chkrootkit: bindshell INFECTED

ww

ww

Well-Known Member
Hallo Comm,

kleiner Schreck am Morgen: Nachdem ich per ssh nicht mehr in einen Server reinkam, habe ich meinen *** in das nahegelegene RZ bewegt und mir die Box direkt angeschaut.

Alle relevanten Logfiles endeten vor einer Woche.
ps -ax zeigte eigenartige Einträge, die arp/sendmail-related waren.

chkrootkit zeigte ein "bindshell INFECTED" an.

Da der Rechner ziemlich jungfräulich aufgesetzt war (5.4 p1, ipfw) und ich ihn eigentlich nur als Entwicklungsbox benutzen wollte, habe ich kurzerhand ausgeschaltet, werde gelegentlich die HD austauschen und von vorne beginnen. Das eigenartige ist, daß ich die IP-Adresse immer noch anpingen kann, obwohl die Box garantiert ausgeschaltet ist... 80.242.136.85

Die zweite, private NIC 192.168.0.5 ist down; ich kann sie von einem Rechner im gleichen Netz nicht anpingen.

Meine Vermutung ist, daß jemand das Ding zum Anpreisen von penis enlargement pills nutzen wollte. OK, das kann er jetzt nicht mehr, aber vielleicht kann mich mal jemand aufklären:

Welcher Dienst wurde kompromittiert?
Wieso klappt das bei einer Defaultinstallation?
Liege ich falsch, wenn ich Sendmail verdächtige?
Ich habe noch 4 andere Boxen installiert, die produktiv laufen. Bei allen ist Sendmail durch Postfix ersetzt. Außerdem habe ich chkrootkit ohne Befund drüberlaufen lassen und sämtliche Passwörter geändert.

Was kann ich noch tun, um o.g. Vorkommnis in Zukunft zu verhindern?

Gruß,
ww (r00ted)
 
Zuletzt bearbeitet:
Hi,

trenn doch mal bitte das Kabel vom uplink:

Initiating Connect() Scan against 80.242.136.85 [1663 ports] at 13:45
Discovered open port 80/tcp on 80.242.136.85
Discovered open port 21/tcp on 80.242.136.85
Discovered open port 22/tcp on 80.242.136.85

???

Steht das Ding bei level3?
Dort hört ein traceroute auf....

CU

Martin
 
Bei euch ist was mit den IPs durcheinander.

An der genannten IP hängt ein SuSE Webserver.

CU

Martin
 
O Gott, ein Heide. Ich werde mal dem Router eins über mir Bescheid geben. W.
 
Also "chkrootkit" hat bei mir in der Vergangenheit öfters mal junk produziert. Sprich Fehlalarm.
Habe eben auf diversen Büchsen chkrootkit-0.45 rennen lassen, keine Probleme aufgetaucht. Daher würde ich fast mal drauf setzen das bei Deinem Server was faul ist (wenn es die gleiche version von chkrootkit ist).

Ansonsten bringt ein ping auf die IP nichts. Ein nmap genauso wenig.

@troll
Was meinst Du mit Level 3? Runlevel gibt es nicht.
Und ich erreiche die genannte IP gar nicht, wie kommst Du dann auf SuSE?

EDIT:
@ww
bindshell mosert er an, also würde ich mal auf bind tippen und nicht auf sendmail der da Probleme verursacht hat. Mir kommt das bei einer jungfräulichen Kisten nur etwas seltsam vor. Ein file integritäts tool haste nicht am laufen? Solltest Du nutzen wenn alles mal steht und dann periodisch kontrollieren.
--> tripwire, aide, yafic oder einfach mtree
 
asg schrieb:
@troll
Was meinst Du mit Level 3? Runlevel gibt es nicht.

Level3 ist eine Firma.

Und ich erreiche die genannte IP gar nicht, wie kommst Du dann auf SuSE?
Zum Vergrößern anklicken....

Ich erreiche sie.
Auf SuSE komme ich, weil ein Scan gegen die Kiste einen offenen Port 80 gebracht hat.

$ curl -I 80.242.136.85 | grep erver
Server: Apache/2.0.53 (Linux/SUSE)

CU

Martin
P.S. mit chkrootkit gebe ich dir recht. Allerdings muss man das genauer verifizieren.
Die Nichterreichbarkeit würde ich aber erst mal auf einen durchgeknallten Router schieben wie ww auch.
 
Eben gerade:
Ping wird ausgeführt für 80.242.136.85 mit 32 Bytes Date
Antwort von 80.242.136.85: Bytes=32 Zeit=50ms TTL=52
Antwort von 80.242.136.85: Bytes=32 Zeit=40ms TTL=52
 
Was mir in messages auffällt:

Jun 7 21:29:00 caro kernel: arp: 80.242.136.85 moved from 00:50:8b:0c:a4:2f to 00:04:23:af:6f:70 on rl1

Diesen Eintrag finde ich in der 80.242.136.83-Box, mit der ich mich vorgestern via ssh zu dem Problemrechner .85 verbinden wollte.

Was ist bitte das?

Danke, ww
 
Die IP 80.242.136.85 hat die ARP-Adresse gewechselt.
Was dann heisst: arp-poisoning, falsch konfigurierter Router, eine Mac die zweimal im Netz vorkommt, ...
 
Hm, das bedeutet doch, daß sie jetzt auf eine andere - nicht meine - Karte zeigt?

Sorry, wenn ich etwas blöd frage.
 
00:50:8b:0c:a4:2f
00-50-8B (hex) COMPAQ COMPUTER CORPORATION
00508B (base 16) COMPAQ COMPUTER CORPORATION
20555 S.H. 249
HOUSTON TX 77070
UNITED STATES
Zum Vergrößern anklicken....

und

00:04:23:af:6f:70
00-04-23 (hex) Intel Corporation
000423 (base 16) Intel Corporation
MS: JF3-420
2111 NE 25th Avenue
Hillsboro OR 97124
UNITED STATES
Zum Vergrößern anklicken....

Herauszufinden via:
http://standards.ieee.org/cgi-bin/ouisearch
Dabei die ersten drei Stellen nehmen und statt ":" ein "-" angeben

Frag beim dem Hoster nach was sich geändert hat, der hat sicher was an seiner Hardware geschraubt und einen Router gewechselt oder ähnliches...
 
Haben die einfach mal die IPs geändert die Jungs? Sieht ja alles sehr sehr komisch aus.
 
Schön, es scheint ein falscher Eintrag in einem Nameserver meines Providers zu sein. Was für eine Aufregung...

Ich vermute langsam, daß doch keine Kompromittierung des Servers vorliegt, sondern ein falscher DNS-Eintrag das Durcheinander getriggert hat.

@troll: Keine Angst. Ich drucke gerade das Internetz aus, um ein Backup zu haben, falls ich es kaputtmache. Wenn ich damit fertig bin, gehe ich auf folgende Seite:

http://www.turnofftheinternet.com/
 
ww schrieb:
Schön, es scheint ein falscher Eintrag in einem Nameserver meines Providers zu sein. Was für eine Aufregung...
Zum Vergrößern anklicken....
Nicht nur. Die scheinen die IP zweimal vergeben zu haben...
@troll: Keine Angst. Ich drucke gerade das Internetz aus, um ein Backup zu haben, falls ich es kaputtmache. Wenn ich damit fertig bin, gehe ich auf folgende Seite:

http://www.turnofftheinternet.com/
Zum Vergrößern anklicken....

Das ist schön. Kannst du mir dann das Internetz einscannen und per Mail schicken, wenn dus abgeschaltet hast?

CU

Martin
curl * > /dev/lp0
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben