[Debian] bindshell "geh4x0r3d" - Privacy en beveiliging

donderdag 19 mei 2005 17:20

Acties:

Topicstarter

hallo tweekertjes,

mijn server kreeg wat kuren, ging langzamer, en vond sommige dingen niej meer zo leuk.
een check op rootkitjes gaf dit:

Checking `bindshell'... INFECTED (PORTS: 1524 31337)

nou ik vind het heel 31337 voor de hackers maar iets minder leuk. Ik kan hier heel weinig over vinden, valt er nu niets anders te doen dan een clean install?

dit heb ik gecontroleerd met "chkrootkit"

Nu schijnt een apt-get update && upgrade te helpen, maar de poorten 31337 en 1524 blijven "open" staan. Echter mijn router blijft volhouden dat die poorten dicht zitten.

[ Voor 19% gewijzigd door RedHat op 19-05-2005 17:22 ]

donderdag 19 mei 2005 17:34

Acties:

Arno

PF5A

Draai je portsentry? Ik heb het idee dat deze deze poorten openzet om wanabee hackertjes uit te dagen om ze daarna te bannen.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 19 mei 2005 17:34

Acties:

junkbuster

Try 2 Hack Me...

Een herinstallatie is niet leuk.

In google, zoekend op 'bindshell 31337' krijg je een hele rij berichten in forums. In de onderstaande URL lees ik een aantal zinvolle commando's om op onderzoek te gaan en om te proberen uit te vinden in welke mate een machine verpest is:

http://www.linuxquestions...rchive/4/2005/04/1/278186

Lees de tekst maar eens door. Wellicht kun je hier wat mee. Succes.

donderdag 19 mei 2005 17:39

Acties:

RedHat

Topicstarter

daar is ook iemand waarvan z'n bak traag werd.
Maar nu het gekke, ik draai achter een router. Hoe word 31337 en die andere poort intern naar 10.0.0.10 geleid? dus helemaal niet. Anders had de router dat wel vermeld lijkt mij.

Alleen de poorten 21+80+12000+12001+14001+14002 staan naar de server (10.0.0.10) (poorten na 80 zijn om voor m'n C+ kaartje)

find / | grep fake

geeft niets dus dat is iig 1 goed teken

[ Voor 11% gewijzigd door RedHat op 19-05-2005 17:44 ]

donderdag 19 mei 2005 17:44

Acties:

Rac-On

bij een linuxbak die geroot is, is er eigenlijk maar 1 oplossing: herinstall. Anders is de kans dat je alle eventuele backdoors/hidden file systems/overwrite bestanden enz enz enz vind nooit 100%.

De vraag is natuurlijk wat er precies op die poort luisterd en of je wel echt gehacked bent..

doet niet aan icons, usertitels of signatures

donderdag 19 mei 2005 17:45

Acties:

RedHat

Topicstarter

rooiehoed:~# find / | grep fake
/usr/lib/perl/5.8.4/CORE/fakesdio.h
/usr/lib/perl/5.8.4/CORE/fakethr.h
/usr/lib/samba/vfs/fake_perms.so
/proc/sys/abi/fake_utsname

niets boeiend denk ik

ff iets "IRC"-achtigs zoeken

heb wel "opeens" in /etc/chatscript 2 files staan, die dir heb ik ook nog nooit gezien. Is een config scriptje dat gaat over "inbellen" naar iets

Portsentry is het probleem die die poorten opengooit

[ Voor 39% gewijzigd door RedHat op 19-05-2005 17:51 ]

donderdag 19 mei 2005 18:32

Acties:

Arno

PF5A

/etc/chatscript wordt gebruikt door ppp en ppoeconf. Standaard aanwezig op elke Debian installatie.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 19 mei 2005 18:38

Acties:

RedHat

Topicstarter

Wat wel raar is, is dat /usr/sbin/cardserver.i386 de hele tijd "gekilled" word op de 1 of andere manier. Dit is nog nooit zo geweest maar pas sinds vanochtend. Het probleem is alleen, als cardserver.i386 ermee stopt, stopt de tv bij ons er ook mee

Dus die moet wel blijven draaien...

Kan in logs ook helemaal niets vinden

donderdag 19 mei 2005 18:40

Acties:

Arno

PF5A

DIe cardserver heeft ook geen eigen logs ?

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 19 mei 2005 19:02

Acties:

RedHat

Topicstarter

noppes, helaasch.

cardserver.i386 in /usr/sbin
en cardserver.cfg in /etc/ voor de configuratie van de kaartserver

[ Voor 76% gewijzigd door RedHat op 19-05-2005 19:03 ]