systeem gehacked maar welke trojan - Linux en overige clients

donderdag 25 januari 2007 12:33

Acties:

Karnemelk FTW

Topicstarter

Enige tijd geleden zat ik opeens acter het abuse filter van XS4All. Ik kon op mijn windows systemen niks vinden en op mijn linux firewall zag ik ook geen verdacht verkeer binnenkomen vanaf mijn clients.
Toen ben ik verder gaan kijken en ik zie dat mijn linux systeem regelmatig twee icmp pakketten verstuurt naar een ogenschijnlijk random host. Kortom dit vertrouw ik niet. Nu kan ik er maar niet achter komen welk proces dit doet. Chkrootkit kan ook niks vinden. Verder werkt het systeem ook nog prima behalve dat ik alles heb dichtgetimmerd. Nu moet ik hem herinstalleren dat weet ik ook wel maar ik wil toch graag weten of dit ook daadwerkelijk het probleem is.

donderdag 25 januari 2007 12:35

Acties:

Verwijderd

Het kan ook nog zijn dat je een verkeerd geconfigureerde mailserver hebt, die fungeert als open relay.

donderdag 25 januari 2007 12:37

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

o vergeten te zeggen dat ik, volgens xs4all, mezelf aanmelde bij een botnet. OpenRelay lijkt me heel sterk omdat ik die mailserver al een jaar zo draai en door online tests niet als openraly werd gevonden.

donderdag 25 januari 2007 12:37

Acties:

Shuriken

Life is all about priorities

Je kunt bij Abuse van XS4all altijd opvragen wat voor verdachte zaken ze hebben waargenomen.

I rather have a bottle in front of me, then a frontal lobotomie

donderdag 25 januari 2007 12:39

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

Shuriken schreef op donderdag 25 januari 2007 @ 12:37:
Je kunt bij Abuse van XS4all altijd opvragen wat voor verdachte zaken ze hebben waargenomen.

dat schoot dus serieus niet op. Ik wilde los en dergelijke zien het enige waar ze mee kwamen was die opemrking van dat botnet

donderdag 25 januari 2007 13:03

Acties:

Jungian

>_<

Als het alleen ICMP-pakketten zijn hoef je je nergens druk om te maken (zie ook http://en.wikipedia.org/w..._Control_Message_Protocol voor wat extra uitleg).

0.0

donderdag 25 januari 2007 13:16

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

Jungian schreef op donderdag 25 januari 2007 @ 13:03:
Als het alleen ICMP-pakketten zijn hoef je je nergens druk om te maken (zie ook http://en.wikipedia.org/w..._Control_Message_Protocol voor wat extra uitleg).

als mijn systeem ICMP pakketten naar onbekende bestemmingen gaat sturen zonder dat ik daar wat voor heb geregeld moet ik me zeker wel druk gaan maken.
Overigens ik heb denk ik door mijn 7 jaar ervaring als netwerkbeheerder een meer dan gemiddelde kennis van netwerken dus ik weet wel wat ICMP is

donderdag 25 januari 2007 13:22

Acties:

Dieter

TrailBlazer schreef op donderdag 25 januari 2007 @ 13:16:
[...]

als mijn systeem ICMP pakketten naar onbekende bestemmingen gaat sturen zonder dat ik daar wat voor heb geregeld moet ik me zeker wel druk gaan maken.
Overigens ik heb denk ik door mijn 7 jaar ervaring als netwerkbeheerder een meer dan gemiddelde kennis van netwerken dus ik weet wel wat ICMP is

offtopic :
Lol, die gast is bijna CCIE man die weet heus wel wat een ICMP packet is

donderdag 25 januari 2007 13:24

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

Dieter schreef op donderdag 25 januari 2007 @ 13:22:
[...]

offtopic :
Lol, die gast is bijna CCIE man die weet heus wel wat een ICMP packet is

nou ja bijna CCIE dat wil ik niet zeggen wel net aan mijn manager gezegd dat ik dit jaar mijn written zonder testking wil gaan halen

donderdag 25 januari 2007 13:31

Acties:

salvador4

Probeer de volgende commandos eens;

netstat -pna
lsof -i tcp
lsof -i udp
ps -aux
pstree

Daarmee moet wel uit te vogelen zijn welk proces de paketten verstuurd (als lsof en netstat enz tenminste niet geinfecteerd zijn)

donderdag 25 januari 2007 13:39

Acties:

Jungian

>_<

TrailBlazer schreef op donderdag 25 januari 2007 @ 13:16:
[...]

als mijn systeem ICMP pakketten naar onbekende bestemmingen gaat sturen zonder dat ik daar wat voor heb geregeld moet ik me zeker wel druk gaan maken.
Overigens ik heb denk ik door mijn 7 jaar ervaring als netwerkbeheerder een meer dan gemiddelde kennis van netwerken dus ik weet wel wat ICMP is

Ik aasde meer op het punt dat je je meer druk moet maken als je pc als pepernoten UDP/TCP-paketten naar buiten gooit (wat jij blijkbaar beter dan mij weet). Dat je een half-god op netwerkgebied bent wist ik natuurlijk niet (mijn excuses dan ook voor de Wikipedia-link)

offtopic:
En ik had sigs uitstaan waardoor ik "CCSP/CCIP certified next year CCIE" natuurlijk niet zag staan

[ Voor 6% gewijzigd door Jungian op 25-01-2007 13:53 ]

0.0

donderdag 25 januari 2007 13:49

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

er zijn wel trojan die data in icmp pakketten struren omdat deze vaak open staan in een firewall. No offense taken verder hoor. CCIP en CCSP zijn best wel gewaardeerde certificaten in netwerkland en CCIE nog meer

[ Voor 25% gewijzigd door TrailBlazer op 25-01-2007 13:50 ]

donderdag 25 januari 2007 14:00

Acties:

Dieter

TrailBlazer schreef op donderdag 25 januari 2007 @ 13:49:
er zijn wel trojan die data in icmp pakketten struren omdat deze vaak open staan in een firewall. No offense taken verder hoor. CCIP en CCSP zijn best wel gewaardeerde certificaten in netwerkland en CCIE nog meer

nog meer offtopic:
CCIE is zowat het geilste dat je kan tegenkomen denk ik

.

donderdag 25 januari 2007 14:07

Acties:

Gerco

Professional Newbie

Zijn er geen inkomende packets te zien die eventueel die ICMP triggeren?

Verstuurt hij ze nog steeds wanneer de internetverbinding eruit ligt (modem disconnected oid), maar de linux machine nog wel een IP heeft (desnoods even aan een router hangen zonder WAN aansluiting?)

Met iptables kun je (dacht ik) achterhalen wat het processid/userid is van het process wat die packets verstuurd. Dat heb ik ooit eens toegepast om accounting in te bouwen op een server. (werkt alleen op uitgaand verkeer helaas). Google eens op ipac-ng, op 1 van die paginas staat een iptables script om dat te doen.

Staat er iets leesbaars in die packets? Zo ja, wat?

"Aanmelden op een botnet" klinkt als IRC verkeer. Als dat er niet is, is er natuurlijk altijd nog de mogelijkheid dat Xs4All het mis heeft of dat het "probleem" veroorzaakt is door een bezoeker met een laptop oid.

PS. Waarom geeft Xs4All geen logs? Ik dacht dat het een no-nonsense kwaliteitsprovider was die datzelfde ook van haar klanten verwacht. Bij zulke claims verwacht ik dan een overdaad aan bewijsmateriaal.

[ Voor 28% gewijzigd door Gerco op 25-01-2007 14:10 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

donderdag 25 januari 2007 14:15

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

Dieter schreef op donderdag 25 januari 2007 @ 14:00:
[...]

nog meer offtopic:
CCIE is zowat het geilste dat je kan tegenkomen denk ik .

ach ik heb er ondertussen zoveel ontmoet hangt voor mij geen aura meer omheen hoor.

Gerco schreef op donderdag 25 januari 2007 @ 14:07:
Zijn er geen inkomende packets te zien die eventueel die ICMP triggeren?

nee het enige wat ik toe sta op dit moment zijn established/related packets. Dus er is niet dat die packets kan triggeren. Tenzij mijn hele iptables ook fucked up is maar dat verwacht ik niet.

Verstuurt hij ze nog steeds wanneer de internetverbinding eruit ligt (modem disconnected oid), maar de linux machine nog wel een IP heeft (desnoods even aan een router hangen zonder WAN aansluiting?)

ga ik wel even vanuit ja

Met iptables kun je (dacht ik) achterhalen wat het processid/userid is van het process wat die packets verstuurd. Dat heb ik ooit eens toegepast om accounting in te bouwen op een server. (werkt alleen op uitgaand verkeer helaas). Google eens op ipac-ng, op 1 van die paginas staat een iptables script om dat te doen.

klopt daar zal ik eens naar kijken.

Staat er iets leesbaars in die packets? Zo ja, wat?

zal met ethercap eens sniffen en kijken wat erin staat wel een goed idee

"Aanmelden op een botnet" klinkt als IRC verkeer. Als dat er niet is, is er natuurlijk altijd nog de mogelijkheid dat Xs4All het mis heeft of dat het "probleem" veroorzaakt is door een bezoeker met een laptop oid.

PS. Waarom geeft Xs4All geen logs? Ik dacht dat het een no-nonsense kwaliteitsprovider was die datzelfde ook van haar klanten verwacht. Bij zulke claims verwacht ik dan een overdaad aan bewijsmateriaal.

Hier baalde ik ook zo van. Prima dat ik achter het filter zit maar geef het dan tenminste aan. Zeker omdat ik een bovengemiddelde kennis van netwerken heb had ik dat gewoon graag willen zien. Ook mijn AP maar even volledig dichtgezet om alles uit te sluiten.

[ Voor 76% gewijzigd door TrailBlazer op 25-01-2007 14:20 ]

donderdag 25 januari 2007 14:40

Acties:

engelbertus

xs4al geeft volgens mij alleen logs van tijd, jou ip en poort en tcp of udp. verder geen gegevens waar je iets mee kunt of destination ip / poort.

je zou wel kunnen kijken of die cimp paketten worden gestuurd van de door xs4all gegeven poort, dan weet je in iedergeval dat xs4all ook de icmp paketten bedoelt. gewoon replyen op het mailtje dat je hebt gekregen van xs4all, dan krijg je wel een antwoord.

desnoods vraag je op wat de klacht was, aan de hand waarvan ze jou verkeer hebben gemonitord.

xs4all monitort volgens mij pas wanneer iemand een abuse mail naar xs4all heeft gestuurd. dan geven ze dit door aan hun monitor systeem, en die kijkt dan automatisch of er verdacht verkeer is van / naar jou aansluiting. dat doen ze dus niet met de hand.

ze halen het filter eraf als je hebt aangegeven dat je systemen weer schoon zijn, en goed beveiligd. ze controleren dit niet specifiek, maar halen het filter er af. pas als er weer iemand een abuse mail stuurt kom je weer op de monitor lijst.

wij hebben ok zoiets gehad, vandaar dat ik het weet. ik had xs4all gevraagd om te kijken of nu echt al het verdachte verkeer was opgelost, maar ze zeiden dat ze dat niet deden omdat het een geautomatiseerd systeem was.

donderdag 25 januari 2007 14:50

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

het is wel heel vreemd dat ze roepen dat ik me bij een botnet aanmeldde. Het enige wat ik me kan voorstellen dat ze getriggered worden op het vaak connecten naar een irc server. Dit heb ik inderdaad gedaan maar dat kwam omdat mijn irssi script wat brak was.

donderdag 25 januari 2007 16:59

Acties:

daft_dutch

>.< >.< >.< >.<

Heb je al een rootkit check gedraait?

>.< >.< >.< >.<

donderdag 25 januari 2007 17:26

Acties:

cherwin

Als je daadwerkelijk bent gehacked dan kan je de tools op je bestaande systeem niet vertrouwen. Dus wat je het beste kan doen is even een knoppix cd opstarten en daarmee met rkhunter en/of chkrootkit kijken of er iets is gebeurd.

Tell me your problem, not the solution you think I should build for you.

donderdag 25 januari 2007 17:27

Acties:

Verwijderd

Jungian schreef op donderdag 25 januari 2007 @ 13:03:
Als het alleen ICMP-pakketten zijn hoef je je nergens druk om te maken (zie ook http://en.wikipedia.org/w..._Control_Message_Protocol voor wat extra uitleg).

Niet helemaal waar vriend

donderdag 25 januari 2007 18:01

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

hmm ik zie niet dat mijn iptables filter niet helemaal goed was

ik stond nog icmp verkeer toe en dat beantwoorde ik dus (of probeerde ik) Hmm weet ik nog niet wat het is.
ik heb ethereal maar ff opgestart en ff sniffen wat mijn windows systeem doet.

[ Voor 18% gewijzigd door TrailBlazer op 25-01-2007 18:21 ]

donderdag 25 januari 2007 18:36

Acties:

Verwijderd

Nou wil ik niet lullig doen, maar als chkrootkit geen resultaat geeft, dan kun je er donder op zeggen dat het inderdaad je Windows systemen zijn.

. chkrootkit updates zijn over het algemeen sneller dan het uitkomen van nieuwe rootkits.

donderdag 25 januari 2007 18:55

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

mijn windows systeem doet ook helemaal niks zo 123. Ik ben al een halfuur aan het sniffen het enige wat dat ding doet is naar een NTP server connecten. Maar dat is naar een 192.168.250.3 adres dus dat heeft sowieso weinig zin.
Ik denk dat ze gewoon gezien hebben dat ik 5 keer binnen een minuut ofzo connecte naar een irc server en dat mijn irssi script gewoon raar deed