 'Flea Linux Rootkit'... [ Warning! ]
Rootkit 'SHV5'... [ Warning! ]
Rootkit 'SunOS Rootkit'... [ Warning! ]

Ausserdem wurden drei user accounts angelegt, die ich wieder gelöscht habe:

< cinik0:/home/cinik:
< cgi7987:/var/tmp/:
< shd0:/home/shd:

Leider zu schnell ohne erst gut nach zu denken, da ich mir erst die history hätte anschauen sollen....

Checking /dev for suspicious files... [ Warning! (unusual files found) ]

Checking for running syslog slave... ps: error while loading shared libraries: libproc.so.2.0.6: cannot open shared object file: No such file or directory
[ Warning! ]

MD5 scan
Scanned files: 39
Incorrect MD5 checksums: 13

File scan
Scanned files: 342
Possible infected files: 4
Possible rootkits: Flea Linux Rootkit SHV4 SHV5 SunOS Rootkit


Weiss jemand Rat?

Gruß Volkan

Und Besuch war auch da... Nachdem ich w neu kompiliert habe sehe ich Eintrag 5. Einer der user die ich gelöscht habe...

support pts/1 http://www.abc 10:41 52.00s 0.95s 0.05s sshd: support [priv]
support pts/2 http://www.abc 11:19 2:10 0.05s 0.06s sshd: support [priv]
support pts/3 http://www.abc 14:42 0.00s 0.18s 0.04s sshd: support [priv]
support pts/4 http://www.abc 14:32 1:28m 0.56s 0.02s sshd: support [priv]
shd pts/6 dyn-85.186.137.2 12:12 53:09 0.56s ? -
support pts/6 http://www.abc 15:35 53:09 0.01s 0.01s -bash

1.) Server SOFORT vom Netz nehmen!
2.) Festplatteninhalt zur (späteren) Analye sichern.
3.) http://www.rootforum.org/faq/14_183_de.html

Vom Netz nehmen ist leider im Moment nicht möglich. In ein oder zwei Stunden schon... Frag nicht warum ist leider einfach so...

[Ehrlich]
Wie immer: Hoffe das du in dieser Zeit nicht an jemanden wie mich gerätst, der dir ohne mit der wimper zu zucken eine Anzeige reinwürgen wird, sollte deine Kiste eine meiner angreifen.

Die grobe Fahrlässigkeit hast du hier ja demonstriert.
[/Ehrlich]

Ansonsten: Sofort abschalten. Sichern. Analysieren. Neu aufsetzen. Vorherige Fehler nicht mehr machen. Überprüfte Backups einspielen. Fertig.

Nein, es gibt keine andere Lösung, da hättest du dir vorher was überlegen müssen. Jetzt ist es zu spät.

Gruss,

Out

Danke für die Kritik...

Wenn dein 'Gast' noch versucht jemanden zu hacken der sich mit dem Recht (Anwalt etc) gut auskennt...
Daher kann es nur eine Möglichkeit geben: schnell runter vom Netz, sichern und neu aufsetzen.