Securing mount (was Re: server hacked)

2005-07-22 Diskussionsfäden Ulrich Fürst 
Thomas Sjögren <[EMAIL PROTECTED]> wrote: 
> On Thu, Jul 21, 2005 at 11:36:25PM +0200, Ulrich Fürst wrote:
> > Sorry, to bark in on the thread, but I have a (short?) question.
> > I once mounted my /home noexec. After that I couldn't log into my
> > user-account. How do you manage to be still able to log in?
> 
> Never had any problems with that. Users usually dont execute files in
> /home.

I couldn't log in any more as I tried it some time ago. But I guess it
was due to something else. 

I retried it today. Nearly everything worked. 
The only thing (it's a standalone workstation) is the scripts in my
~/.kde/Autostart folder aren't executed anymore...

Is there any way, so I can mount my home noexec, but allow scripts to
run in a special folder?

Ulrich

--  
http://aful.org/images/patent_banner.gif
http://petition.eurolinux.org

Re: Server hacked

2005-05-25 Diskussionsfäden Andreas Rabus 
Hallo Liste,
Danke für die Antworten.
Ich hoffe immer noch, das ich mit einem reinstall und stärkerem härten
des Systems um die neuinstallation rumkomme und da ich von einem
Backup die Daten holen müsste, wären zumidest Teile des rootkits
wieder auf dem System...
Außerdem ist das System ein aktver Webserver im Internet (Kein
Verbindung zum hiesigen LAN).
Wichtiger wäre mir daher das Einfallstor so zuverlässig wie möglich zu
identifizieren und zu schließen.

Anbei noch ein paar Erkenntnise meinerseits in den letzten Tagen:

2005/5/23, Andreas Rabus <[EMAIL PROTECTED]>:
> Außerdem waren noch zwei Log Säuberungs Skripte dabei.
Diese Skripte haben ihre arbeit gründlich gemacht...
Ich fand nix in den Logs. Aus der betroffenene Zeit fehlten nahzu alle
Logeinträge.
Ich kann nicht mal rausfinden wie das Teil auf meinen Rechner gekommen ist.
tct findet auch nix brauchbares...
 
> chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
das Skript hat sich an /lib/libproc.a gestört, das in libproc-dev ist,
was man manchmal braucht um aus Dateien unter /procschlau zu werden.
t0rn v8 ist also ein Fehlalarm.

> Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
> Originale ersetzt.
Und den Rechner neu gestartet und die Kennwörter geändert. 
Man kann der Ausgabe der Programme wie ps und netstat jetzt wohl wieder trauen.
Aber wenn der Sniffer noch aktiv ist hilft das nix
Obwohl ich annehme die Verbindung zum Hacker erst mal unterbrochen
ist. Der IRC Server mit dem sich mein Rechner verbunden hat ist auch
erst mal unschädlich gemacht worden.
 
> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
> wird (am besten ohne alles platt zu machen...) ?
Es scheint also ein Eigenbau zu sein...

Und der SOCKS Proxy mocks wurde wohl von Hand übersetzt, was heißt
mindestens ein Mensch hat sich per ssh (alias /sbin/ttymon mit conf in
/lib/libsh u.ä.)  auf meinem Rechner eingeloggt. (Es war ain auth key
dabie auf den namen [EMAIL PROTECTED] )

Das Teil scheint allerdings schon länger unterwegs zu sein:
Mein Rechner hat sich per IRC an einen anderen bereits gehackten
Rechner  gemeldet, der offensichtlich als "Sammler" diente.

Wenn sich noch ein Opfer findet wäre ich an einem Kenntniss Austausch
durch aus interessiert.

Andreas

Re: Server hacked

2005-05-24 Diskussionsfäden Sebastian van de Meer|Mobil 
Am Montag, 23. Mai 2005 19:45 schrieb Andreas Rabus:
> Hallo Liste,
>
> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
> wird (am besten ohne alles platt zu machen...) ?
>
>
> Andreas
Hallo Andreas,

ich würde das System in Fall platt machen... Du solltest aber zuerst 
herausfinden wie die Daten in dein System gekommen sind. Hilft dabei es in 
der Zukunft zu verhindern ^^

Du kannst nie 100%tig sicher sein, dass wirklich alles aus dem System raus 
ist. Daher mach es besser platt


Grüße


Sebastian van de Meer
-- 
--
Ich widerspreche der Nutzung oder übermittlung meiner Daten
für Werbezwecke oder für die Markt- und Meinungsforschung
(§ 28 Absatz 3+4 Bundesdatenschutzgesetz).
VCard zum downloaden: http://www.kernel-error.de/kernel.vcf
#
# GPG-INFO  #
# Finger-Print  #
# AC4E 5829 62C9 9CE6 F3D0 C209 6BB8 FE16 5CD6 50F3 #
# Den oeffentlichen bekommt ihr unter:  #
# http://www.kernel-error.de/kernel-error-mobil.asc #
#


pgphm4ZJwAfi6.pgp
Description: PGP signature

Re: Server hacked

2005-05-23 Diskussionsfäden Michael Holtermann 
Jochen Schulz wrote:
> Nein. Mach alles platt. Schnell.

Vorher vielleicht noch das Netzkabel abziehen und sich an die
Beweissicherung machen.

Grüße, Michael.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server hacked

2005-05-23 Diskussionsfäden Malte Schirmacher 
Am Mon, 23 May 2005 19:45:00 +0200 schrieb Andreas Rabus  
<[EMAIL PROTECTED]>:



Hallo Liste,

heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web  
Server:



Das stellte sich als ein SSH Daemon, ein IRC Bouncer, ein SOCKS Proxy
und zwei Dinge mit Weboberfläche auf port  raus.


Also für mic iseht das so aus als wäre das ein Angriff von jemandem  
gewesen, der auf der Suche nach neuen FTP-Servern war, um diese für  
IRC-Warez-Verteilung zu missbrauchen.
Diese Leute gehen AFAIK immer mit BruteForce-Anriffen vor. Deshlab würde  
ich aml als erste Alle Passwörter durch sichere ersetzen.





--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server hacked

2005-05-23 Diskussionsfäden Jochen Schulz 
* Andreas Rabus:
>
> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
> wird (am besten ohne alles platt zu machen...) ?

Nein. Mach alles platt. Schnell.

J.
-- 
I am worried that my dreams pale in comparison beside TV docu-soaps.
[Agree]   [Disagree]
 


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server hacked

2005-05-23 Diskussionsfäden Marcus Frings 
* Michelle Konzack <[EMAIL PROTECTED]> wrote:

> Ähm, Du haste nen compiler auf dem Server ?
> Dann machste es dem Einbrecher aber supereinfach...

Quark. Wer schon Kontrolle über den Rechner hat, kann auch ohne Probleme
einen Compiler nachziehen. 

>> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
>> wird (am besten ohne alles platt zu machen...) ?

> Vergiß es! Wenn Du nicht weist, wie er reingekommen ist,
> kannste NUR neu installieren, mach aber vorher von der
> Festplatte ein dd-Image zum analysieren.

Bringt nichts. Erst Neuinstallation nach _erfolgreicher_ Analyse,
ansonsten kommt der Einbrecher über dieselbe Sicherheitslücke wieder
hinein.

Gruß,
Marcus
-- 
"Ich lasse Euch jetzt alleine. So viele Menschen warten darauf zu sterben.
Da will ich keine Zeit verschwenden!"


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Server hacked

2005-05-23 Diskussionsfäden Michelle Konzack 
Am 2005-05-23 19:45:00, schrieb Andreas Rabus:
> Hallo Liste,
> 
> heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web 
> Server:

>  added:/usr/lib/libsh/utilz/mocks-0.0.2
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.c
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.h
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.c
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.h
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.c
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.h
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.c
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.h
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.c
>  added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.h

Ähm, Du haste nen compiler auf dem Server ?
Dann machste es dem Einbrecher aber supereinfach...
 
> chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
  
Versuch es mal mit Cristal-GOOGLER :-)

> Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
> Originale ersetzt.

???

> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
> wird (am besten ohne alles platt zu machen...) ?

Vergiß es! Wenn Du nicht weist, wie er reingekommen ist,
kannste NUR neu installieren, mach aber vorher von der
Festplatte ein dd-Image zum analysieren.

> Andreas

Greetings
Michelle

-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


signature.pgp
Description: Digital signature

Server hacked

2005-05-23 Diskussionsfäden Andreas Rabus 
Hallo Liste,

heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web Server:

Von Tiger:
NEW: --WARN-- [lin002i] The process `58' is listening on socket 48544
(TCP) on every interface.
 NEW: --WARN-- [lin002i] The process `mocks' is listening on socket
26689 (TCP) on every interface.
 NEW: --WARN-- [lin003w] The process `testme' is listening on socket
 (TCP on every interface) is run by www-data.

Und von Aide:
added:/usr/include/file.h
 added:/usr/include/hosts.h
 added:/usr/include/log.h
 added:/usr/include/proc.h
 added:/usr/lib/libsh
 added:/usr/lib/libsh/.bashrc
 added:/usr/lib/libsh/.backup
 added:/usr/lib/libsh/.backup/ps
 added:/usr/lib/libsh/.backup/ifconfig
 added:/usr/lib/libsh/.backup/netstat
 added:/usr/lib/libsh/.backup/top
 added:/usr/lib/libsh/.backup/ls
 added:/usr/lib/libsh/.backup/find
 added:/usr/lib/libsh/.backup/lsof
 added:/usr/lib/libsh/.backup/pstree
 added:/usr/lib/libsh/.backup/md5sum
 added:/usr/lib/libsh/utilz
 added:/usr/lib/libsh/utilz/synscan.tgz
 added:/usr/lib/libsh/utilz/mirk.tgz
 added:/usr/lib/libsh/utilz/mocks-0.0.2
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.c
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.h
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.c
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.h
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.c
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.h
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.c
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.h
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.c
 added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.h
 added:/usr/lib/libsh/utilz/mocks-0.0.2/COPYING
 added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks
 added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.conf
 added:/usr/lib/libsh/utilz/mocks-0.0.2/README
 added:/usr/lib/libsh/utilz/mocks-0.0.2/TODO
 added:/usr/lib/libsh/utilz/mocks-0.0.2/build
 added:/usr/lib/libsh/utilz/mocks-0.0.2/CHANGELOG
 added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.log
 added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.pid
 added:/usr/lib/libsh/.sniff
 added:/usr/lib/libsh/.sniff/shsniff
 added:/usr/lib/libsh/.sniff/shp
 added:/usr/lib/libsh/shsb
 added:/usr/lib/libsh/hide
 added:/usr/lib/libsh/.owned
 added:/usr/sbin/ttyload
 added:/dev/srd0
 added:/lib/libproc.a
 added:/lib/libproc.so.2.0.6
 added:/lib/lidps1.so
 added:/lib/libsh.so
 added:/lib/libsh.so/shdcf
 added:/lib/libsh.so/shhk
 added:/lib/libsh.so/shhk.pub
 added:/lib/libsh.so/shrs
 added:/lib/libsh.so/bash
 added:/lib/libncurses.so.4
 added:/sbin/ttyload
 added:/sbin/ttymon
 changed:/usr/share/doc
 changed:/usr/share/man/man1
 changed:/usr/bin
 changed:/usr/bin/md5sum
 changed:/usr/bin/find
 changed:/usr/bin/top
 changed:/usr/bin/pstree
 changed:/usr/bin/lsof
 changed:/usr/lib
 changed:/usr/sbin
 changed:/usr/sbin/lsof
 changed:/dev
 changed:/dev/log
 changed:/bin/ls
 changed:/bin/ps
 changed:/bin/netstat
 changed:/lib
 changed:/sbin
 changed:/sbin/ifconfig 

Das stellte sich als ein SSH Daemon, ein IRC Bouncer, ein SOCKS Proxy
und zwei Dinge mit Weboberfläche auf port  raus.

Einige Dateien waren noch extra mit ext2 Attributen geschützt ("chattr
-isa" damit man löschen durfte...)
Das ganze hatt eine offene IRC Verbindung zu einem ebenfalls gehackten Server.

Außerdem waren noch zwei Log Säuberungs Skripte dabei.

chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...

Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
Originale ersetzt.

Kennt jemand das Teil und weiß was das ist, wie man das sicher los
wird (am besten ohne alles platt zu machen...) ?


Andreas