Mandrake: verwijderen DDoS IRC daemons

Herinstalleren is het enige verstandige dat je kan doen nadat je gehackt bent.

Het probleem is dat een heleboel commando's al kunnen zijn vervangen door corrupte, waardoor troians verborgen kunnen draaien.
Misschien kun je het thuisfront instrueren tijdelijk iets als freesco er op te zetten?

[ Voor 28% gewijzigd door zeikstraal op 22-11-2002 17:59 ]

Zet er eerst eens een goede 'ps' en 'netstat' enzo op. Probeer dan uit te vogelen waar de rootkit op je disk staat (dit hoeft niet mogelijk te zijn, maar is het vaak wel, met originele binaries).

Probeer dan uit te vogelen waar vanuit /etc/init.d (of hoe die zooi maar heet) dingen gestart worden voor die rootkit. Schoon dan de boel op en vervang de aangepaste binaries weer voor het origineel.

Vervang binaries als:
'login'
'ps'
'netstat'
'lsof'
'fstat'
'pstree'
'ls'
'find'
'telnetd'
'sshd'
'ftpd'

Ik weet zo niet of Mandrake iets als RPM heeft, maar zo ja: daar kun je wellicht ook mee checken welke files zijn aangepast.


Als je dit eenmaal allemaal gedaan hebt is de kans groot dat het doosje redelijk schoon is. Hou hem natuurlijk wel in de gaten.

download chkrootkit voor bekende exploits ... als het goed is krijg je dan een indicatie van binaries die vervangen moeten worden

Dat wordt opnieuw installeren.

Eerder kun je die computer niet meer vertrouwen.

Je hebt een optie. Bak offline, herinstalleren, updates doen, firewall erop.

<h1>Iedere andere oplossing is fout </1>

Ik schreeuw het maar even. Je doos is *niet* te vertrouwen. Punt. En als je 'm niet kun herinstalleren moet je 'm zo snel mogelijk offline halen. Anders kun je bij thuiskomt nog raar opkijken. Zowel strafrechtelijk als civielrechtelijk. En onderschat dat niet.

Overigens die ircds zijn zo op het oog verbindingen met verschillende Undernet servers en niet zozeer russische hackers.

Heb je niet gewoon perongeluk iets van een open socks proxy draaien ofzo?
In dat geval hoeft het namelijk helemaal niet zo te zijn dat je gehacked bent, maar wordt je gewoon misbruikt om het werkelijke ip van iemand te verbergen.
Kijk eens met netstat of je ook erg veel connecties hebt naar poort 1080 (of een andere poort) op je eigen machine.
Kijk anders ook eens met iets van tcpdump wat voor verkeer er over die connecties gaat. IRC is gewoon leesbare tekst op de lijn.

Je zou met ipchains uitgaande connecties vanaf je externe ip naar iedere willekeurige server voor irc kunnen blokkeren. Dit zou wel inhouden dat die 8 studenten niet meer kunnen irc-en, maar dat hebben ze vast niet echt nodig voor hun studie, dus extreem belangrijk is dat niet (hoogstens vervelend).

Denk dan aan een regel als de volgende:

ipchains -A output -s [je externe ip] -d 0.0.0.0 --destination-port 6667:7000

(zo even uit het blote hoofd, weet niet zeker of die regel klopt zo)

[ Voor 35% gewijzigd door _nethack op 23-11-2002 11:35 ]

Burne schreef op 23 november 2002 @ 03:38:
Je hebt een optie. Bak offline, herinstalleren, updates doen, firewall erop.

<h1>Iedere andere oplossing is fout </1>

Ik schreeuw het maar even. Je doos is *niet* te vertrouwen. Punt. En als je 'm niet kun herinstalleren moet je 'm zo snel mogelijk offline halen. Anders kun je bij thuiskomt nog raar opkijken. Zowel strafrechtelijk als civielrechtelijk. En onderschat dat niet.

Ja, in theorie heb je helemaal gelijk.

In de praktijk valt het toch allemaal wel mee. Ik heb nog geen enkele rootkit gezien die 1) niet opvalt en 2) niet makkelijk te verwijderen is. Tuurlijk, kernel-modules zijn wat lastig, maar die moeten toch bij het booten geladen worden. Als je eenmaal hebt uitgezocht -waar- de zooi geladen wordt ben je al bijna klaar.

[ Voor 78% gewijzigd door Eeruku op 23-11-2002 13:06 ]

Je zegt dat het een NAT doos is he? Hoe zit dat met mensen in je LAN die verbinding maken met undernet IRC servers?

Rootkit gebeuren? Niet zelf 1 installeren hoor. Check een prog als chkrootkit.
Ik zou btw mijn backups checken en syncen en dan een reinstall doen

serkoon schreef op 23 november 2002 @ 11:58:
Ja, in theorie heb je helemaal gelijk.

En in de praktijk ook! Die bak moet zo snel mogelijk offline. Zo snel mogelijk offline wil zeggen dat je niet uren vanuit Finland op die bak gaat zitten klooien.

Tuurlijk, kernel-modules zijn wat lastig, maar die moeten toch bij het booten geladen worden.

insmod -fr werkt prima op een lopende kernel hoor.

Verwijderd schreef op 23 november 2002 @ 17:35:
[...]

En in de praktijk ook! Die bak moet zo snel mogelijk offline. Zo snel mogelijk offline wil zeggen dat je niet uren vanuit Finland op die bak gaat zitten klooien.

Nee, dan een doos meteen platgooien zodat mensen geen connectiviteit meer hebben.. da's lekker.. Tuurlijk, een reinstall is het beste, maar als dat niet kan, dan houdt het op. Je zult dan zo goed mogelijk de boel moeten opschonen.

insmod -fr werkt prima op een lopende kernel hoor.

Ja, maar dat was het punt niet
Het gaat erom dat als er een kernel-module gebruikt wordt (zoals bijv. adore), dat bij het booten toch geladen moet worden. Anders heeft de kernelmodule alleen zin zolang het systeem niet geboot wordt, en da's nogal beperkt. Opstart-scripts checken is dus vrij verstandig.

serkoon schreef op 23 November 2002 @ 21:37:
Nee, dan een doos meteen platgooien zodat mensen geen connectiviteit meer hebben.. da's lekker.. Tuurlijk, een reinstall is het beste, maar als dat niet kan, dan houdt het op. Je zult dan zo goed mogelijk de boel moeten opschonen.

Ah, iemand met de juiste prioriteiten

Liever een paar mensen geen connectivity dan straks de politie aan de deur en/of een provider die je afsluit. Een DDoS client haal je gewoon meteen van het net omdat je aansprakelijk bent voor de schade die ermee veroorzaakt wordt, zeker als je weet dat je machine een DDoS client is en er niets aan doet (dat is grove nalatigheid). Zie je geen kans om die bak offline schoon te krijgen is dat vette pech voor de kabouters, maar je laat hem niet online.

[ Voor 4% gewijzigd door Verwijderd op 24-11-2002 00:35 ]

* Wilke sluit zich aan bij bovenstaande rants.

Het is echt onverantwoord om zoiets gewoon lekker online te laten staan, zeker nu je het weet. Of je doet meteen alle moeite om die IRC bots te verwijderen en installeert 'm later opnieuw of je gooit die bak offline tot je tijd hebt en installeert 'm dan opnieuw.

Online laten 'voor zolang het duurt' is gewoon niet een optie.

"Als het niet kan, dan houd het op" -> Moet je eens opletten of het niet kan...stekker er uit, klaar. Zo simpel is dat. For all you know wissen die crackers straks nog een zooi files op het bedrijfsnetwerk (als ze bv. ff een sniffer op die doos draaien wil ik wedden dat ze nu al een berg wachtwoordjes van mail en andere leuke dingen hebben, mochten ze daar toevallig zin in hebben), en dan komt het door jouw nalatigheid dat ze daar nog langer misbruik van kunnen maken...

Je zegt dat die server wordt gebruikt voor file-sharing en NAT. Dat betekent dus niet alleen opnieuw installeren maar ook alle wachtwoorden van de troep die er door gaat via NAT, zoals bv. mail (pop3 = plaintext passwords) etc. wijzigen.

Wilke schreef op 24 November 2002 @ 01:11:

Online laten 'voor zolang het duurt' is gewoon niet een optie.

Agreed

"Als het niet kan, dan houd het op" -> Moet je eens opletten of het niet kan...stekker er uit, klaar. Zo simpel is dat.

Zo simpel is het dus niet. Je kunt toch niet zomaar een doos volledig offline gooien zonder zicht op herstel ervan? Als je in Finland zit kun je moeilijk even naar huis fietsen om de boel offline te fixen.

For all you know wissen die crackers straks nog een zooi files op het bedrijfsnetwerk (als ze bv. ff een sniffer op die doos draaien wil ik wedden dat ze nu al een berg wachtwoordjes van mail en andere leuke dingen hebben, mochten ze daar toevallig zin in hebben), en dan komt het door jouw nalatigheid dat ze daar nog langer misbruik van kunnen maken...

Ja, daarom opschonen, en goed. Dat je nooit 100% zeker van kunt zijn dat de aanvaller na opschonen nog misbruik van je systeem kan maken weegt imo niet op tegen de problemen die je krijgt als je een systeem zomaar voor onbepaalde tijd platgooit.

Laat me nog even duidelijk zijn: als je fysieke toegang hebt gooi je doos doorgaans meteen offline, tenzij er zich er bedrijfskritische processen op afspelen. In dat geval bouw je zo snel mogelijk een nieuwe (veilige) vervanger en gooi je die online waarna je de oude platgooit. Dan ga je post-mortemen en eventueel reinstallen.

Wanneer je echter geen fysieke toegang hebt en het systeem gewoon moet blijven draaien, kun je er niet omheen om hem dan maar op te schonen en te controleren of dat goed gebeurd is. Dit zou dan officieel hartstikke fout zijn, in de praktijk wil opschonen prima, zolang je maar een beetje een idee hebt waar je mee bezig bent.

[ Voor 3% gewijzigd door serkoon op 24-11-2002 14:57 ]

Ik ga akkoord met de rest van de mensen hier dat die bak zo vlug mogelijk moet geherinstalleerd worden. Dat je nu in Finland zit of niet maakt niet zo veel uit. Je gaat me toch niet vertellen dat er niemand in je kennissenkring weet hoe je Mandrake moet herinstalleren ? Mandrake is eigenlijk zo gemakkelijk te installeren als windows. Desnoods wandel je je moeder er even door langs IRC/ICQ/MSN/de telefoon. Je zorgt natuurlijk wel eerst voor een backup van de config files (iptables om NAT goed te laten draaien bv.).

Echt, die bak zomaar online laten is onverantwoord. Bij de nieuwe install zet je natuurlijk alle onnodige services uit, zet je een restrictieve firewall neer & kijk je de security mailinglist van MDK na voor beschikbare updates. (Had MDK niet zoiets als urpmi om automatisch een installatie te upgraiden )

wat meschien een optie is, als je genoeg schijfruimte is.
download de iso van debian of slackware ofzo. iig iets wat makkelijk te installeren is via text.

installeer dan die distro op een stukje extra schijfruimte,
lilo.conf of je grub aanpassen.
zeggen dat hij automaties daarop moet booten.
en opnieuw opstarten.


mits mogelijk dit doen terwijl je in init1 zit.
maar weet niet of je dat nog via een ssh kan doen?

dat geeft je gebruikers op zijn hoogst een dagje offline zijn.
en alle exploits en backdoors zijn meteen van je systeem af.

Verwijderd schreef op 23 november 2002 @ 14:43:
Die zijn er niet. Heb iedereen verteld stekker uit de hub te halen en toen was het er nog, go dat rootkit gebeuren maar eens gebruiken, bedankt voor de hulp

Connecties verdwijnen niet meteen als je de fysieke link verbreekt (stekker uit de hub). Dat gebeurt pas na een bepaalde timeout.