Debian - gehacked? - Linux en overige clients

donderdag 18 augustus 2005 20:35

Acties:

Topicstarter

Regelmatig draai ik op mijn Debian stable machine (+/- maand geleden ge-dist-upgrade naar sarge) de tool chkrootkit. Voor het eerst kreeg ik daar een melding die me verontrustte:

eth0: PACKET SNIFFER(/usr/sbin/dhcpd[21728])
eth1: PCKET SNIFFER(/sbin/dhclient (deleted)[1030])

Even googlen stelde me enigszins gerust, want blijkbaar geeft chkrootkit wel vaker valse meldingen. Maar het draaien van ps auxf leerder me dat er ook een programma "mDNSresponderpo" actief was, dat ik niet eerder had gezien. Op de debian-site heb ik inmiddels gevonden dat er een package "mdns-scan" is, maar dat heb ik zeker niet zelf geinstalleerd, apt-get remove "mdns-scan" geeft dat ook aan.

Inmiddels heb ik wel een "kill" gedaan op het process van mDNSresponderpo en ook dhcpd en de dhcp-client verwijderd en opnieuw geinstalleerd. Een echt gerust gevoel houd ik er echter niet aan over, zeker ook omdat bovenstaande melding van chkrootkit --die er eerder zeker niet was-- blijft verschijnen.

Heeft iemand tips voor me hoe ik verder te werk kan gaan om te controleren of / wat er inderdaad mis is?

[ Voor 3% gewijzigd door spoller op 18-08-2005 20:36 ]

donderdag 18 augustus 2005 20:42

Acties:

Verwijderd

Er staat dhcpd? Want bij mij heet dat ding echt dhcpcd (/sbin/dhcpcd) (het kan natuurlijk altijd dat jij een alternative dhcp client heb (of de standaard client die mijn gentoo gebruikt is "alternatief"))

donderdag 18 augustus 2005 21:02

Acties:

smokalot

titel onder

dhcpd is de dynamic host configuration protocol daemon,
dhcpcd is de dynamic host configuration protocol client daemon.

It sounds like it could be either bad hardware or software

vrijdag 19 augustus 2005 02:07

Acties:

deadinspace

The what goes where now?

spoller schreef op donderdag 18 augustus 2005 @ 20:35:
Even googlen stelde me enigszins gerust, want blijkbaar geeft chkrootkit wel vaker valse meldingen. Maar het draaien van ps auxf leerder me dat er ook een programma "mDNSresponderpo" actief was, dat ik niet eerder had gezien. Op de debian-site heb ik inmiddels gevonden dat er een package "mdns-scan" is, maar dat heb ik zeker niet zelf geinstalleerd, apt-get remove "mdns-scan" geeft dat ook aan.

Als welke user draaide dit process? Wat geeft

code:

1	find / \| grep mDNSresponder

(als root)?

Heeft iemand tips voor me hoe ik verder te werk kan gaan om te controleren of / wat er inderdaad mis is?

Boot de computer eens vanaf een rescuecd of livecd, en draai chkrootkit van daaruit eens op het systeem op de harddisk?

Ik vind het verdacht klinken. Wat voor services draai(de) je die van buitenaf toegankelijk zijn? Als daar http bij zat, draaide je dan apache met PHP scripts die mogelijk een security lek vormden? Hield je de security updates bij? Ook kernels?

[ Voor 3% gewijzigd door deadinspace op 19-08-2005 02:19 ]

vrijdag 19 augustus 2005 14:04

Acties:

Mayco

dat mDNSresponder wordt gebruikt als je daap gebruikt voor itunes, en sommige filesharing dingen gebruiken dat ook dacht ik. zeker dat je het niet zelf hebt geinstalleerd? op zich is mDNSresponder geen slecht programma...

zaterdag 20 augustus 2005 08:48

Acties:

Verwijderd

spoller schreef op donderdag 18 augustus 2005 @ 20:35:
Even googlen stelde me enigszins gerust, want blijkbaar geeft chkrootkit wel vaker valse meldingen. Maar het draaien van ps auxf leerder me dat er ook een programma "mDNSresponderpo" actief was, dat ik niet eerder had gezien. Op de debian-site heb ik inmiddels gevonden dat er een package "mdns-scan" is, maar dat heb ik zeker niet zelf geinstalleerd, apt-get remove "mdns-scan" geeft dat ook aan.

mdnsresponder != mdnsresponderpo. Is dit een typefout, of...

zaterdag 20 augustus 2005 09:59

Acties:

McChouffe

Ik krijg een gelijkaardige melding op mijn Ubunty 5.04-systeem (eth0: PACKET SNIFFER(/sbin/dhclient3[6047])). Volgens de Ubuntu-forums echter een false positive.
Heb je Rootkit Hunter al eens geprobeerd?
Te vinden op: http://www.rootkit.nl/projects/rootkit_hunter.html

zaterdag 20 augustus 2005 12:59

Acties:

Verwijderd

Check je ps aux nog eens voor de exacte proces namen.
mDNSResponder is totaal onschuldig, waarschijnlijk heb je howl geinstalleerd.
Het is een deel van Apple's Rendezvouz project, zogenaamde zero-configuration networking.
Zie http://developer.apple.com/networking/bonjour/index.html en http://www.porchdogsoft.com/products/howl.

Volgens mij heb je nu per ongeluk de DHCP _client_ verwijderd en een DHCP _daemon_ geinstalleerd. Of je typt iets verkeerd over. Verder zijn die meldingen heel normaal, in principe is de DHCP client ook een packet sniffer, hij snift naar dhcp pakketjes.

zondag 21 augustus 2005 11:19

Acties:

Mayco

Verwijderd schreef op zaterdag 20 augustus 2005 @ 08:48:
[...]

mdnsresponder != mdnsresponderpo. Is dit een typefout, of... .

Ow ja, als het mdnsresponderpo is, is er mss wat meer fout. google kent het nogtans niet (op deze draad na).

maandag 22 augustus 2005 16:48

Acties:

spoller

Topicstarter

Als welke user draaide dit process? Wat geeft
code:
1
find / | grep mDNSresponder
(als root)?

Geen resultaat (of, beter: het resultaat is leeg). Helaas heb ik niet opgeschreven onder welke user het proces draaide, en aangezien het proces inmiddels gekilled is...

Boot de computer eens vanaf een rescuecd of livecd, en draai chkrootkit van daaruit eens op het systeem op de harddisk?

Zal ik vanavond doen. Eerst eens een rescueCD zien op te scharrelen (die heb ik al even niet meer nodig gehad ;-(

Ik vind het verdacht klinken. Wat voor services draai(de) je die van buitenaf toegankelijk zijn? Als daar http bij zat, draaide je dan apache met PHP scripts die mogelijk een security lek vormden? Hield je de security updates bij? Ook kernels?

De services die van buitenaf (Internet) toegankelijk zijn zijn SSH, Apache-SSL en Postfix. Onder Apache-SSL draai ik inderdaad een PHP-script, squirrelmail. Verder draaien er nog een aantal andere services (oa. Cyrus, slimserver), maar die poorten worden geblocked door de firewall.

Security updates heb ik bijgehouden (uitzonderingen daargelaten dagelijkse update), kernel security updates niet. Ik draai al ruim een jaar met 2.4.18. Vormt dat een probleem / zou ik dat anders moeten doen?

maandag 22 augustus 2005 17:01

Acties:

spoller

Topicstarter

Heb je Rootkit Hunter al eens geprobeerd?
Te vinden op: http://www.rootkit.nl/projects/rootkit_hunter.html

Inmiddels wel. Lijkt een redelijk grondige tool, hij doet nog wat extra checks ten opzichte van chkrootkit. Er kwamen twee waarschuwingen uit die op zich nuttig waren (root logins voor ssh toestaan lijkt een minder goed idee, en verder een "verdachte" file in /etc -- bleek gewoon een oude configfile te zijn die ik kon verwijderen). Maar verder lijkt alles ok.

maandag 22 augustus 2005 17:06

Acties:

spoller

Topicstarter

Het proces dat draaide heette inderdaad mDNSresponderpo, niet mDNSresponder (zonder 'po'). Google kent die naam inderdaad niet, en dat riekt toch wel naar iets dat niet in de haak is. Een warm gevoel krijg ik er in ieder geval niet bij.

Wat is jullie advies, om dat gevoel weer terug te laten komen? Het hele systeem backuppen, en dan van de grond af opnieuw opbouwen waarbij ik de config files hergebruik (zeg alles wat in /etc) staat? Of is dat in dit geval te gortig, en is het verstandiger om een kernel upgrade te doen (in dat geval ook meteen naar 2.6.x) en het verder maar even aan te kijken?

Op zich stellen de resultaten van chkrootkit en Rootkit hunter me wel wat gerust. Ervaring met gehacked worden heb ik echter (gelukkig) nog niet, ik kan de kans dan ook niet inschatten dat een aanval lukt zonder gebruik te maken van een rootkit. Want dat kan vast ook...

maandag 22 augustus 2005 17:37

Acties:

Verwijderd

Misschien even wat onderzoek doen, want een rootkit heeft op zich niks te maken met het "hacken" van een server.
Een rootkit is een manier om onopgemerkt in een systeem de root account te gijzelen.
Dus ook al heb je geen rootkit op je systeem staan (of geen detecteerbare rootkit) dat wil niet zeggen dat je veilig bent, totaal niet.
Meer info: http://en.wikipedia.org/wiki/Rootkit

dinsdag 23 augustus 2005 08:59

Acties:

spoller

Topicstarter

Info over rootkits is helder, hoop van geleerd. Ik heb even nagedacht over het "verdere onderzoek" dat ik zou kunnen doen. Mijn idee is om een "file integrity check" uit te voeren, om te bekijken welke executables mogelijk zijn gewijzigd.

Met wat googlen kom ik daarbij wel op tools als tripwire, AIDE en fcheck maar als ik de werking daarvan goed begrijp ben ik er te laat mee, aangezien ze een database opbouwen en je vervolgens waarschuwen als een file gewijzigd wordt. Een tool die de "standaard" md5 checksums ed. van mijn distributie (debian) controleert zou in mijn geval handiger zijn.

Is zoiets er ook?

[ Voor 4% gewijzigd door spoller op 23-08-2005 09:01 ]

dinsdag 23 augustus 2005 14:08

Acties:

DiedX

Volgens mij zit die in dpkg standaard ingebakken, maar die zal je zowiezo moeten draaien vanaf een rescuecd.

Hangt je PC aan internet? Ik of een ander kan eens een portscan van buiten doen als je dat zelf niet kan. Mijn eigen ervaring is dat je dan snel weet of je daadwerkelijk de pineut bent.

(edit en quote):

Maar het draaien van ps auxf leerder me dat er ook een programma "mDNSresponderpo" actief was, dat

Jammer dat je 'm gekilled hebt. Met /proc/pid had je hier heel veel aan gehad

[ Voor 28% gewijzigd door DiedX op 23-08-2005 14:10 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 25 augustus 2005 01:28

Acties:

DiedX

Voor de statistieken:

debsums (met apt-get te installeren) gevolgd door --root kan je meer info verschaffen!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Pagina: 1

Reageer