Hat mein Rechner Su-philis? (rootkit?)

carmin

carmin

...
Registriert
26. Dezember 2003
Reaktionspunkte
26
Ort
Alle Richtungen
Hallo zusammen,

jetzt hab ich auch mal ein Problem... Bin neulich auf dem Linux-Rechner meiner Schwester via ISDN-Dialup ins web und habe dabei außer mozilla nichts genutzt. Da lese ich auf einmal in der /var/log/messages (mit tail stets im Blickfeld)
Code: 
00:15:35 syslogd 1.4.1: restart.
00:15:49 su: (to root) root on none
00:15:49 su: pam_unix2: session started for user root, service su 
00:17:53 su: pam_unix2: session finished for user root, service su

Wie gesagt, ich hab kein su gemacht.

1. Gibt es irgendwelche daemons, die da tun? (Wäre doch _sehr_ ungewöhnlich.)

Wenn wir mal davon ausgehen, dass es ein Mensch war (ggf. einer mit -- nicht ganz perfektem -- rootkit):

2. Kann man feststellen, was er getan hat? Die System.map habe ich blöderweise vorher nicht gesichert.

3. Wie komme ich da raus? root-Passwort hab ich gleich geändert, wird aber nichts helfen, und Neuinstallation wäre grade sehr ungünstig.
 
nen deamon als Ursache halte ich auch eher für unwahrscheinlich, die hantieren eigentlich nicht mit su zu root rum.

Um zu schauen, ob du nen rootkit drauf hast, würde ich mal das log nach weiteren Einträgen durchsuchen. des weiteren könntest Du den Rechner mit einem Security-Scanner wie z.B. Nessus scannen. Zusätzlich würde ich mir noch mit netstat -a die offenen Netzwerkverbindungen anschauen bzw. ob irgendwelche Ports offen sind. Wenn dort ungewöhnlich Ports offen oder connected sind, wäre dies ein weiteres Indiz.

Osti
 
Danke schon mal für die schnelle Antwort!

Osti schrieb:
Um zu schauen, ob du nen rootkit drauf hast, würde ich mal das log nach weiteren Einträgen durchsuchen.
Zum Vergrößern anklicken....
Bis auf die zitierten Einträge hab ich bisher nix gefunden... :(

Osti schrieb:
Zusätzlich würde ich mir noch mit netstat -a die offenen Netzwerkverbindungen anschauen bzw. ob irgendwelche Ports offen sind. Wenn dort ungewöhnlich Ports offen oder connected sind, wäre dies ein weiteres Indiz.
Zum Vergrößern anklicken....
Hm, was ist schon ungewöhnlich...
Code: 
$ netstat -a
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:x11                   *:*                     LISTEN      
tcp        0      0 *:ipp                   *:*                     LISTEN      
tcp        0      0 dialin-212-144-03:46328 paatz.de:www-http       VERBUNDEN   
tcp        0      0 dialin-212-144-03:46321 paatz.de:www-http       TIME_WAIT   
tcp        0      0 dialin-212-144-03:46320 paatz.de:www-http       TIME_WAIT   
tcp        0      0 dialin-212-144-03:46323 paatz.de:www-http       TIME_WAIT   
tcp        0      0 dialin-212-144-03:46322 paatz.de:www-http       TIME_WAIT   
  [... etliche weitere Ports bei 46*** ...]
udp        0      0 dialin-212-144-03:34338 dns7.arcor-ip.de:domain VERBUNDEN   
udp        0      0 *:ipp                   *:*
paatz.de kenn ich nicht, eingewählt bin ich grade via arcor, vielleicht hängen die ja zusammen... Bin allerdings schon etwas überrascht angesichts der vielen offenen 46***. Sonst läuft aber nix, nicht mal ein sshd.
 
carmin schrieb:
Hm, was ist schon ungewöhnlich...
Code: 
$ netstat -a
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:x11                   *:*                     LISTEN      
tcp        0      0 *:ipp                   *:*                     LISTEN      
tcp        0      0 dialin-212-144-03:46328 paatz.de:www-http       VERBUNDEN   
tcp        0      0 dialin-212-144-03:46321 paatz.de:www-http       TIME_WAIT   
tcp        0      0 dialin-212-144-03:46320 paatz.de:www-http       TIME_WAIT   
tcp        0      0 dialin-212-144-03:46323 paatz.de:www-http       TIME_WAIT   
tcp        0      0 dialin-212-144-03:46322 paatz.de:www-http       TIME_WAIT   
  [... etliche weitere Ports bei 46*** ...]
udp        0      0 dialin-212-144-03:34338 dns7.arcor-ip.de:domain VERBUNDEN   
udp        0      0 *:ipp                   *:*
paatz.de kenn ich nicht, eingewählt bin ich grade via arcor, vielleicht hängen die ja zusammen... Bin allerdings schon etwas überrascht angesichts der vielen offenen 46***. Sonst läuft aber nix, nicht mal ein sshd.
Zum Vergrößern anklicken....

Die offenen Ports sind Ports mit eingehenden Verbindungen auf deinen Rechner. paatz.de ist der gleiche Rechner wie mtb-news.de. Sprich, eine Reverse-DNS-Aufloesung hat nicht mtb-news.de fuer die IP geliefert, sondern paatz.de. Ist aber nicht schlimm. Zumal du siehst, dass auf paatz.de nur auf Port 80 zugegriffen wird und das ist bei uns der Webserver. Also mit diesen Eintraegen -- nichts ungewoehnliches.

Zwecks deiner rootkit-Geschichte: Kompiliere dir mal chkrootkit zusammen (auf einem sauberen Rechner!) und lass es mal rueberlaufen, vielleicht wirst du dann schlauer.

Gruesse, rikman
 
Vielleicht trösted es dich, ich habe hier auf einem Rechner dieselben Einträge gefunden:
Code: 
Jul  5 04:15:40 su: (to nobody) root on none
Jul  5 04:15:40 su: pam_unix2: session started for user nobody, service su
Jul  5 04:17:26 su: pam_unix2: session finished for user nobody, service su
Die tauchen jede Nacht um die gleiche Zeit auf.
Das ist also absolut ok und kein Grund zur Besorgnis. Ich weiß zwar nicht 100%ig, was diese Einträge verursacht, aber eine Vermutung sind die findutils, bzw. der Befehl updatedb, der par cron einmal am Tag gestartet wird und die Suchdatenbank für locate aufbaut.

Gruß
Daniel
 
Fubbes schrieb:
Das ist also absolut ok und kein Grund zur Besorgnis. Ich weiß zwar nicht 100%ig, was diese Einträge verursacht, aber eine Vermutung sind die findutils, bzw. der Befehl updatedb, der par cron einmal am Tag gestartet wird und die Suchdatenbank für locate aufbaut.
Zum Vergrößern anklicken....
Hey, danke, das wird die Lösung sein! In der Tat läuft updatedb hier unter root (willentlich), und dass das su immer kurz nach einer vollen Viertelstunde passiert und updatedb so ca 2 min laufen dürfte --

chkrootkit ist auch ein guter Tip, kannte ich noch nicht. Werd ich mir anschauen; schließlich sollte man richtige rootkit-Aktionen ja noch nicht mal in den logs wiederfinden.

Also danke noch mal... :bier:
*Schweiß-von-der-Stirn-wisch*
 
carmin .. schau nochmal die erste Logzeile an .. ein Angreifer muesste ziemlich daemlich sein, als root nochmal ein "su" zu machen ;)

Aber Aufmerksamkeit ist eine Zier :daumen:

EDIT: Reproduzierbar uebrigens mit:

Code: 
# su root -c "true"
 
Fubbes schrieb:
Vielleicht trösted es dich, ich habe hier auf einem Rechner dieselben Einträge gefunden:
Code: 
Jul  5 04:15:40 su: (to nobody) root on none
Jul  5 04:15:40 su: pam_unix2: session started for user nobody, service su
Jul  5 04:17:26 su: pam_unix2: session finished for user nobody, service su
Zum Vergrößern anklicken....
Nur,dass bei dir ein su zu nobody gemacht wird/wurde und bei carmin zu root!

die zeile, die carmin gepostet hat, steht bei mir definitiv nur für die Zeiten, an denen ich auch su ausgeführt habe. in der /var/log/messages kann ich keine updatedb finden; crontab (-e) ist aber eh leer. kannst ja mal da rein schauen.
stehen denn die einträge mehrfach drin (um zu cheken, ob es wirklich ein cronjob ist)?
 
@gage_... 1:0 (bist'n Grieche?)

crumble schrieb:
die zeile, die carmin gepostet hat, steht bei mir definitiv nur für die Zeiten, an denen ich auch su ausgeführt habe. in der /var/log/messages kann ich keine updatedb finden; crontab (-e) ist aber eh leer. kannst ja mal da rein schauen.
stehen denn die einträge mehrfach drin (um zu cheken, ob es wirklich ein cronjob ist)?
Zum Vergrößern anklicken....
Ja, wie gesagt standen (unter den vielen su's von mir) die "(to root) root on none" mehrfach drin (waren mir komischerweise bisher nie aufgefallen, der Rechner läuft aber auch viel ohne mich, da entging mir das [seltene] updatedb), und zwar jeweils kurz nach einer vollen Viertelstunde, was durchaus auf cron hindeutet, und natürlich ist auch das updatedb (noch, muss raus) als cronjob registriert.

Zu meiner obigen Besorgnis trug auch bei, dass ich (vor allem mangels Zeit) noch nicht geschafft habe, die SuSE-[ja, schlagt mich]-Firewall zum laufen zu kriegen, und der Rechner vielleicht etwas ungeschützt da steht.

Weiß eigentlich jemand, aus welchem Anlass der syslogd regelmäßig neu startet?
 
carmin schrieb:
Weiß eigentlich jemand, aus welchem Anlass der syslogd regelmäßig neu startet?
Zum Vergrößern anklicken....

Stichwort logrotate cronjob.

Konfiguration unter /etc/logrotate.conf bzw. /etc/logrotate.d/

Gruesse, rikman
 
Bitte beachte unsere Verhaltensregeln beim Antworten. Danke 🙂
Zurück