Einbruch, Virus, Rootkit ?????

[HarryBO]

Moin,

ich bin Ratlos. Folgendes Problem: Ich hab hier einen Rechner mit Debian drauf, der über einen anderen Rechner mit Analogmodem ins Internet geht. Leider ist ist die Internetverbindung mit dem Debian-Rechner nur mangelhaft und ich weiß nicht woran das liegt ... d.h. ich erreiche einfach bestimmte Seiten nicht, wie z.B. web.de oder auch ab und zu Google (mal geht, mal nich?!?).

Dass der Router richtig konfiguriert ist und ich ihn daher als Fehlerquelle ausschließen kann, da bin ich mir sicher. Auch dass alle Bauteile vernünftig arbeiten bin ich sicher, da ich auf dem gleichen Rechner noch WinXP drauf habe und mit gleichem Nameserver alles funktioniert. Also kann die einzige Fehlerquelle nur noch die Debian-Installation sein. In letzter Zeit ist es besonders schlimm geworden, allerdings weiss ich nicht mehr nach welchem update das war ...

Ich habe jetzt mal ein wenig (besser sehr viel) Zeit investiert um herrauszufinden, wo der Fehler liegt. Und dass einzige dass ich bisher finden konnte war mit ethereal ein paar "Time-to-live exceeded" und in /var/log/messages vereinzelte "fragmentation needed and DF set" ... beim googeln hab ich herausgefunden, dass es evtl. etwas mit ICMP-Angriffen zu tun haben könnte ...

Wie kann ich, außer mit chkrootkit, noch rausfinden, ob evtl. irgend etwas "böses" installiert wurde??? chkrootkit zeigt nämlich außer der etwas unklaren und anscheinend häufigen Meldung

"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"

keine Fehlermeldung an.

Am einfachsten wäre wahrscheinlich eine Neuinstallation, aber dass will ich nun wirklich nicht, da ich dieses System schon einige Zeit drauf habe und es inzwischen einen Festplatten- sowie einen Rechnerwechsel heil überstanden hat, also auch dementsprechend umfangreich konfiguriert ist und massenhaft Daten enthält...

Da ich eigentlich auch immer hinter einem Router gehangen habe, kann ich mir ja nur (wenn überhaupt) etwas bei updates raufgezogen haben, oder???

Wie gesagt, ich bin Ratlos ... hat jemand einen Tipp für mich???

Danke schon mal
Harry

[jochen]

"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"

Das klingt m.E. nicht gut. Gemeint ist, dass unter /proc Verzeichnisse existieren, die nicht sichtbar sind. Ein "ls /proc" zeigt beispielsweise kein Verzeichnis ( = Prozess) namens 4711 an, aber ein "cd /proc/4711" funktioniert. Das letzte System, dass ich so habe reagieren sehen, hatte ein Suckit-LKM/Rootkit drauf...

Debian ist leider nicht meine Stärke. Aber da schon RPM eine Möglichkeit hat, die MD5-Checksummen von Dateien eines RPM-Pakets zu verifizieren, sollte dpgk/apt das auch können. Das zeigte schon auf dem laufenden, befallenen System eine Inkonsistenz beim init-Kommando.

Wirklich korrekt analysieren kannst Du Dein System nur, wenn Du es von einer LiveCD bootest (KNOPPIX bietet sich an), die Platten des Systems irgendwo mountest und chkrootkit dann mit Option "-r mountpunkt" aufrufst:

Code: Select all

mkdir /debianroot 
mount -r /dev/mein-debian-root /debianroot
# ggf. weitere Mount-Kommandos, beispielsweise
# mount -r /dev/mein-debian-var /debianroot/var
chkrootkit -r /debianroot

Ausserdem zeigen sich dann auch meist schnell Auffälligkeiten wie mehrere Dateien namens /sbin/init*, oder auch normale Dateien unter /dev versteckt, die man einfach mit

Code: Select all

find /debianroot/dev -type f

finden kann.

Da man nie 100%ig sicher sein kann, dass man alle Schadsoftware auf einem kompromittierten System ausfindig machen und neutralisieren kann, wäre die einzig korrekte Lösung eine Neuinstallation. Konfigurationsdateien des alten Systems sollten auch nur nach vorheriger genauer Überprüfung übernommen werden.

Jochen

[petameta]

Hi !

Habe selbiges eben mal probiert mit ähnlicher Fehlermeldung. Habe nen bißchen gesucht, es scheint eher nen Bug in chkrootkit zu sein:

http://www.mepis.org/node/view/2155

P.S.: Soll natürlich nicht unbedingt Entwarnung heißen, würde das System auf jeden Fall genauer überprüfen. Auf der oben angegebenen Seite ist das Programm rootkit-hunter verlinkt, evtl. bringt das ja etwas mehr Klarheit.

[chlor]

ich bin von chkrootkit auch schon verunsichert worden, wobei ich jetzt nicht! sagen will, das es bei dir genauso ist.
ich benutze jedenfalls neben chkrootkit nun auch dieses prog:
http://www.rootkit.nl/

[jojojo]

Man sollte vielleicht auch noch erwähnen!
Bei einer Neuinstallation kann man das System mittels md5 prüfen und die Prüfsumme 'außerhalb' speichern, auf Disk oder CD. Es gab mal einen Bericht hier auf >ProLinux darüber. Vor jedem Update kann man die entsprechenden Dateien testen und schauen wo Veränderungen statt gefunden haben. Die kann man dann prüfen und sieht so recht gut um was es sich handelt, rootkit, virus oder sonst was.
Das ist zumindest besser als zu versuchen das System wieder hin zu kriegen wenn es zu spät ist. Backupstrategien sollten auch entwickelt werden damit nicht erst warten muss bis das Kind in den Brunnen gefallen ist.
Man kann sich nie sicher sein ob das 'gereinigte System' sauber ist.
Eine Neuinstallation wäre in deinem Fall so wie Jürgen es schon sagte wohl die beste und sicherste Methode.
Dann mal nachdenken über Schutzmaßnahmen um nicht wieder in so eine Situation zu gelangen.

[jojojo]

Ich meine nicht 'Jürgen' sondern Jochen, sorry.

[HarryBO]

Moin,

danke für die Tipps.

Ich hab jetzt mal mit der c't Software Kollektion 5 mein System nach Viren durchsucht und auch noch mal chkrootkit drüberlaufen lassen. Es wird aber nichts gefunden. Auch rootkit-hunter findet nichts... !?!

Eigentlich habe ich auch nichts anderes erwartet, da ich ab und zu etwas paranoid bin und meine Rechner und auch die meiner Freunde und Bekannten grundsätzlich mit Firewall und Virenprog ausstatte und üblicherweise alle nicht genutzten Dienste abschalte (sowohl unter Windows als auch unter Linux) ...

Ich kann mir durchaus vorstellen, dass ich in einem paranoiden Anfall gewisse Dinge probiert habe oder Security-Software installiert habe, von der ich jetzt allerdings nicht mehr weiß, und dass diese den Netzverkehr behindert ... aber danach hab ich ja auch schon gesucht und alles deinstalliert oder abgeschaltet, dass so einen Effekt hervorrufen könnte, wie ich anfangs geschrieben habe ( Web ... mal geht, mal geht nich) ... solche Kandidaten wären z.B. "snort", "clamav" oder "powertweak", mit denen ich eine Zeitlang experimentiert habe, aber dann doch wieder deinstalliert habe ... könnten von diesen evtl. gewisse Einstellungen übrig sein???

Bei Powertweak werden die Änderungen doch durch den Powertweak-Daemon nach jedem Neustart neu geladen ... wenn ich den also abschalte, dann sollte diese Einstellungen doch sozusagen zurückgesetzt werden, bei einem Neustart, oder?

Firewall hab ich auch schon abgeschaltet und vertraue mal auf den Router ...

/proc/sys/net/ipv4 hab ich auch durchsucht, aber ich kann nichts auffälliges finden ... wie z.B. dass der ICMP-Verkehr behindert wird und darum ein Time-to-live-exceeded auftritt.

Am Modem passiert ja auch nix wenn ich z.B. web.de, spiegel.de oder ospa.de aufrufe .... die Verbindung ist einfach tot ... ein haufen anderer Verbindungen funktionieren dagegen ohne Probleme (z.B. gmx, pro-linux, gnome.org, openoffice.org, bier-reicht.net) ... und dass ist mir völlig unverständlich?!?

Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?

Danke und Gruß
Harry

[elwood67]

Moin]
Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?

Hallo,

so ins Blaue hinein kann man das schlecht sagen.
Hast Du mal den Netzwerkverkehr mit Ethereal überprüft.?
Hier kannst Du sehr gut verfolgen, warum Pakete nicht durchgehen, bzw.
ob es einen unaufgeforderten Netzwerkverkehr gibt.

Besonders sind hier Verbindungsaufnahmen aus dem Internet auf Deinen PC zu beachten.

[petameta]

Hi !

Dein Problem hört sich eher nach ner zu groß eingestellten MTU (Maximum Transfer Unit des TCP/IP-Protokolls) an, ähnliche Probleme gibt es bei DSL. Ob sowas bei Analog-Modems auftritt weiß ich nicht.

Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:

Code: Select all

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Damit wird jedes Paket, sofern es zu groß ist, auf die Größe der MTU fragmentiert.

Das ist jetzt etwas geraten, aber probieren kostet ja nichts.

[elwood67]

Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:

Code: Select all

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

einfach mal ein.

Code: Select all

 ifconfig -a 

auf der Console eingeben.
Dort steht etwas von:

Code: Select all

UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1

oder so ähnlich.
Einstellen kannst Du den Wert der MTU mit:

Code: Select all

 /sbin/ifconfig eth1 mtu 1400 

Statt "eth1" nimmst Du dann das Device von der Internetverbindung.

Probiere es dann nochmal....

[HarryBO]

Moin,

unglaublich ... ich hab schon so oft gelesen, dass ein falscher MTU-Wert bei DSL häufig zu Problemen führt, aber nie in Frage gestellt, ob gleiches auch für ein 56k-Analog-Modem gelten könnte, da ich auch noch nie gelesen habe, dass es da Probleme gibt. Aber ich wurde eines Besseren belehrt, nachdem nach Anwendung der Tipps alles funktioniert. Verdammt!!!

it löppt ...

Danke
Harry

[petameta]

Super, dann war hoffentlich auch der Verdacht wegen Einbruch falsch.

Muß sagen, hab von dem Problem auch nur bei DSL gehört. Aber es kam mir sowas von bekannt vor. Ist bei mir zwar schon ewig her, konnte aber auch einige Internet-Seiten komischerweise nicht erreichen, andere funktionierten ohne Probleme.

Denke mal das Problem ist dasselbe: Die ppp-Verbindung wird für Protokoll-"drumherum" selber etwas Platz der ip-Pakete benötigen. Ein Paket mit maximaler MTU wird dann nicht mehr "durchpassen".