[Forum] RE: [Forum] hacked - og hva så?

From: Johannesen,Bjarke BZJ <bzj@SCANDIHEALTH.COM>
Date: Mon Mar 18 2002 - 14:53:01 CET

Hej

> Jeg var væk fra maskinen i 2 minutter igår, og da jeg kom tilbage var
> maskinen ved at reboote. Det sker vel normalt ikke af sig selv.
> Jeg har nu sat sikkerheden i vejret med en firewall og ændret
> på nogle
> tilladelser.
> Er der nogen steder ud over /var/log/messages, hvor jeg kan
> lede efter tegn
> på fremmed indtrængen?

Udover de ting som allerede er blevet nævnt, vil jeg godt komme med nogle
flere ting, da jeg lige har idag og ryttet op i en maskine som
er blevet hacket med rootkit samt nogle programmer jeg ikke har set før.

En af måderne jeg fandt ud af at den var hacket var, at sshd er blevet
skiftet ud med en version som ikke sladre til nogen log filer, samt at
den er fyldt med bagdøre. Den kan man se fordi der ligepludselig står
RSA1 istedet for RSA når man logger på med en ssh2 klient + at du
skal acceptere ny kode.

i /etc/rc.d/rc.local og rc.sysinit er der tilsidst blevet sat filer ind
med ret underlige navne samt de alle ligger i /dev

du kan altid finde et rootkit ved at have en "trusted" ls og find kommando.
Med
trusted mener jeg at du er sikker på at den kommando ikke er skiftet ud med
en rootkit ting.

find /dev -type f
viser dig alle normale filer under /dev, og der skal ikke være ting som er
skrevet
med l33t eller desligende.

ved at bruge lsof kunne jeg konstatere at mingetty var en af server
programmerne,
som giver bagdøre, samt bash også kørte en bagdør ind i systemet.

På denne maskine jeg skulle rette op på har de også skiftet et eller andet
ud som
gør at der er forskellige filer der ikke kan slettes eller rette i. Jeg tror
at
grunden til dette virker er at maskinen har være rebootet, hvilket er noget
jeg
ALDRIG vil anbefale, da nogle rootkit programmer installere ting ind i
rc.sysinit
der slette alle spor.

De glemte iøverigt at slette /var/log/secure.1, så jeg kan se at der har
været
hæftig ftp aktivitet til mange underlige steder i verden.

Happy hunting.

Mvh Bjarke
Received on Mon Mar 18 14:53:35 2002

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:03:30 CEST