Einbruch, Virus, Rootkit ?????
Einbruch, Virus, Rootkit ?????
Moin,
ich bin Ratlos. Folgendes Problem: Ich hab hier einen Rechner mit Debian drauf, der über einen anderen Rechner mit Analogmodem ins Internet geht. Leider ist ist die Internetverbindung mit dem Debian-Rechner nur mangelhaft und ich weiß nicht woran das liegt ... d.h. ich erreiche einfach bestimmte Seiten nicht, wie z.B. web.de oder auch ab und zu Google (mal geht, mal nich?!?).
Dass der Router richtig konfiguriert ist und ich ihn daher als Fehlerquelle ausschließen kann, da bin ich mir sicher. Auch dass alle Bauteile vernünftig arbeiten bin ich sicher, da ich auf dem gleichen Rechner noch WinXP drauf habe und mit gleichem Nameserver alles funktioniert. Also kann die einzige Fehlerquelle nur noch die Debian-Installation sein. In letzter Zeit ist es besonders schlimm geworden, allerdings weiss ich nicht mehr nach welchem update das war ...
Ich habe jetzt mal ein wenig (besser sehr viel) Zeit investiert um herrauszufinden, wo der Fehler liegt. Und dass einzige dass ich bisher finden konnte war mit ethereal ein paar "Time-to-live exceeded" und in /var/log/messages vereinzelte "fragmentation needed and DF set" ... beim googeln hab ich herausgefunden, dass es evtl. etwas mit ICMP-Angriffen zu tun haben könnte ...
Wie kann ich, außer mit chkrootkit, noch rausfinden, ob evtl. irgend etwas "böses" installiert wurde??? chkrootkit zeigt nämlich außer der etwas unklaren und anscheinend häufigen Meldung
"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"
keine Fehlermeldung an.
Am einfachsten wäre wahrscheinlich eine Neuinstallation, aber dass will ich nun wirklich nicht, da ich dieses System schon einige Zeit drauf habe und es inzwischen einen Festplatten- sowie einen Rechnerwechsel heil überstanden hat, also auch dementsprechend umfangreich konfiguriert ist und massenhaft Daten enthält...
Da ich eigentlich auch immer hinter einem Router gehangen habe, kann ich mir ja nur (wenn überhaupt) etwas bei updates raufgezogen haben, oder???
Wie gesagt, ich bin Ratlos ... hat jemand einen Tipp für mich???
Danke schon mal
Harry
ich bin Ratlos. Folgendes Problem: Ich hab hier einen Rechner mit Debian drauf, der über einen anderen Rechner mit Analogmodem ins Internet geht. Leider ist ist die Internetverbindung mit dem Debian-Rechner nur mangelhaft und ich weiß nicht woran das liegt ... d.h. ich erreiche einfach bestimmte Seiten nicht, wie z.B. web.de oder auch ab und zu Google (mal geht, mal nich?!?).
Dass der Router richtig konfiguriert ist und ich ihn daher als Fehlerquelle ausschließen kann, da bin ich mir sicher. Auch dass alle Bauteile vernünftig arbeiten bin ich sicher, da ich auf dem gleichen Rechner noch WinXP drauf habe und mit gleichem Nameserver alles funktioniert. Also kann die einzige Fehlerquelle nur noch die Debian-Installation sein. In letzter Zeit ist es besonders schlimm geworden, allerdings weiss ich nicht mehr nach welchem update das war ...
Ich habe jetzt mal ein wenig (besser sehr viel) Zeit investiert um herrauszufinden, wo der Fehler liegt. Und dass einzige dass ich bisher finden konnte war mit ethereal ein paar "Time-to-live exceeded" und in /var/log/messages vereinzelte "fragmentation needed and DF set" ... beim googeln hab ich herausgefunden, dass es evtl. etwas mit ICMP-Angriffen zu tun haben könnte ...
Wie kann ich, außer mit chkrootkit, noch rausfinden, ob evtl. irgend etwas "böses" installiert wurde??? chkrootkit zeigt nämlich außer der etwas unklaren und anscheinend häufigen Meldung
"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"
keine Fehlermeldung an.
Am einfachsten wäre wahrscheinlich eine Neuinstallation, aber dass will ich nun wirklich nicht, da ich dieses System schon einige Zeit drauf habe und es inzwischen einen Festplatten- sowie einen Rechnerwechsel heil überstanden hat, also auch dementsprechend umfangreich konfiguriert ist und massenhaft Daten enthält...
Da ich eigentlich auch immer hinter einem Router gehangen habe, kann ich mir ja nur (wenn überhaupt) etwas bei updates raufgezogen haben, oder???
Wie gesagt, ich bin Ratlos ... hat jemand einen Tipp für mich???
Danke schon mal
Harry
Re: Einbruch, Virus, Rootkit ?????
Das klingt m.E. nicht gut. Gemeint ist, dass unter /proc Verzeichnisse existieren, die nicht sichtbar sind. Ein "ls /proc" zeigt beispielsweise kein Verzeichnis ( = Prozess) namens 4711 an, aber ein "cd /proc/4711" funktioniert. Das letzte System, dass ich so habe reagieren sehen, hatte ein Suckit-LKM/Rootkit drauf...HarryBO wrote:"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"
Debian ist leider nicht meine Stärke. Aber da schon RPM eine Möglichkeit hat, die MD5-Checksummen von Dateien eines RPM-Pakets zu verifizieren, sollte dpgk/apt das auch können. Das zeigte schon auf dem laufenden, befallenen System eine Inkonsistenz beim init-Kommando.
Wirklich korrekt analysieren kannst Du Dein System nur, wenn Du es von einer LiveCD bootest (KNOPPIX bietet sich an), die Platten des Systems irgendwo mountest und chkrootkit dann mit Option "-r mountpunkt" aufrufst:
Code: Select all
mkdir /debianroot
mount -r /dev/mein-debian-root /debianroot
# ggf. weitere Mount-Kommandos, beispielsweise
# mount -r /dev/mein-debian-var /debianroot/var
chkrootkit -r /debianroot
Code: Select all
find /debianroot/dev -type f
Da man nie 100%ig sicher sein kann, dass man alle Schadsoftware auf einem kompromittierten System ausfindig machen und neutralisieren kann, wäre die einzig korrekte Lösung eine Neuinstallation. Konfigurationsdateien des alten Systems sollten auch nur nach vorheriger genauer Überprüfung übernommen werden.
Jochen
Die grösste Lüge der EDV? "Mal eben..."
Hi !
Habe selbiges eben mal probiert mit ähnlicher Fehlermeldung. Habe nen bißchen gesucht, es scheint eher nen Bug in chkrootkit zu sein:
http://www.mepis.org/node/view/2155
P.S.: Soll natürlich nicht unbedingt Entwarnung heißen, würde das System auf jeden Fall genauer überprüfen. Auf der oben angegebenen Seite ist das Programm rootkit-hunter verlinkt, evtl. bringt das ja etwas mehr Klarheit.
Habe selbiges eben mal probiert mit ähnlicher Fehlermeldung. Habe nen bißchen gesucht, es scheint eher nen Bug in chkrootkit zu sein:
http://www.mepis.org/node/view/2155
P.S.: Soll natürlich nicht unbedingt Entwarnung heißen, würde das System auf jeden Fall genauer überprüfen. Auf der oben angegebenen Seite ist das Programm rootkit-hunter verlinkt, evtl. bringt das ja etwas mehr Klarheit.
ich bin von chkrootkit auch schon verunsichert worden, wobei ich jetzt nicht! sagen will, das es bei dir genauso ist.
ich benutze jedenfalls neben chkrootkit nun auch dieses prog:
http://www.rootkit.nl/
ich benutze jedenfalls neben chkrootkit nun auch dieses prog:
http://www.rootkit.nl/
Last edited by chlor on 01. Nov 2004 17:51, edited 2 times in total.
Man sollte vielleicht auch noch erwähnen!
Bei einer Neuinstallation kann man das System mittels md5 prüfen und die Prüfsumme 'außerhalb' speichern, auf Disk oder CD. Es gab mal einen Bericht hier auf >ProLinux darüber. Vor jedem Update kann man die entsprechenden Dateien testen und schauen wo Veränderungen statt gefunden haben. Die kann man dann prüfen und sieht so recht gut um was es sich handelt, rootkit, virus oder sonst was.
Das ist zumindest besser als zu versuchen das System wieder hin zu kriegen wenn es zu spät ist. Backupstrategien sollten auch entwickelt werden damit nicht erst warten muss bis das Kind in den Brunnen gefallen ist.
Man kann sich nie sicher sein ob das 'gereinigte System' sauber ist.
Eine Neuinstallation wäre in deinem Fall so wie Jürgen es schon sagte wohl die beste und sicherste Methode.
Dann mal nachdenken über Schutzmaßnahmen um nicht wieder in so eine Situation zu gelangen.
Bei einer Neuinstallation kann man das System mittels md5 prüfen und die Prüfsumme 'außerhalb' speichern, auf Disk oder CD. Es gab mal einen Bericht hier auf >ProLinux darüber. Vor jedem Update kann man die entsprechenden Dateien testen und schauen wo Veränderungen statt gefunden haben. Die kann man dann prüfen und sieht so recht gut um was es sich handelt, rootkit, virus oder sonst was.
Das ist zumindest besser als zu versuchen das System wieder hin zu kriegen wenn es zu spät ist. Backupstrategien sollten auch entwickelt werden damit nicht erst warten muss bis das Kind in den Brunnen gefallen ist.
Man kann sich nie sicher sein ob das 'gereinigte System' sauber ist.
Eine Neuinstallation wäre in deinem Fall so wie Jürgen es schon sagte wohl die beste und sicherste Methode.
Dann mal nachdenken über Schutzmaßnahmen um nicht wieder in so eine Situation zu gelangen.
Re: Einbruch, Virus, Rootkit ?????
Moin,
danke für die Tipps.
Ich hab jetzt mal mit der c't Software Kollektion 5 mein System nach Viren durchsucht und auch noch mal chkrootkit drüberlaufen lassen. Es wird aber nichts gefunden. Auch rootkit-hunter findet nichts... !?!
Eigentlich habe ich auch nichts anderes erwartet, da ich ab und zu etwas paranoid bin und meine Rechner und auch die meiner Freunde und Bekannten grundsätzlich mit Firewall und Virenprog ausstatte und üblicherweise alle nicht genutzten Dienste abschalte (sowohl unter Windows als auch unter Linux) ...
Ich kann mir durchaus vorstellen, dass ich in einem paranoiden Anfall gewisse Dinge probiert habe oder Security-Software installiert habe, von der ich jetzt allerdings nicht mehr weiß, und dass diese den Netzverkehr behindert ... aber danach hab ich ja auch schon gesucht und alles deinstalliert oder abgeschaltet, dass so einen Effekt hervorrufen könnte, wie ich anfangs geschrieben habe ( Web ... mal geht, mal geht nich) ... solche Kandidaten wären z.B. "snort", "clamav" oder "powertweak", mit denen ich eine Zeitlang experimentiert habe, aber dann doch wieder deinstalliert habe ... könnten von diesen evtl. gewisse Einstellungen übrig sein???
Bei Powertweak werden die Änderungen doch durch den Powertweak-Daemon nach jedem Neustart neu geladen ... wenn ich den also abschalte, dann sollte diese Einstellungen doch sozusagen zurückgesetzt werden, bei einem Neustart, oder?
Firewall hab ich auch schon abgeschaltet und vertraue mal auf den Router ...
/proc/sys/net/ipv4 hab ich auch durchsucht, aber ich kann nichts auffälliges finden ... wie z.B. dass der ICMP-Verkehr behindert wird und darum ein Time-to-live-exceeded auftritt.
Am Modem passiert ja auch nix wenn ich z.B. web.de, spiegel.de oder ospa.de aufrufe .... die Verbindung ist einfach tot ... ein haufen anderer Verbindungen funktionieren dagegen ohne Probleme (z.B. gmx, pro-linux, gnome.org, openoffice.org, bier-reicht.net) ... und dass ist mir völlig unverständlich?!?
Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?
Danke und Gruß
Harry
danke für die Tipps.
Ich hab jetzt mal mit der c't Software Kollektion 5 mein System nach Viren durchsucht und auch noch mal chkrootkit drüberlaufen lassen. Es wird aber nichts gefunden. Auch rootkit-hunter findet nichts... !?!
Eigentlich habe ich auch nichts anderes erwartet, da ich ab und zu etwas paranoid bin und meine Rechner und auch die meiner Freunde und Bekannten grundsätzlich mit Firewall und Virenprog ausstatte und üblicherweise alle nicht genutzten Dienste abschalte (sowohl unter Windows als auch unter Linux) ...
Ich kann mir durchaus vorstellen, dass ich in einem paranoiden Anfall gewisse Dinge probiert habe oder Security-Software installiert habe, von der ich jetzt allerdings nicht mehr weiß, und dass diese den Netzverkehr behindert ... aber danach hab ich ja auch schon gesucht und alles deinstalliert oder abgeschaltet, dass so einen Effekt hervorrufen könnte, wie ich anfangs geschrieben habe ( Web ... mal geht, mal geht nich) ... solche Kandidaten wären z.B. "snort", "clamav" oder "powertweak", mit denen ich eine Zeitlang experimentiert habe, aber dann doch wieder deinstalliert habe ... könnten von diesen evtl. gewisse Einstellungen übrig sein???
Bei Powertweak werden die Änderungen doch durch den Powertweak-Daemon nach jedem Neustart neu geladen ... wenn ich den also abschalte, dann sollte diese Einstellungen doch sozusagen zurückgesetzt werden, bei einem Neustart, oder?
Firewall hab ich auch schon abgeschaltet und vertraue mal auf den Router ...
/proc/sys/net/ipv4 hab ich auch durchsucht, aber ich kann nichts auffälliges finden ... wie z.B. dass der ICMP-Verkehr behindert wird und darum ein Time-to-live-exceeded auftritt.
Am Modem passiert ja auch nix wenn ich z.B. web.de, spiegel.de oder ospa.de aufrufe .... die Verbindung ist einfach tot ... ein haufen anderer Verbindungen funktionieren dagegen ohne Probleme (z.B. gmx, pro-linux, gnome.org, openoffice.org, bier-reicht.net) ... und dass ist mir völlig unverständlich?!?
Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?
Danke und Gruß
Harry
Re: Einbruch, Virus, Rootkit ?????
Hallo,HarryBO wrote:Moin]
Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?
so ins Blaue hinein kann man das schlecht sagen.
Hast Du mal den Netzwerkverkehr mit Ethereal überprüft.?
Hier kannst Du sehr gut verfolgen, warum Pakete nicht durchgehen, bzw.
ob es einen unaufgeforderten Netzwerkverkehr gibt.
Besonders sind hier Verbindungsaufnahmen aus dem Internet auf Deinen PC zu beachten.
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
Hi !
Dein Problem hört sich eher nach ner zu groß eingestellten MTU (Maximum Transfer Unit des TCP/IP-Protokolls) an, ähnliche Probleme gibt es bei DSL. Ob sowas bei Analog-Modems auftritt weiß ich nicht.
Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:
Damit wird jedes Paket, sofern es zu groß ist, auf die Größe der MTU fragmentiert.
Das ist jetzt etwas geraten, aber probieren kostet ja nichts.
Dein Problem hört sich eher nach ner zu groß eingestellten MTU (Maximum Transfer Unit des TCP/IP-Protokolls) an, ähnliche Probleme gibt es bei DSL. Ob sowas bei Analog-Modems auftritt weiß ich nicht.
Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:
Code: Select all
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Das ist jetzt etwas geraten, aber probieren kostet ja nichts.
Besser so?
einfach mal ein.petameta wrote: Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:
Code: Select all
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Code: Select all
ifconfig -a
Dort steht etwas von:
Code: Select all
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1
Einstellen kannst Du den Wert der MTU mit:
Code: Select all
/sbin/ifconfig eth1 mtu 1400
Probiere es dann nochmal....
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
Danke
Moin,
unglaublich ... ich hab schon so oft gelesen, dass ein falscher MTU-Wert bei DSL häufig zu Problemen führt, aber nie in Frage gestellt, ob gleiches auch für ein 56k-Analog-Modem gelten könnte, da ich auch noch nie gelesen habe, dass es da Probleme gibt. Aber ich wurde eines Besseren belehrt, nachdem nach Anwendung der Tipps alles funktioniert. Verdammt!!!
it löppt ...
Danke
Harry
unglaublich ... ich hab schon so oft gelesen, dass ein falscher MTU-Wert bei DSL häufig zu Problemen führt, aber nie in Frage gestellt, ob gleiches auch für ein 56k-Analog-Modem gelten könnte, da ich auch noch nie gelesen habe, dass es da Probleme gibt. Aber ich wurde eines Besseren belehrt, nachdem nach Anwendung der Tipps alles funktioniert. Verdammt!!!
it löppt ...
Danke
Harry
Super, dann war hoffentlich auch der Verdacht wegen Einbruch falsch.
Muß sagen, hab von dem Problem auch nur bei DSL gehört. Aber es kam mir sowas von bekannt vor. Ist bei mir zwar schon ewig her, konnte aber auch einige Internet-Seiten komischerweise nicht erreichen, andere funktionierten ohne Probleme.
Denke mal das Problem ist dasselbe: Die ppp-Verbindung wird für Protokoll-"drumherum" selber etwas Platz der ip-Pakete benötigen. Ein Paket mit maximaler MTU wird dann nicht mehr "durchpassen".
Muß sagen, hab von dem Problem auch nur bei DSL gehört. Aber es kam mir sowas von bekannt vor. Ist bei mir zwar schon ewig her, konnte aber auch einige Internet-Seiten komischerweise nicht erreichen, andere funktionierten ohne Probleme.
Denke mal das Problem ist dasselbe: Die ppp-Verbindung wird für Protokoll-"drumherum" selber etwas Platz der ip-Pakete benötigen. Ein Paket mit maximaler MTU wird dann nicht mehr "durchpassen".