Suse-Linux Server gehackt / Rootkit ??

[damager]

beides zeigt keine Infos dazu an

du müsstest natürlich beim lsof die aktuellen source-port angeben...
netstat -a müsste aber diese verbindung anzeigen wenn eine existiert.

spricht was dagegen die ausgabe von netstat -a hier zu posten?

 

[aragorn2]

@damager

du müsstest natürlich beim lsof die aktuellen source-port angeben...

ja, klar, habe ich auch getan. Habe zu Rootkits etwas recherchiert und herausgefunden, dass Dateien, die erstellt und gleich wieder gelöscht wurden nicht mit ps angezeigt werden können, aber mit lsof (bei Dateireferenzen < 1), trotzdem keine Ausgabe.

netstat -a müsste aber diese Verbindung anzeigen wenn eine existiert.
spricht was dagegen die ausgabe von netstat -a hier zu posten?

nein, nachdem ich die Ausgabe anonymisiert habe, ist das ok:

<hostXXX>:~/STR/scripts/proxy+id/nmap # netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:22223 *:* LISTEN
tcp 0 0 <hostname>:domain *:* LISTEN
tcp 0 0 localhost:domain *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
tcp 0 0 localhost:953 *:* LISTEN
tcp 1 0 localhost:22223 localhost:4668 CLOSE_WAIT
tcp 0 0 *:imaps *:* LISTEN
tcp 0 0 *:pop3s *:* LISTEN
tcp 0 0 *:22222 *:* LISTEN
tcp 0 0 *:imap *:* LISTEN
tcp 0 0 *:www-http *:* LISTEN
tcp 0 0 *:domain *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:953 *:* LISTEN
tcp 0 0 *:https *:* LISTEN
tcp 0 712 <hostname>:ssh <MyProviderIP>:34751 ESTABLISHED
tcp 0 0 <hostname>:ssh <MyProviderIP>:33983 ESTABLISHED
tcp 0 0 <hostname>:ssh <MyProviderIP>:34239 ESTABLISHED
tcp 0 0 <hostname>:ssh <MyProviderIP>:62911 ESTABLISHED
tcp 0 0 <hostname>:ssh <MyProviderIP>:45490 ESTABLISHED
tcp 0 0 <hostname>:pop3s <MyProviderIP>:48823 ESTABLISHED
udp 0 0 *:1024 *:*
udp 0 0 <hostname>:domain *:*
udp 0 0 localhost:domain *:*
udp 112972 0 *:bootpc *:*
udp 0 0 <hostname>:ntp *:*
udp 0 0 localhost:ntp *:*
udp 0 0 *:ntp *:*
udp 0 0 *:blackjack *:*
udp 0 0 *:domain *:*
udp 0 0 *:ntp *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 14345 /var/run/nscd/socket
unix 2 [ ] DGRAM 8051506 /var/lib/named/dev/log
unix 2 [ ACC ] STREAM LISTENING 1412821 /usr/lib/courier-imap/var/authdaemon/socket.tmp
unix 2 [ ] DGRAM 8051508 /var/lib/ntp/dev/log
unix 3 [ ] DGRAM 8051504 /dev/log
unix 2 [ ACC ] STREAM LISTENING 8050862 /var/lib/mysql/mysql.sock
unix 2 [ ] DGRAM 5240 @udevd
unix 2 [ ] DGRAM 8068716
unix 2 [ ] DGRAM 8050929
unix 2 [ ] DGRAM 8050696
unix 2 [ ] DGRAM 8044109
unix 3 [ ] STREAM CONNECTED 7993099
unix 3 [ ] STREAM CONNECTED 7993098
unix 3 [ ] STREAM CONNECTED 7993097
unix 3 [ ] STREAM CONNECTED 7993096
unix 3 [ ] STREAM CONNECTED 7991004
unix 3 [ ] STREAM CONNECTED 7991003
unix 3 [ ] STREAM CONNECTED 7991002
unix 3 [ ] STREAM CONNECTED 7991001
unix 2 [ ] DGRAM 7767490
unix 2 [ ] DGRAM 7669578
unix 2 [ ] DGRAM 7589858
unix 2 [ ] DGRAM 7519552
unix 2 [ ] DGRAM 7009065
unix 2 [ ] DGRAM 1412820
unix 2 [ ] DGRAM 14079


wobei ich mit Blackjack nichts anfangen kann:

<hostXXX>:~/STR/scripts/proxy+id/nmap # grep blackjack /etc/services
blackjack 1025/tcp # network blackjack
blackjack 1025/udp # network blackjack

'lsof -i | grep 1025' => keine Info

was hat dieser TCP/UDP-Port für eine Aufgabe? Nach aussen hin wird dieser sowieso gefiltert, aber wenn der Dienst gleich abgestellt werden kann, um so besser ...

 

[damager]

lsof löst portnamen auf wenn dieser in der /etc/services stehen.
korrekt wäre also:lsof -i | grep -i blackjack

der netstat zeigt bis auf deinen ssh-connect nix an ... sicher das da ne verbindung aktuell besteht?

 

[theton]

Naja, bei einigen der LISTEN-Sockets wuerde ich schon nochmal nachschauen, ob da Services zugeordnet werden koennen. z.B.:

tcp 1 0 localhost:22223 localhost:4668 CLOSE_WAIT
tcp 0 0 *:22223 *:* LISTEN

Ausserdem frage ich mich, ob da wirklich nen DNS laeuft und warum der nen UDP-Socket oeffnen sollte.

udp 0 0 localhost:domain *:*

Und warum ist ein BOOTP-Client an, der nicht ueber xinetd gestartet wurde? Geht das ueberhaupt? Oder laeuft ueberhaupt ein Bootp-Client? Wenn nicht, wuerde ich mir diesen offenen Port mal etwas genauer anschauen.
Auch der fuer UDP offene Port 1024 duerfte nicht sein, sofern dort kein Samba laeuft.

udp 0 0 *:1024 *:*

Ohne den Server zu kennen, kann man natuerlich nur spekulieren welche Services tatsaechlich dort laufen. Wie auch immer... mach die Kiste platt und setze sie dann neu (und sicher) wieder auf. Diesmal gleich Datei-Integritaetstools und nen IDS rauf, die Firewall richtig eingestellt und die Werte fuer's Netzwerk in /proc entsprechend angepasst, keine Webadmin-Tools mehr rauf und dann sollte ein Angriff wesentlich erschwert werden. Sofern moeglich auch alle oeffentlichen Dienste auf einen anderen Port legen und dann einfach per iptables auf den Default-Port leiten. SSH1 ausschalten und den sshd auf nen anderen Port packen sowie root-Login verbieten und allen Usern, die keine Shell brauchen, /bin/false o.ae. als Login-Shell in die passwd eintragen und dann wird es gleich noch ein wenig schwieriger. Und evtl. mal wirklich mit Netzwerk-Sicherheit beschaeftigen oder deinen Fokus nochmal ueberdenken.

 

[aragorn2]

@damager

der netstat zeigt bis auf deinen ssh-connect nix an ... sicher das da ne verbindung aktuell besteht?

ja, ich habe meine IP aber unkenntlich gemacht:
tcp 0 712 <hostname>:ssh <MyProviderIP>:34751 ESTABLISHED

lsof löst portnamen auf wenn dieser in der /etc/services stehen.
korrekt wäre also:lsof -i | grep -i blackjack

DANKE! Sehr hilfreich, diese Linux-Besonderheit kannte ich noch nicht :-)

h707158:~/STR/scripts/proxy+id/nmap # lsof -i | grep blackjack
named 4571 named 27u IPv6 13736 UDP *:blackjack

IPv6, interessant ... zwar wahrscheinlich noch länger nicht benötigt ... ;-)

<hostXXX>:~/STR/scripts/proxy+id/nmap # lsof -i | grep named
named 4571 named 20u IPv6 13721 UDP *:domain
named 4571 named 21u IPv6 13722 TCP *:domain (LISTEN)
named 4571 named 22u IPv4 13724 UDP localhost:domain
named 4571 named 23u IPv4 13725 TCP localhost:domain (LISTEN)
named 4571 named 24u IPv4 13726 UDP <hostXXX>:domain
named 4571 named 25u IPv4 13727 TCP <hostXXX>:domain (LISTEN)
named 4571 named 26u IPv4 13735 UDP *:1024
named 4571 named 27u IPv6 13736 UDP *:blackjack
named 4571 named 28u IPv4 13737 TCP localhost:953 (LISTEN)
named 4571 named 29u IPv6 13738 TCP localhost:953 (LISTEN)

Port 53 TCP+UDP ist klar, wozu aber Daemons auf 1024 UDP und TCP-Port 953 horchen (IP4)?

nmap auf 127.0.0.1: TCP+UDP
Interesting ports on localhost (127.0.0.1):

953/tcp open rndc?
993/tcp open ssl OpenSSL
995/tcp open ssl OpenSSL
22222/tcp open unknown
22223/tcp open unknown
1024/udp open|filtered unknown
59773/udp open unknown

Port 995 ist POP3 via SSL, 995 ist SMTP via SSL.

Vorher nur Zielport 1 und 21, jetzt 1 und 7 (und 36000-er Quell-Port-Bereich):

<HostXXX>:# cat /proc/net/ip_conntrack | grep 212.227.83.130
tcp 6 431340 ESTABLISHED src=<MyServerIP> dst=212.227.83.130 sport=36273 dport=7 packets=1 bytes=60 src=212.227.83.130 dst=<MyServerIP> sport=7 dport=36273 packets=0 bytes=0 mark=0 use=1
tcp 6 431340 ESTABLISHED src=<MyServerIP> dst=212.227.83.130 sport=36275 dport=1 packets=1 bytes=60 src=212.227.83.130 dst=<MyServerIP> sport=1 dport=36275 packets=0 bytes=0 mark=0 use=1

Aus diesem Verhalten werde ich immer noch nicht schlauer ...

Diese URLs zum Thema IDS/Rootkit-Detection finde ich ganz hilfreich:

http://www.martinwodrich.de/science/nids/Studienarbeit.pdf
http://ots.fh-brandenburg.de/downloads/rootkits/vortrag.pdf
http://www.red-database-security.com/wp/db_rootkits_dt.pdf
http://wiki.koeln.ccc.de/images/4/49/Openchaos-malware-unix.pdf

 

[damager]

ja, ich habe meine IP aber unkenntlich gemacht:
tcp 0 712 <hostname>:ssh <MyProviderIP>:34751 ESTABLISHED

ich meinte ja auch das AUSSER des ssh connects nichts zu sehen ist

DANKE! Sehr hilfreich, diese Linux-Besonderheit kannte ich noch nicht :-)

man lernt eben nie aus...

Vorher nur Zielport 1 und 21, jetzt 1 und 7 (und 36000-er Quell-Port-Bereich):

<HostXXX>:# cat /proc/net/ip_conntrack | grep 212.227.83.130
tcp 6 431340 ESTABLISHED src=<MyServerIP> dst=212.227.83.130 sport=36273 dport=7 packets=1 bytes=60 src=212.227.83.130 dst=<MyServerIP> sport=7 dport=36273 packets=0 bytes=0 mark=0 use=1
tcp 6 431340 ESTABLISHED src=<MyServerIP> dst=212.227.83.130 sport=36275 dport=1 packets=1 bytes=60 src=212.227.83.130 dst=<MyServerIP> sport=1 dport=36275 packets=0 bytes=0 mark=0 use=1

und immer nur ein paket mit 60bytes....
evtl. doch mal mit tcpdump die pakete zu 212.227.83.130 aufnehmen....

komisch ist auch das hier dst=212.227.83.130 auch als src=212.227.83.130 geführt wird!?!

der revers-dns sagt p15194013.pureserver.info....komisch