portscan??

NasenBär · 28.12.2003, 18:52

hy!
habe zu folgenden logeinträgen fragen:
1)
Dec 28 15:21:30 zethi snort: [1:873:5] WEB-CGI scriptalias access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.222.213:1512 -> x.x.x.x:80
Dec 28 15:21:41 zethi snort: [1:1156:4] WEB-MISC apache DOS attempt [Classification: Attempted Denial of Service] [Priority: 2]: {TCP} 212.152.222.213:1520 -> x.x.x.x:80
Dec 28 15:24:26 zethi last message repeated 37 times

2)
Dec 28 08:45:01 zethi : Security warning : eth0 is in promiscuous mode.
Dec 28 08:45:01 zethi : A sniffer is probably running on your system.

das steht bei der boot in den letzten zeilen! hab den promiscuous mode nicht eingestellt!
der rechner hat heute in der früh neu gestartet, ohne dass einträge fürs herunterfahren in der boot.log sind bzw. er wurde von mir nicht ausgeschaltet bzw. gestartet! (kurzer stromausfall bzw. stromschwankung?)

3)vor diesem rechner steht ein hardware-router der nur den port 80 (für webseite) zu diesem rechner weiterleitet!
hat jemand zugriff auf den rechner bzw. was muß ich sonst noch beachten? hab mit urpmi alle installierten pakete regelmäßig aktualisiert!

mfg

Sloter · 28.12.2003, 20:21

Kontrolliere mal deinen Traffic, so ein Dos kann mächtig Traffic erzeugen.
IMHO würde ich überhaupt den Rechner vom Netz nehmen und in Ruhe angucken.
Aber nicht booten, laufen lassen, Netzwerkkabel abstecken!
http://www.scharl.at/joschi/matura/fba_2.html#4

Sloter

Philipp · 28.12.2003, 22:24

Zitat:

Original geschrieben von NasenBär
hat jemand zugriff auf den rechner bzw. was muß ich sonst noch beachten?

Ich würde als erstes chkrootkit installieren

Code:

su -
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit*
make sense

und danach mit

Code:

./chkrootkit

ausführen.

Was gibt er aus?

NasenBär · 29.12.2003, 10:23

hy!

hier sind die ergebnisse:

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... can't exec ./strings-static, not tested
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not found
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for HKRK rootkit ... nothing found
Searching for Suckit rootkit ... nothing found
Searching for Volc rootkit ... nothing found
Searching for Gold2 rootkit ... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/snort-plain)
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

1)
warum hat er inetd und ldsopreload (fehler?) nicht getestet?

2)
Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/snort-plain)
ist der bei mandrake nicht automatisch dabei? bzw. sollte er entfernt werden?

3)ausgabe von ifconfig:
eth0 Protokoll:Ethernet Hardware Adresse ..:..:..:..:..:..
inet Adresse:x.x.x.x Bcast:x.x.x.x Maske:x.x.x.x
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:17096 errors:0 dropped:0 overruns:0 frame:0
TX packets:16382 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:2869245 (2.7 Mb) TX bytes:10793020 (10.2 Mb)
Interrupt:10 Basisadresse:0xac00

da steht aber nichts von PROMISC !? ist der modus jetzt aktiviert oder nicht?

4) bei make sense konnte er eine c-datei nicht compilieren!?
gcc -static -o strings-static strings.c
/usr/bin/ld: cannot find -lc
collect2: ld returned 1 exit status
make: *** [strings-static] Fehler 1

mfg

NasenBär · 29.12.2003, 19:00

hy!

hab folgende neue einträge gefunden:
Dec 29 10:12:06 zethi snort: [1:1301:6] WEB-PHP admin.php access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.182.90:46449 -> x.x.x.x:80
Dec 29 10:12:12 zethi snort: [1:1213:4] WEB-MISC backup access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.182.90:46464 -> x.x.x.x:80

den benutzer der ip-adresse kenn ich und er hat mir auch bestätigt, dass er um diese zeit gesurft hat! woher kommen aber dann die logeinträge? derjenige hat sicher nichts "unartiges" gemacht!
kann es ein trojaner bzw. virus auf seinem pc sein?

mfg

Sloter · 04.01.2004, 09:50

Hacks sind Modern :-(

Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
rootkit in
stalled
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed

Sloter

NasenBär · 05.01.2004, 20:46

hy!

na auf deinem rechner tut sich ja einiges!

weiß auch nicht warum das jetzt modern is!?

mfg

franzhecht · 08.01.2004, 11:39

HI

Zitat:

2)
Dec 28 08:45:01 zethi : Security warning : eth0 is in promiscuous mode.
Dec 28 08:45:01 zethi : A sniffer is probably running on your system.

dein Interface ist in Promiscous mode weil du snort laufen hast.

bye, fh

NasenBär · 09.01.2004, 16:10

hy!

ja das hab ich schon bemerkt!

snort ist mitinstalliert worden, wie ich einen transferzähler(fürs internet) installiert hab!

mfg

reini280 · 02.03.2004, 15:49

[quote]Original geschrieben von Sloter
[b]Hacks sind Modern :-(

Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
rootkit in
stalled
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed
[quote]

Hallo!
Ein Einbrecher kann mit einer Änderung in der Funktion ps_readproc() der Bibliothek "libproc" ein wahres Versteckspiel auslösen. Da hilft dann chkrootkit nimma viel.

lg Reini

28.12.2003, 18:52	#1
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	portscan?? hy! habe zu folgenden logeinträgen fragen: 1) Dec 28 15:21:30 zethi snort: [1:873:5] WEB-CGI scriptalias access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.222.213:1512 -> x.x.x.x:80 Dec 28 15:21:41 zethi snort: [1:1156:4] WEB-MISC apache DOS attempt [Classification: Attempted Denial of Service] [Priority: 2]: {TCP} 212.152.222.213:1520 -> x.x.x.x:80 Dec 28 15:24:26 zethi last message repeated 37 times 2) Dec 28 08:45:01 zethi : Security warning : eth0 is in promiscuous mode. Dec 28 08:45:01 zethi : A sniffer is probably running on your system. das steht bei der boot in den letzten zeilen! hab den promiscuous mode nicht eingestellt! der rechner hat heute in der früh neu gestartet, ohne dass einträge fürs herunterfahren in der boot.log sind bzw. er wurde von mir nicht ausgeschaltet bzw. gestartet! (kurzer stromausfall bzw. stromschwankung?) 3)vor diesem rechner steht ein hardware-router der nur den port 80 (für webseite) zu diesem rechner weiterleitet! hat jemand zugriff auf den rechner bzw. was muß ich sonst noch beachten? hab mit urpmi alle installierten pakete regelmäßig aktualisiert! mfg

28.12.2003, 20:21	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Kontrolliere mal deinen Traffic, so ein Dos kann mächtig Traffic erzeugen. IMHO würde ich überhaupt den Rechner vom Netz nehmen und in Ruhe angucken. Aber nicht booten, laufen lassen, Netzwerkkabel abstecken! http://www.scharl.at/joschi/matura/fba_2.html#4 Sloter

29.12.2003, 10:23	#4
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	hy! hier sind die ergebnisse: ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... can't exec ./strings-static, not tested Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not found Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not found Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not found Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... nothing found Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for OBSD rk v1... nothing found Searching for LOC rootkit ... nothing found Searching for Romanian rootkit ... nothing found Searching for HKRK rootkit ... nothing found Searching for Suckit rootkit ... nothing found Searching for Volc rootkit ... nothing found Searching for Gold2 rootkit ... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... nothing detected Checking `rexedcs'... not found Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/snort-plain) Checking `w55808'... not infected Checking `wted'... nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... nothing deleted 1) warum hat er inetd und ldsopreload (fehler?) nicht getestet? 2) Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/snort-plain) ist der bei mandrake nicht automatisch dabei? bzw. sollte er entfernt werden? 3)ausgabe von ifconfig: eth0 Protokoll:Ethernet Hardware Adresse ..:..:..:..:..:.. inet Adresse:x.x.x.x Bcast:x.x.x.x Maske:x.x.x.x UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:17096 errors:0 dropped:0 overruns:0 frame:0 TX packets:16382 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:100 RX bytes:2869245 (2.7 Mb) TX bytes:10793020 (10.2 Mb) Interrupt:10 Basisadresse:0xac00 da steht aber nichts von PROMISC !? ist der modus jetzt aktiviert oder nicht? 4) bei make sense konnte er eine c-datei nicht compilieren!? gcc -static -o strings-static strings.c /usr/bin/ld: cannot find -lc collect2: ld returned 1 exit status make: *** [strings-static] Fehler 1 mfg

29.12.2003, 19:00	#5
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	hy! hab folgende neue einträge gefunden: Dec 29 10:12:06 zethi snort: [1:1301:6] WEB-PHP admin.php access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.182.90:46449 -> x.x.x.x:80 Dec 29 10:12:12 zethi snort: [1:1213:4] WEB-MISC backup access [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 212.152.182.90:46464 -> x.x.x.x:80 den benutzer der ip-adresse kenn ich und er hat mir auch bestätigt, dass er um diese zeit gesurft hat! woher kommen aber dann die logeinträge? derjenige hat sicher nichts "unartiges" gemacht! kann es ein trojaner bzw. virus auf seinem pc sein? mfg

04.01.2004, 09:50	#6
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Hacks sind Modern :-( Checking `ifconfig'... INFECTED Checking `pstree'... INFECTED Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit in stalled Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for Suckit rootkit ... Warning: /sbin/init INFECTED Checking `lkm'... You have 1 process hidden for readdir command You have 1 process hidden for ps command Warning: Possible LKM Trojan installed Sloter

05.01.2004, 20:46	#7
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	hy! na auf deinem rechner tut sich ja einiges! weiß auch nicht warum das jetzt modern is!? mfg

09.01.2004, 16:10	#9
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	hy! ja das hab ich schon bemerkt! snort ist mitinstalliert worden, wie ich einen transferzähler(fürs internet) installiert hab! mfg

02.03.2004, 15:49	#10
reini280 Newbie Registriert seit: 02.01.2001 Beiträge: 3	[quote]Original geschrieben von Sloter [b]Hacks sind Modern :-( Checking `ifconfig'... INFECTED Checking `pstree'... INFECTED Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit in stalled Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for Suckit rootkit ... Warning: /sbin/init INFECTED Checking `lkm'... You have 1 process hidden for readdir command You have 1 process hidden for ps command Warning: Possible LKM Trojan installed [quote] Hallo! Ein Einbrecher kann mit einer Änderung in der Funktion ps_readproc() der Bibliothek "libproc" ein wahres Versteckspiel auslösen. Da hilft dann chkrootkit nimma viel. lg Reini

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)