[Gehacked] debian server

Pagina: 1
Acties:

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 16-08-2025

Pim.

Aut viam inveniam, aut faciam

Topicstarter
ik draai debian testing met kernel 2.4.24.
Ik probeerde deze ochtend in te loggen op mijn server en dat lukte niet.
Met webmin en samba kreeg ik nog wel toegang op die manier kwam ik er achter dat alle users van het systeem verwijderd waren. Ik heb een nieuwe root en user aangemaakt en ik heb weer toegang tot de server.

Ik weet dat ik tegen een schone install zit aan te kijken maar mischien dat iemand toch wat licht hier op kan schijnen.

Het enige wat ik in de logs tegenkom wat niet echt normaal is:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
Oct  6 02:30:25 Tutanekai kernel:  printing eip:
Oct  6 02:30:25 Tutanekai kernel: 08e8c358
Oct  6 02:30:25 Tutanekai kernel: Oops: 0000
Oct  6 02:30:25 Tutanekai kernel: CPU:    0
Oct  6 02:30:25 Tutanekai kernel: EIP:    0010:[<08e8c358>]    Not tainted
Oct  6 02:30:25 Tutanekai kernel: EFLAGS: 00010293
Oct  6 02:30:25 Tutanekai kernel: eax: 00000109   ebx: d7190000   ecx: 08070bb8   edx: 00000018
Oct  6 02:30:25 Tutanekai kernel: esi: 00000016   edi: ffffffff   ebp: bffffe88   esp: d7191fc0
Oct  6 02:30:25 Tutanekai kernel: ds: 0018   es: 0018   ss: 0018
Oct  6 02:30:25 Tutanekai kernel: Process tar (pid: 17342, stackpage=d7191000)
Oct  6 02:30:25 Tutanekai kernel: Stack: c0107073 00000000 08070bb8 40027214 00000016 ffffffff bffffe88 00000109 
Oct  6 02:30:25 Tutanekai kernel:        0000002b 0000002b 00000109 40024e66 00000023 00000246 bffffe6c 0000002b 
Oct  6 02:30:25 Tutanekai kernel: Call Trace:    [<c0107073>]
Oct  6 02:30:25 Tutanekai kernel: 
Oct  6 02:30:25 Tutanekai kernel: Code:  Bad EIP value.
Oct  6 02:30:29 Tutanekai kernel:  <1>Unable to handle kernel paging request at virtual address 08e8c358
Oct  6 02:30:29 Tutanekai kernel:  printing eip:
Oct  6 02:30:29 Tutanekai kernel: 08e8c358
Oct  6 02:30:29 Tutanekai kernel: Oops: 0000
Oct  6 02:30:29 Tutanekai kernel: CPU:    0
Oct  6 02:30:29 Tutanekai kernel: EIP:    0010:[<08e8c358>]    Not tainted
Oct  6 02:30:29 Tutanekai kernel: EFLAGS: 00010293
Oct  6 02:30:29 Tutanekai kernel: eax: 00000109   ebx: d1586000   ecx: 08070bb8   edx: 00000018
Oct  6 02:30:29 Tutanekai kernel: esi: 00000016   edi: ffffffff   ebp: bffffe88   esp: d1587fc0
Oct  6 02:30:29 Tutanekai kernel: ds: 0018   es: 0018   ss: 0018
Oct  6 02:30:29 Tutanekai kernel: Process tar (pid: 17450, stackpage=d1587000)
Oct  6 02:30:29 Tutanekai kernel: Stack: c0107073 00000000 08070bb8 40027214 00000016 ffffffff bffffe88 00000109 
Oct  6 02:30:29 Tutanekai kernel:        0000002b 0000002b 00000109 40024e66 00000023 00000246 bffffe6c 0000002b 
Oct  6 02:30:29 Tutanekai kernel: Call Trace:    [<c0107073>]



Ik heb de gebruikelijke dingen op mijn server staan:

Postfix/spamassasin/mailscanner/qpopper, portsentry, Mysql, Webmin, Samba, Apache 1.3, ProftpD, sshd (niet te bereiken voor root), Bind9, eggdrop botje (runt als user)

eedit:
Een chkrootkit kan ik niet installeren aangezien ik nu op tar en dpkg/apt een seg. fault krijg :(

[ Voor 3% gewijzigd door Pim. op 06-10-2004 07:00 ]

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


  • smoking2000
  • Registratie: September 2001
  • Laatst online: 05:06

smoking2000

DPC-Crew

dpkg-reconfigure reality

Zijn er nieuwe users aangemaakt?
Wat staat er in de ~/.bash_history van root en de andere users, of worden ze zelfs gelinkt naar /dev/null?
Ongeidentificeerde modules in lsmod?

Zijn je packages allemaal geupdate? Zo nee, check voor die packages de laatste security announces, verifieer dat die niet geexploiteerd zijn.

Succes!

| [Folding@Home] Announce: Client monitor voor Linux (fci) | fci-1.8.4 | Fatal Error Group |


  • Bergen
  • Registratie: Maart 2001
  • Laatst online: 27-01 12:55

Bergen

Spellingscontroleur

Pim. schreef op 06 oktober 2004 @ 06:56:
Een chkrootkit kan ik niet installeren aangezien ik nu op tar en dpkg/apt een seg. fault krijg :(
Waarom haal je hem dan niet van chkrootkit.org?

[edit]
Oh tar geeft ook een segfault... Het is nog vroeg zullen we maar zeggen. O-)

[ Voor 16% gewijzigd door Bergen op 06-10-2004 07:29 ]


  • TheBigBug
  • Registratie: Januari 2001
  • Laatst online: 17-01-2022

TheBigBug

Erg groot voor een insect!

Je kan je systeem bekijken met Knoppix, dan heb je geen last van gehackte programma's. Eventueel kun je met de Inside Security Rescue Toolkit chkrootkit draaien.

Chkrootkit heeft dan alleen de beperking dat het niet in het geheugen naar rootkits kan kijken, simpelweg omdat het van cd-rom gestart is en dus eventueel aanwezige rootkits niet actief zijn.

Succes!

Peace cannot be kept by force - it can only be achieved by understanding - Albert Einstein


  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13-02 15:00
anders download rootkit hunter pak die uit op een andere pc en gooi die dan op je server en start die op je server hoef je niks voor te compilen.
rootkit hunter is te downloaden op : www.rootkit.nl

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


  • active2
  • Registratie: Juni 2001
  • Laatst online: 26-10-2024

active2

Google is your friend

Dat is de enige log ?

Ik kan me niet voorstellen dat die hacker / cracker zo slim is geweest om wel de log files te cleanen en users verwijderen... Als je users namelijk verwijderd wordt het ontdekt dus lijkt me niet handig als hacker / cracker zijnde.

Wat betreft die logs: Er kunnen aardig wat oorzaken zijn die een oops kunnen veroorzaken ik voor mijzelf denk als jij zegt dat het misschien een hacker is dat je een kernel module in je kernel gekregen hebt die een aantal syscalls vervangt.

Om het even zoek even naar meer logs op je server. Ten tweede is het zeer aan te raden om chkrootkit te draaien. Simpelweg op een andere pc uitpakken en vervolgens met scp of een ander progsel weer naar je server uploaden.

Als je denkt dat je gehacked bent, zorg er dan in elk geval voor dat de machine afgesloten is van het internet. Het zou namelijk kunnen zijn dat die bijvoorbeeld voor een ddos attack als zombie ingezet wordt.

Succes

[edit]
Als het echt zo is dat je gehacked bent. Dan mag je een nieuwe install doen. Je weet namelijk niet wat er achtergelaten wordt.

[ Voor 7% gewijzigd door active2 op 06-10-2004 09:20 ]

Google, Het mirakel van de 21e eeuw!!!!


  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 21:55

BoAC

Memento mori

Weet je zeker dat je geheugen nog 100 % is?
Wanneer dat niet zo kun je vanalles verwachten natuurlijk ;)
Pagina: 1