Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Einbruch, Virus, Rootkit ?????

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
HarryBO



Anmeldungsdatum: 10.08.2001
Beiträge: 20

BeitragVerfasst am: 31. Okt 2004 1:07   Titel: Einbruch, Virus, Rootkit ?????

Moin,

ich bin Ratlos. Folgendes Problem: Ich hab hier einen Rechner mit Debian drauf, der über einen anderen Rechner mit Analogmodem ins Internet geht. Leider ist ist die Internetverbindung mit dem Debian-Rechner nur mangelhaft und ich weiß nicht woran das liegt ... d.h. ich erreiche einfach bestimmte Seiten nicht, wie z.B. web.de oder auch ab und zu Google (mal geht, mal nich?!?).

Dass der Router richtig konfiguriert ist und ich ihn daher als Fehlerquelle ausschließen kann, da bin ich mir sicher. Auch dass alle Bauteile vernünftig arbeiten bin ich sicher, da ich auf dem gleichen Rechner noch WinXP drauf habe und mit gleichem Nameserver alles funktioniert. Also kann die einzige Fehlerquelle nur noch die Debian-Installation sein. In letzter Zeit ist es besonders schlimm geworden, allerdings weiss ich nicht mehr nach welchem update das war ...

Ich habe jetzt mal ein wenig (besser sehr viel) Zeit investiert um herrauszufinden, wo der Fehler liegt. Und dass einzige dass ich bisher finden konnte war mit ethereal ein paar "Time-to-live exceeded" und in /var/log/messages vereinzelte "fragmentation needed and DF set" ... beim googeln hab ich herausgefunden, dass es evtl. etwas mit ICMP-Angriffen zu tun haben könnte ...

Wie kann ich, außer mit chkrootkit, noch rausfinden, ob evtl. irgend etwas "böses" Twisted Evil installiert wurde??? chkrootkit zeigt nämlich außer der etwas unklaren und anscheinend häufigen Meldung

"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"

keine Fehlermeldung an.

Am einfachsten wäre wahrscheinlich eine Neuinstallation, aber dass will ich nun wirklich nicht, da ich dieses System schon einige Zeit drauf habe und es inzwischen einen Festplatten- sowie einen Rechnerwechsel heil überstanden hat, also auch dementsprechend umfangreich konfiguriert ist und massenhaft Daten enthält...

Da ich eigentlich auch immer hinter einem Router gehangen habe, kann ich mir ja nur (wenn überhaupt) etwas bei updates raufgezogen haben, oder???

Wie gesagt, ich bin Ratlos ... hat jemand einen Tipp für mich???

Danke schon mal
Harry
 
Benutzer-Profile anzeigen Private Nachricht senden

jochen
prolinux-forum-admin


Anmeldungsdatum: 14.01.2000
Beiträge: 699
Wohnort: Jülich

BeitragVerfasst am: 31. Okt 2004 11:52   Titel: Re: Einbruch, Virus, Rootkit ?????

HarryBO hat folgendes geschrieben::
"Checking `lkm'... You have 13 process hidden for readdir command
You have 13 process hidden for ps command"
Das klingt m.E. nicht gut. Gemeint ist, dass unter /proc Verzeichnisse existieren, die nicht sichtbar sind. Ein "ls /proc" zeigt beispielsweise kein Verzeichnis ( = Prozess) namens 4711 an, aber ein "cd /proc/4711" funktioniert. Das letzte System, dass ich so habe reagieren sehen, hatte ein Suckit-LKM/Rootkit drauf...

Debian ist leider nicht meine Stärke. Aber da schon RPM eine Möglichkeit hat, die MD5-Checksummen von Dateien eines RPM-Pakets zu verifizieren, sollte dpgk/apt das auch können. Das zeigte schon auf dem laufenden, befallenen System eine Inkonsistenz beim init-Kommando.

Wirklich korrekt analysieren kannst Du Dein System nur, wenn Du es von einer LiveCD bootest (KNOPPIX bietet sich an), die Platten des Systems irgendwo mountest und chkrootkit dann mit Option "-r mountpunkt" aufrufst:
Code:
mkdir /debianroot
mount -r /dev/mein-debian-root /debianroot
# ggf. weitere Mount-Kommandos, beispielsweise
# mount -r /dev/mein-debian-var /debianroot/var
chkrootkit -r /debianroot
Ausserdem zeigen sich dann auch meist schnell Auffälligkeiten wie mehrere Dateien namens /sbin/init*, oder auch normale Dateien unter /dev versteckt, die man einfach mit
Code:
find /debianroot/dev -type f
finden kann.

Da man nie 100%ig sicher sein kann, dass man alle Schadsoftware auf einem kompromittierten System ausfindig machen und neutralisieren kann, wäre die einzig korrekte Lösung eine Neuinstallation. Konfigurationsdateien des alten Systems sollten auch nur nach vorheriger genauer Überprüfung übernommen werden.

Jochen
_________________
Die grösste Lüge der EDV? "Mal eben..."
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

petameta
prolinux-forum-admin


Anmeldungsdatum: 14.02.2003
Beiträge: 1294

BeitragVerfasst am: 31. Okt 2004 22:17   Titel:

Hi !

Habe selbiges eben mal probiert mit ähnlicher Fehlermeldung. Habe nen bißchen gesucht, es scheint eher nen Bug in chkrootkit zu sein:

http://www.mepis.org/node/view/2155

P.S.: Soll natürlich nicht unbedingt Entwarnung heißen, würde das System auf jeden Fall genauer überprüfen. Auf der oben angegebenen Seite ist das Programm rootkit-hunter verlinkt, evtl. bringt das ja etwas mehr Klarheit.
 
Benutzer-Profile anzeigen Private Nachricht senden

chlor
Gast





BeitragVerfasst am: 01. Nov 2004 17:46   Titel:

ich bin von chkrootkit auch schon verunsichert worden, wobei ich jetzt nicht! sagen will, das es bei dir genauso ist.
ich benutze jedenfalls neben chkrootkit nun auch dieses prog:
http://www.rootkit.nl/


Zuletzt bearbeitet von chlor am 01. Nov 2004 17:51, insgesamt 2-mal bearbeitet
 

jojojo
Gast





BeitragVerfasst am: 01. Nov 2004 17:49   Titel:

Man sollte vielleicht auch noch erwähnen!
Bei einer Neuinstallation kann man das System mittels md5 prüfen und die Prüfsumme 'außerhalb' speichern, auf Disk oder CD. Es gab mal einen Bericht hier auf >ProLinux darüber. Vor jedem Update kann man die entsprechenden Dateien testen und schauen wo Veränderungen statt gefunden haben. Die kann man dann prüfen und sieht so recht gut um was es sich handelt, rootkit, virus oder sonst was.
Das ist zumindest besser als zu versuchen das System wieder hin zu kriegen wenn es zu spät ist. Backupstrategien sollten auch entwickelt werden damit nicht erst warten muss bis das Kind in den Brunnen gefallen ist.
Man kann sich nie sicher sein ob das 'gereinigte System' sauber ist.
Eine Neuinstallation wäre in deinem Fall so wie Jürgen es schon sagte wohl die beste und sicherste Methode.
Dann mal nachdenken über Schutzmaßnahmen um nicht wieder in so eine Situation zu gelangen.
 

jojojo
Gast





BeitragVerfasst am: 01. Nov 2004 17:50   Titel:

Ich meine nicht 'Jürgen' sondern Jochen, sorry.
 

HarryBO



Anmeldungsdatum: 10.08.2001
Beiträge: 20

BeitragVerfasst am: 02. Nov 2004 0:20   Titel: Re: Einbruch, Virus, Rootkit ?????

Moin,

danke für die Tipps.

Ich hab jetzt mal mit der c't Software Kollektion 5 mein System nach Viren durchsucht und auch noch mal chkrootkit drüberlaufen lassen. Es wird aber nichts gefunden. Auch rootkit-hunter findet nichts... !?!

Eigentlich habe ich auch nichts anderes erwartet, da ich ab und zu etwas paranoid bin und meine Rechner und auch die meiner Freunde und Bekannten grundsätzlich mit Firewall und Virenprog ausstatte und üblicherweise alle nicht genutzten Dienste abschalte (sowohl unter Windows als auch unter Linux) ...

Ich kann mir durchaus vorstellen, dass ich in einem paranoiden Anfall gewisse Dinge probiert habe oder Security-Software installiert habe, von der ich jetzt allerdings nicht mehr weiß, und dass diese den Netzverkehr behindert ... aber danach hab ich ja auch schon gesucht und alles deinstalliert oder abgeschaltet, dass so einen Effekt hervorrufen könnte, wie ich anfangs geschrieben habe ( Web ... mal geht, mal geht nich) ... solche Kandidaten wären z.B. "snort", "clamav" oder "powertweak", mit denen ich eine Zeitlang experimentiert habe, aber dann doch wieder deinstalliert habe ... könnten von diesen evtl. gewisse Einstellungen übrig sein???

Bei Powertweak werden die Änderungen doch durch den Powertweak-Daemon nach jedem Neustart neu geladen ... wenn ich den also abschalte, dann sollte diese Einstellungen doch sozusagen zurückgesetzt werden, bei einem Neustart, oder?

Firewall hab ich auch schon abgeschaltet und vertraue mal auf den Router ...

/proc/sys/net/ipv4 hab ich auch durchsucht, aber ich kann nichts auffälliges finden ... wie z.B. dass der ICMP-Verkehr behindert wird und darum ein Time-to-live-exceeded auftritt.

Am Modem passiert ja auch nix wenn ich z.B. web.de, spiegel.de oder ospa.de aufrufe .... die Verbindung ist einfach tot ... ein haufen anderer Verbindungen funktionieren dagegen ohne Probleme (z.B. gmx, pro-linux, gnome.org, openoffice.org, bier-reicht.net) ... und dass ist mir völlig unverständlich?!?

Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?

Danke und Gruß
Harry
 
Benutzer-Profile anzeigen Private Nachricht senden

elwood67



Anmeldungsdatum: 19.05.2004
Beiträge: 232
Wohnort: Nürnberg

BeitragVerfasst am: 02. Nov 2004 9:00   Titel: Re: Einbruch, Virus, Rootkit ?????

HarryBO hat folgendes geschrieben::
Moin]
Fällt euch sonst noch irgend etwas ein, dass den Netzverkehr stören könnte?


Hallo,

so ins Blaue hinein kann man das schlecht sagen.
Hast Du mal den Netzwerkverkehr mit Ethereal überprüft.?
Hier kannst Du sehr gut verfolgen, warum Pakete nicht durchgehen, bzw.
ob es einen unaufgeforderten Netzwerkverkehr gibt.

Besonders sind hier Verbindungsaufnahmen aus dem Internet auf Deinen PC zu beachten.
_________________
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
 
Benutzer-Profile anzeigen Private Nachricht senden

petameta
prolinux-forum-admin


Anmeldungsdatum: 14.02.2003
Beiträge: 1294

BeitragVerfasst am: 02. Nov 2004 16:43   Titel:

Hi !

Dein Problem hört sich eher nach ner zu groß eingestellten MTU (Maximum Transfer Unit des TCP/IP-Protokolls) an, ähnliche Probleme gibt es bei DSL. Ob sowas bei Analog-Modems auftritt weiß ich nicht.

Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


Damit wird jedes Paket, sofern es zu groß ist, auf die Größe der MTU fragmentiert.

Das ist jetzt etwas geraten, aber probieren kostet ja nichts.
 
Benutzer-Profile anzeigen Private Nachricht senden

elwood67



Anmeldungsdatum: 19.05.2004
Beiträge: 232
Wohnort: Nürnberg

BeitragVerfasst am: 03. Nov 2004 20:50   Titel: Besser so?

petameta hat folgendes geschrieben::

Bei DSL hilft es, den folgenden Befehl auf dem Router auszuführen:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu



einfach mal ein.
Code:
 ifconfig -a

auf der Console eingeben.
Dort steht etwas von:
Code:
UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1

oder so ähnlich.
Einstellen kannst Du den Wert der MTU mit:
Code:
 /sbin/ifconfig eth1 mtu 1400


Statt "eth1" nimmst Du dann das Device von der Internetverbindung.

Probiere es dann nochmal....
_________________
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
 
Benutzer-Profile anzeigen Private Nachricht senden

HarryBO



Anmeldungsdatum: 10.08.2001
Beiträge: 20

BeitragVerfasst am: 05. Nov 2004 23:08   Titel: Danke

Moin,

unglaublich ... ich hab schon so oft gelesen, dass ein falscher MTU-Wert bei DSL häufig zu Problemen führt, aber nie in Frage gestellt, ob gleiches auch für ein 56k-Analog-Modem gelten könnte, da ich auch noch nie gelesen habe, dass es da Probleme gibt. Aber ich wurde eines Besseren belehrt, nachdem nach Anwendung der Tipps alles funktioniert. Verdammt!!!

it löppt ...

Danke
Harry
 
Benutzer-Profile anzeigen Private Nachricht senden

petameta
prolinux-forum-admin


Anmeldungsdatum: 14.02.2003
Beiträge: 1294

BeitragVerfasst am: 07. Nov 2004 10:11   Titel:

Super, dann war hoffentlich auch der Verdacht wegen Einbruch falsch.

Muß sagen, hab von dem Problem auch nur bei DSL gehört. Aber es kam mir sowas von bekannt vor. Ist bei mir zwar schon ewig her, konnte aber auch einige Internet-Seiten komischerweise nicht erreichen, andere funktionierten ohne Probleme.

Denke mal das Problem ist dasselbe: Die ppp-Verbindung wird für Protokoll-"drumherum" selber etwas Platz der ip-Pakete benötigen. Ein Paket mit maximaler MTU wird dann nicht mehr "durchpassen".
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy