Re: [Forum] hacked - og hva så?

From: sascha dibbern <sd@a-priori-development.com>
Date: Mon Mar 18 2002 - 12:45:11 CET

Hej,

her er nogen smaa tips af een som har proevet at vaere offer for saadanne
hackerangreb. Disse tips er nok ikke fyldestgoerende men giver en ide om
hvad disse 'populaere' hacker-root-kits laver paa dit system.

1. din /var/log/messages og /var/log/security ... kan du ikke have tillid
til:
  a. enten er de helt 'toemt' for indhold => !!! Hacker-alarm !!
  eller
  b. rootkittet var saa smart at slette kun de linier, som kunne hjaelpe
     dig paa vej

Min 'paranoid' tip=> for at 'fange' hacker(en/ne) senere vil det derfor
vaere en god ide at installere et net-accounting (nacct) program, som
protokollerer nettraffiken derudover. Maaske burde man ogsa gaa igang med
at protokollere processer ;-)

2. programmer i /bin/ , /sbin/ , /usr/bin/ , /usr/sbin ... kan
   vaere overskreven paa en saadan maade at det skaber en
   stealth-mekanisne + backdoor til hackeren f.eks. fil-management
   (ls,cp..) & proces-management (top,ps,..) & net-management
   (netstat..)..
Min 'paranoid'-tip: Jo smarter 'root-kittet' er,jo farliger er den, saa
naar du checker/overskriver disse filer, saa boer du kun bruge programmer
fra skrive-beskyttede medier f.eks. naar du checker checksum eller
overinstaller igen.

3. du siger at din maskine blev rebootet => check evt. om aendringer i
filer for bootprocessen. Her kan det ogsaa vaere at 'root-scriptet' har
'installeret' en helt ny kernel/saet kernel-moduler paa dit system =>
worst case !!!

4. Naar du saa har 'cleanet' systemet saavidt at du har faet en
til dels 'trustworthy' programmel-basis igen op at staa, saa kan
det maaske vaere en ide om at soege efter fragmenter fra root-kittet paa
harddisken (f.eks. ved at soege efter filer, med skabelsesdato i
'angrebstiden'). Man finder nogengange installationskoden
til 'root'-scripts i f.eks. /dev-mappen gemt bag en filmappe med
'device-navn', eller hvis man har nogen Linux-sourcekode liggende paa sin
maskine (/usr/src/linux...) saa kan det ofte vaere at finder fragmenter af
'root'-scriptet derinde.
Med disse 'fragmenter' (installations-filer), kan du saa, hvis du er
heldigt, finde ud af hvad der egentligt skete, da root-kittet
blev installeret f.eks. hvilke filer, der blev udskiftet/manipuleret ....

Haaber det kan hjaelpe dig lidt ;-)

mvh

Sascha

-- 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
A Priori Development I/S
- Integration of webconcepts & eCommerce solutions
Find us on the web at
   http://www.a-priori-development.com
Sascha Dibbern
Mobilephone: [+45] 28 12 82 76
Workphone:   [+45] 87 34 55 63
Private homepage: http://sascha.dibbern.info/
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Received on Mon Mar 18 12:45:43 2002

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:03:30 CEST