WCM Forum
Seite 1 von 2 1 2 >
40 Beiträge dieses Themas auf einer Seite anzeigen

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   portscan?? (http://www.wcm.at/forum/showthread.php?t=120169)

NasenBär 28.12.2003 18:52
portscan??
 
hy!
habe zu folgenden logeinträgen fragen:
1)
Dec 28 15:21:30 zethi snort: [1:873:5] WEB-CGI scriptalias access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.222.213:1512 -> x.x.x.x:80
Dec 28 15:21:41 zethi snort: [1:1156:4] WEB-MISC apache DOS attempt [Classification: Attempted Denial of Service] [Priority: 2]: {TCP} 212.152.222.213:1520 -> x.x.x.x:80
Dec 28 15:24:26 zethi last message repeated 37 times

2)
Dec 28 08:45:01 zethi : Security warning : eth0 is in promiscuous mode.
Dec 28 08:45:01 zethi : A sniffer is probably running on your system.

das steht bei der boot in den letzten zeilen! hab den promiscuous mode nicht eingestellt!
der rechner hat heute in der früh neu gestartet, ohne dass einträge fürs herunterfahren in der boot.log sind bzw. er wurde von mir nicht ausgeschaltet bzw. gestartet! (kurzer stromausfall bzw. stromschwankung?)


3)vor diesem rechner steht ein hardware-router der nur den port 80 (für webseite) zu diesem rechner weiterleitet!
hat jemand zugriff auf den rechner bzw. was muß ich sonst noch beachten? hab mit urpmi alle installierten pakete regelmäßig aktualisiert!

mfg

Sloter 28.12.2003 20:21
Kontrolliere mal deinen Traffic, so ein Dos kann mächtig Traffic erzeugen.
IMHO würde ich überhaupt den Rechner vom Netz nehmen und in Ruhe angucken.
Aber nicht booten, laufen lassen, Netzwerkkabel abstecken!
http://www.scharl.at/joschi/matura/fba_2.html#4

Sloter

Philipp 28.12.2003 22:24
Re: portscan??
 
Zitat:
Original geschrieben von NasenBär
hat jemand zugriff auf den rechner bzw. was muß ich sonst noch beachten?
Ich würde als erstes chkrootkit installieren

Code:
su -
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit*
make sense
und danach mit
Code:
./chkrootkit
ausführen.

Was gibt er aus?

NasenBär 29.12.2003 10:23
hy!

hier sind die ergebnisse:

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... can't exec ./strings-static, not tested
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not found
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for HKRK rootkit ... nothing found
Searching for Suckit rootkit ... nothing found
Searching for Volc rootkit ... nothing found
Searching for Gold2 rootkit ... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/snort-plain)
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

1)
warum hat er inetd und ldsopreload (fehler?) nicht getestet?

2)
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/snort-plain)
ist der bei mandrake nicht automatisch dabei? bzw. sollte er entfernt werden?

3)ausgabe von ifconfig:
eth0 Protokoll:Ethernet Hardware Adresse ..:..:..:..:..:..
inet Adresse:x.x.x.x Bcast:x.x.x.x Maske:x.x.x.x
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:17096 errors:0 dropped:0 overruns:0 frame:0
TX packets:16382 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:2869245 (2.7 Mb) TX bytes:10793020 (10.2 Mb)
Interrupt:10 Basisadresse:0xac00

da steht aber nichts von PROMISC !? ist der modus jetzt aktiviert oder nicht?

4) bei make sense konnte er eine c-datei nicht compilieren!?
gcc -static -o strings-static strings.c
/usr/bin/ld: cannot find -lc
collect2: ld returned 1 exit status
make: *** [strings-static] Fehler 1


mfg

NasenBär 29.12.2003 19:00
hy!

hab folgende neue einträge gefunden:
Dec 29 10:12:06 zethi snort: [1:1301:6] WEB-PHP admin.php access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.182.90:46449 -> x.x.x.x:80
Dec 29 10:12:12 zethi snort: [1:1213:4] WEB-MISC backup access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.182.90:46464 -> x.x.x.x:80

den benutzer der ip-adresse kenn ich und er hat mir auch bestätigt, dass er um diese zeit gesurft hat! woher kommen aber dann die logeinträge? derjenige hat sicher nichts "unartiges" gemacht!
kann es ein trojaner bzw. virus auf seinem pc sein?

mfg

Sloter 04.01.2004 09:50
Hacks sind Modern :-(

Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
rootkit in
stalled
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed


Sloter

NasenBär 05.01.2004 20:46
hy!

na auf deinem rechner tut sich ja einiges!

weiß auch nicht warum das jetzt modern is!? :mad:

mfg

franzhecht 08.01.2004 11:39
HI

Zitat:
2)
Dec 28 08:45:01 zethi : Security warning : eth0 is in promiscuous mode.
Dec 28 08:45:01 zethi : A sniffer is probably running on your system.
dein Interface ist in Promiscous mode weil du snort laufen hast.





bye, fh

NasenBär 09.01.2004 16:10
hy!

ja das hab ich schon bemerkt!

snort ist mitinstalliert worden, wie ich einen transferzähler(fürs internet) installiert hab!

mfg

reini280 02.03.2004 15:49
[quote]Original geschrieben von Sloter
[b]Hacks sind Modern :-(

Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
rootkit in
stalled
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed
[quote]

Hallo!
Ein Einbrecher kann mit einer Änderung in der Funktion ps_readproc() der Bibliothek "libproc" ein wahres Versteckspiel auslösen. Da hilft dann chkrootkit nimma viel.

lg Reini


Alle Zeitangaben in WEZ +2. Es ist jetzt 04:18 Uhr.
Seite 1 von 2 1 2 >
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag