Unerwünschter IRC Server auf port 7000

worel · Beitrag von **worel** » 28.08.2007 18:29:50

Hallo!

Wir hatten einen Vorfall mit einem SVH5 Rootkit.
Soweit scheint alles wieder bereinigt zu sein, leider steht uns die Option einer Neuinstallation nicht zur Verfügung.

Ich habe allerdings noch einen Port offen, der nicht von uns geöffnet wurde.

netstat spuckt mir im Detail ihn aus:

tcp 0 0 0.0.0.0:7000 0.0.0.0:* LISTEN 1141 1356193 27609/httpd -DSSL

ps aux sagt mir folgendes dazu:

confixx 27609 0.0 0.0 2076 556 ? S 18:23 0:00 /usr/local/apache/bin/httpd -DSSL

Ich hätte den Prozess schon gekillt. Er ist dann auch weg, kommt aber gleich wieder mit anderer ID.
Dann hätte ich versucht mal in /usr/local/apache/bin/ reinzusehen, aber ich komme da nicht hin, so wie wenn es dass nicht geben würde!!

chkrootkit und rkhunter wurden neu installiert, es wurde nichts mehr gefunden.

Wo könnte ich noch ansetzen? Nessus spuckte mir aus, dass der 7000er Port ein PsyBNC IRC Proxy ist.

JPT · Beitrag von **JPT** » 28.08.2007 19:24:05

Probier mal

Code: Alles auswählen

netstat -nap

(ggf. werden root-rechte für diesen Befehl benötigt).
Das sollte dir jedenfalls den zugehörigen Prozess anzeigen.

mauser · Beitrag von **mauser** » 28.08.2007 19:27:54

Moin,

meistens werden Programme wie netstat bei solchen Angriffen ausgetauscht, darauf würde ich mich nicht verlassen. Ich sehe eigentlich keine Alternative zur Neuinstallation, wer es nicht macht handelt grob fahrlässig..
Gruss,
mauser

worel · Beitrag von **worel** » 28.08.2007 19:38:27

Tjo, dürft wohl ein wirklich verstecktes Verzeichnis sein. Hilft anscheinend nur ne live-cd

Startskripte habe ich alles schon durch, da erscheint das Mistding nirgends.

Killen lässt es sich wiegesagt nicht dauerhaft.

Kann ich das Teil wenigstens bis zur Neuinstallation per iptables oä. von der außenwelt abschotten? (port 7000)

ckoepp · Beitrag von **ckoepp** » 29.08.2007 08:24:33

worel hat geschrieben: Kann ich das Teil wenigstens bis zur Neuinstallation per iptables oä. von der außenwelt abschotten? (port 7000)

Da kannst du dir nicht sicher sein. Jemand ist auf deinem Server und kann jedes beliebige Programm ändern/ersetzen. Wenn er schlau war ist iptables auch nicht mehr das alte

Sicher abwehren kannst du Verbindungen von diesem Rechner nicht mehr! Dazu brauchst du einen anderen vor dem betroffenen Rechner...

Kann ansonsten nur nochmal die Forderung meiner Vorredner wiederholen: Neuinstallation ist Pflicht, alles andere grob fahrlässig - zumal jemand gerade unter deinem Namen im Netz unterwegs ist und alles was er anstellt fällt auf dich zurück.

worel · Beitrag von **worel** » 29.08.2007 09:50:19

Jup, ist wohl die beste Variante, Neuinstallation.

Generell jetzt noch zu Rootkits:
Man kann ja einiges Versuchen um zu verhindern dass ein User/Hacker/whatever mit erhöhten Rechten die Shell erlangt. (Alle Updates, nur Ports öffnen die man wirklich braucht, Firewall, IDS etc.)

Ist aber nun mal eine privilegierte Shell geöffnet, kann man ja nicht mehr wirklich was dagegen machen oder? Dann lädt er sich sein Tool runter und fängt an sein Rootkit einzupflegen.

Folgendes habe ich im Internet auch nicht gefunden:
Wurde mal ein Rootkit installiert und der Eindringling hat eine Hintertür, mit welchen Rechten ist er ausgestattet wenn mal diese Backdoor vorhanden ist? Userrechte, welche er dann zu erweitern versucht (per diversen Tools etc.)
Weil erhöhte Rechte hatte er ja nur in der Session wo er per Lücke einer Software oä. reinkam?

Evtl. hört sich das unverständlich an, bin jedoch für jeden Link den ich noch nicht durchforstet habe dankbar.

comes · Beitrag von **comes** » 29.08.2007 10:14:52

schau dir mal SELinux und apparmor an!
grundsätzlich hat der eindringling die rechte des prozesses, den er befallen hat, kann sich jedoch höhere rechte verschaffen.

was du machen kannst, ist ein checksum abgleich.
hast du ein identisches system irgendwo liegen? zumindest soweit identisch, dass die gleiche distribution in selber version läuft und selben patch level? dann bilde dir eine md5sum liste über die wichtigesten tools den sauberen systems. (netstat, ls, ps, kernel, kernelmodule, modprobe, kill) und vergleiche die summen mit dem befallenen rechner. sind diese identisch, kannst du von einem sauberen system ausgehen. zumindest an diesen stellen. danach weißt zu zumindest, dass alle prozesse korrekt angezeigt werden.

was den port angeht, der kommt ja offentsichtlich von apache. also apache anhalten, dann sollte der prozess weg sein. der kommt immer dann zustande, wenn ein aufruf vom apache erfolgt.

0.0.0.0:7000 geht ins leere, da würde ich mir jetzt keine gedanken machen. alternativ mit wireshark oder ähnlich mal an localhost:7000 lauschen.
btw, der port 7000 wird auch für die sprachübertragung mittels sip verwendet. daher die frage, läuft voip?

es ist also nicht alles gold, was glänzt

worel · Beitrag von **worel** » 29.08.2007 10:49:23

In Zukunft installiere ich jetzt immer OSSEC, nachdem die False Positives rausgefiltert sind ist dass ganz nett!

Das kuriose an diesem httpd Prozess ist, dass er laut ps (welche ich jetzt nochmal von einem frischen System rüberkopiert habe), von einer Datei gestartet wird, wohin ich per console nicht hin kann, als ob es nicht vorhanden wär.
Aber den habe ich jetzt mal soweit "isoliert" (iptables), soweit es mir halt möglich war, bzw. ist er von extern eh nicht erreichbar (externe firewall)

Nicht umsonst gibts jails usw... Interessante Thematik

gucki · Beitrag von **gucki** » 29.08.2007 12:14:12

hi worel,

confixx hatte vor kurzem ein Security-Problem. Siehe http://www.heise.de/newsticker/meldung/93627

Vielleicht kam der Angriff aus dieser Ecke.

Gruß Gucki

comes · Beitrag von **comes** » 29.08.2007 12:29:24

weils so schön zum thema passt.

Die neuesten Rootkits setzen auf die Virtualisierungstechniken aktueller Prozessoren auf und werden als Stealth
Malware bezeichnet. In diesem Artikel stellen wir Ihnen die Tarnkappenbomber der Rootkit-Technik vor. Was macht sie so schwer erkennbar und so gefährlich?

--> http://hakin9.org/de/haking/download.html

worel · Beitrag von **worel** » 29.08.2007 12:48:53

Betreffendes Confixx ist mit erscheinen des Artikels auf heise gefixt worden. Vielleicht ist schon vorher wer reingeschlüpft...

Simmel · Beitrag von **Simmel** » 11.09.2007 02:16:29

worel hat geschrieben:Jup, ist wohl die beste Variante, Neuinstallation.

Ist aber nun mal eine privilegierte Shell geöffnet, kann man ja nicht mehr wirklich was dagegen machen oder? Dann lädt er sich sein Tool runter und fängt an sein Rootkit einzupflegen.

Evtl. hört sich das unverständlich an, bin jedoch für jeden Link den ich noch nicht durchforstet habe dankbar.

Es gibt noch 2 Möglichkeiten einen erfolgten Einbruch zu dokumentieren, das hält deinen Einbrecher zwar nicht draussen, aber es wird dir zumindest angezeigt das dein System kompromittiert worden ist.

Tripwire ist bei weitem kein Allheilmittel, da auch dieses manipulierbar ist, allerdings kann es eine gute Erweiterung zum Schutz gegen Cracker werden. Es erfordert allerdings sehr viel Planungsaufwand, bevor das System im Netz ist und im laufendem Betrieb sehr viel Disziplin. Die Belohnung ist aber, das Veränderungen an Dateien (vor allem an Befehlen und System-Dateien bzw. Dateien die nicht verändert werden sollen/müssen) dir direkt angezeigt werden.

Die "Light-Variante" davon wäre mit GPG deine Dateien zu signieren. Diese werden dadurch nicht verschlüsselt, sondern es wird einfach gecheckt, ob diese Datei noch eben diese Datei ist. Leider habe ich keinen Link zur Hand gerade, es wird aber in einem O'Reilly Buch sehr gut beschrieben, ich glaube es war das Linux Security Cookbook wenn ich mich nicht irre, das Tripwire wird doch auch aufgeführt.

Zusätzlich wäre ein Remote-Logging denkbar, denn normalerweise macht der Cracker als allererstes die Logfiles platt, bzw. passt diese an, um Einbrüche zu verbergen. Wenn aber Remote geloggt wird, muss er zusätzlich den Logserver auch noch angreifen, das erschwert es dem Eindringling ungemein.