Discussion:
Merkwuerdiger Apache Log
(zu alt für eine Antwort)
Matthias Koch-Schirrmeister
2006-01-19 18:54:50 UTC
Permalink
Das hätte ich wohl besser gelassen :(.
Wie groß war denn das Ding, das du heruntergeladen hast? Groß genug für
ein Rootkit?

Matthias
--
"Der Armselige, Übelgesinnte
Hohnlacht über alles.
Das weiß er nicht, was er wissen sollte:
Daß er nicht fehlerfrei." - Havamal
Sven Paulus
2006-01-19 19:26:16 UTC
Permalink
Das hätte ich wohl besser gelassen :(.
Das hast Du aber jetzt nicht alles _wirklich_ gemacht, oder?

Klar, sowas kann man schon auf einem vom Netz entkoppelten Rechner,
der nur dafuer installiert ist, mal wagen, oder auf irgendeiner
virtuellen Maschine - aber auf einem realen System? Da sollte doch der
gesunde Menschenverstand eigentlich schon sagen, dass man nicht
irgendwelche Software ausfuehrt und schon gar nicht als root?!

Naja, immerhin hast Du so etwas gelernt. Jetzt aber nicht auf die
Idee kommen, den Rechner "aufzuraeumen". Bei sowas ist eine
Neuinstallation die einzige Moeglichkeit, sicher zu sein, dass man
alles los ist. Und keine Executables von der alten Installation
mitnehmen.
Matthias Koch-Schirrmeister
2006-01-19 21:58:47 UTC
Permalink
Post by Sven Paulus
Bei sowas ist eine
Neuinstallation die einzige Moeglichkeit, sicher zu sein, dass man alles
los ist. Und keine Executables von der alten Installation mitnehmen.
AOL.

Wenn die Maschine nicht dringend gebraucht wird und ersetzt werden
kann, bieten sich verschiedene Möglichkeiten an, zu untersuchen, was
passiert ist: man könnte z. B. mit einem Portscanner abklären, welche
Ports offen sind, um evtl. eine Backdoor zu identifizieren. Tcpdump kann
Aufschlüsse liefern über Versuche des Eindringlings, nach Hause zu
telefonieren.

Optional kann man das von dir ausgeführte Programm dekompilieren und
(vorausgesetzt, du kannst es - ich kann es nicht) sich anschauen, was es
genau macht. Möglicherweise wurde hier ein Progrämmchen
maßgeschneidert, das auf gängigen *x-Distributionen läuft und gezielt
einen dort laufenden Dienst angreift, um z. B. über einen overflow Code
mit priviligierten Rechten auszuführen. Wäre sicher interessant, das
herauszufinden - sofern es nicht ein alter Hut ist. Ich verfolge das schon
lange nicht mehr.

Es kann sich "lediglich" um eine Backdoor handeln. Es ist aber auch nicht
auszuschließen, daß das gesamte System und alle executables
kompromittiert wurden. Dafür gibt es nur eine sichere Abhilfe, und die
heißt leider Totaloperation.

Matthias
--
"Der Armselige, Übelgesinnte
Hohnlacht über alles.
Das weiß er nicht, was er wissen sollte:
Daß er nicht fehlerfrei." - Havamal
Peter Blancke
2006-01-20 14:58:30 UTC
Permalink
Das Teil wieder herzustellen hat ca. 2 h gedauert (booten von
knoppix, usb Laufwerk dran, interne Platte platt machen, mit rsync
die Sicherung der letzten Nacht zurueckspielen).
Laeuft hier so aehnlich: Ich schaue mir ja auch die Wirkung solcher
Dinger gerne an.

Dafuer lobe ich mir mein VMWare: Grundinstallation und davon eine
Sicherungskopie. Ist das Testsystem im Eimer, wird die Grundsystem
einfach zurueckkopiert. Fuer den Kopiervorgang der ca. knapp 2 GB
groszen Datei benoeitgt man kaum zwei Minuten.

Grusz,

Peter Blancke
--
Hoc est enim verbum meum!
Thomas Hochstein
2006-01-19 20:49:29 UTC
Permalink
Das ist eine Privatkiste (per dyndns angebunden) auf der ich mit mambo,
für ein paar Freunde Sachen zur Verfügung stelle.
Mambo hatte demletzt den einen oder anderen remote exploit. Vermutlich
sollte das einer sein. Ist Dein Mambo auf aktuellem Stand?

-thh
Thomas Hochstein
2006-01-19 22:34:29 UTC
Permalink
Post by Thomas Hochstein
Mambo hatte demletzt den einen oder anderen remote exploit. Vermutlich
sollte das einer sein. Ist Dein Mambo auf aktuellem Stand?
Dann war's im Zweifel ein zum Scheitern verurteilter Versuch [1] - das
und ähnliche Attacken gegen phpBB, awstats usw. habe ich haufenweise
im Log.

-thh

[1] Bis Du das Ding freundlicherweise selbst, zumal als root,
ausgeführt hast. ;)
Chris Kronberg
2006-01-21 14:18:15 UTC
Permalink
Post by Matthias Koch-Schirrmeister
Das hätte ich wohl besser gelassen :(.
Wie groß war denn das Ding, das du heruntergeladen hast? Groß genug für
ein Rootkit?
-rw-r--r-- 1 maik users 8,1K 30. Dez 14:22 sexy
Wie ist denn die md5 Summe davon? Ich habe da einige Spielformen,
zwei davon hoeren auf den gleichen Namen (sind aber nicht ganz
identisch).
Wenn ich das richtig verstanden habe, ist das eine connect-back
shell.

Cheers,

Chris.
Chris Kronberg
2006-01-23 15:42:28 UTC
Permalink
Post by Chris Kronberg
Wie ist denn die md5 Summe davon? Ich habe da einige Spielformen,
zwei davon hoeren auf den gleichen Namen (sind aber nicht ganz
identisch).
Wenn ich das richtig verstanden habe, ist das eine connect-back
shell.
5f7523da5c284efe4428ab9f929ab6e0 sexy
Jo, das Teil habe ich in meiner Sammlung. Scheint beliebt
zu sein. ;-)
nehme ich eignetlich auch an und das "Problem" war wohl, dass ich das
binary per strace ohne Argumente aufgerufen habe. Hätte ich die genannte
IP/port mitangegeben, gehe ich davon aus das am anderen Ende schon ein
bot gewartet hätte, der die ein oder andere lib ausgetauscht hätte.
Gut moeglich. _Den_ Teil habe ich nicht ausprobiert.

Cheers,

Chris.
Chris Kronberg
2006-01-27 10:04:55 UTC
Permalink
Post by Chris Kronberg
Wie ist denn die md5 Summe davon? Ich habe da einige Spielformen,
zwei davon hoeren auf den gleichen Namen (sind aber nicht ganz
identisch).
Wenn ich das richtig verstanden habe, ist das eine connect-back
shell.
5f7523da5c284efe4428ab9f929ab6e0 sexy
Falls es noch jemanden interessiert, ich habe auf debian-security
---cut---
Date: Mon, 23 Jan 2006 04:22:29 -0500
Subject: Re: Strange Apache log and mambo security - sexy executable
....
If you want more information about this tool, google for "Linux.RST.B"
or "Unix/RST.B".
---cut---
Hmmm. Den RST.B kenne ich eigentich eher als Virus, der diverse
binaries (auch unter /bin, wenn er darf) infiziert. Antivir meint
zu sexy: Linux/Small.AL, was wiederum als backdoor klassifiziert
ist.

Cheers,

Chris.

Loading...