Rootkit und/oder Trojaner unter Linux.gefunden blos kann ihn nicht entfernen

#0
04.03.2006, 16:28
...neu hier

Beiträge: 5
#1 Hallo..

hmm sorry für das doppelpost, hatte dies schon bei der virenabteilung gepastet.. aber irgendwie gehts dort nur um windows zeugs, darum poste ich das nochmals hier, vieleicht hats hier mehr linux profis ;)

als ich heute bemerkt hab, dass ich von meiner 80gb platte nur 40gb benutze aber mir der "df" befehl gesagt hat, dass platte voll ist, bin ich mal bisschen forschen gegangen, wo all diese GBs sein sollen.. die ganzen 80gb sind auf /home gemountet "du -h /home" sagte mir aber auch es sind nur 40gb im gebrauch. trotzdem ist sie voll..

nuja, da ich wusste, dass es programme gibt, welche dateien verstecken, sogenannte rootkits, hab ich mal danach gescannt mit diversen rootkitscannern.. die haben zwar nix gefunden, aber ein programm meinte dies:

-----------
Scanning for hidden files... [ Warning! ]
---------------
/dev/.udev.tdb /etc/.pwd.lock
/etc/.enyelkmHIDE^IT.ko
---------------
Please inspect: /etc/.enyelkmHIDE^IT.ko (ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYSV), not stripped)
-----------
hmm jo meine vermutung hatte sich also bestägigt wie man am filenamen sieht: .enyelkmHIDE^IT.ko <-- HIDE^IT

soweit so gut.. wollte ich also diese datei löschen, bekomme ich meldung:
# rm -f /etc/.enyelkmHIDE^IT.ko
rm: cannot remove `/etc/.enyelkmHIDE^IT.ko': Operation not permitted

bei chmod 777 .enyelkmHIDE^IT.ko kommt dieselbe meldung..

ok, dann dachte ich, die datei wird wohl im gebrauch sein, darum kann ich die nicht löschen.. dann hab ich mal im init.d ordner nachgeguckt was so alles mitgestartet wird, bei "rc.modules" hab ich das dann entdeckt..
war folgender eintrag drin: "insmod etc/.enyelkmHIDE^IT.ko"
aber entfernen mit "rmmod etc/.enyelkmHIDE^IT.ko" geht nicht kommt folgende meldung: "ERROR: Module does not exist in /proc/modules"
wenn schon sollte aber die meldung kommen, dass .enyelkmHIDE^IT.ko nicht existiert, ich denk der hat da ein problem mit dem punkt vor dem dateinamen..
weil wenn ich spasseshalber nochmals "insmod etc/.enyelkmHIDE^IT.ko" tippe kommt die meldung "insmod: error inserting '/etc/.enyelkmHIDE^IT.ko': -1 File exists" <-- also ist sie noch drin !

weiss da jemand rat ? bin echt langsam am verzweifeln.. sonst muss ich echt system neu aufsetzen... und das ist extrem viel arbeit..

Danke schonmal !


ach kleiner nachtrag: die versteckten dateien hab ich inzwischen gefunden, da lief wohl ein ftp server auf meinem PC, ganz viele filme und mp3s lagen da rum, hab mal alles gelöscht, aber diese .enyelkmHIDE^IT.ko scheint noch zu laufen
--------------------------------------------------------------------------------
Seitenanfang Seitenende
04.03.2006, 16:44
Member
Avatar Xeper

Beiträge: 5285
#2 Du solltest dir eher den Kopf darüber zerbrechen wie diese Datei in dein System kommt!
Jemand hat dich wohl gehackt und UID 0 erlangt.
Welches OS? (kompletter Name)
Welches Linux release??

An deiner Stelle würde ich sofort die Box vom Netz nehmen und erstmal die Sicherheitlsücke lokalisieren und fixen.
Vermutlich hast du ein altes obsolete/depricated System welches schon lange nicht mehr updated wurde oder du hast jemanden zu gut vertraut.

Zu dieser Datei:

lsof|grep /etc/.enyelkmHIDE^IT.ko <-- Zeigt an welches Programm diese Datei in Benutzung hat.

Alle Prozesse die dies tuen müssen gekillt werden dann muss die Datei gelöscht werden, wenn das im jetztigen Zustand nicht funktioniert würde ich zum single-user mode switchen.

Desweiteren solltest du wohl sicherheits halber ein kernel update machen und auch alle Dateien lokalisieren und auflisten die zu keinem installiertem Paket gehören.

Noch zwei wichtige Fragen die du dir stellen solltest:
Welchen timestamp hat diese Datei?
Wie lange ist sie schon im System?

mfg
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
04.03.2006, 16:57
...neu hier

Themenstarter

Beiträge: 5
#3 erstmal danke für antwort..

also wie das reingekommen ist weiss ich auch schon nun.. grad eben ne dubiose .php datei entdeckt auf ftp, mit der man anscheinend befehle auf server ausführen konnte.. blos wie diese .php datei auf mein ftp gekommen ist hab ich keine ahnung..
hab nun phpsavemode auf on gestellt, damit sollte das nicht mehr gehen solche .php dateien auszuführen..

der befehl "lsof|grep /etc/.enyelkmHIDE^IT.ko" gibt bei mir kein resultat
springt nur eine linie weiter..

die dubiose datei ist genau seit einer woche bei mir drauf.. und habe redhat linux (blos grad keine ahnung welche version und wie ich dies rausfind in kürze)

alle Dateien lokalisieren und auflisten die zu keinem installiertem Paket gehören. <-- gibts da klugen befehl für ?
Seitenanfang Seitenende
04.03.2006, 17:06
Member
Avatar Xeper

Beiträge: 5285
#4

Zitat

also wie das reingekommen ist weiss ich auch schon nun.. grad eben ne dubiose .php datei entdeckt auf ftp, mit der man anscheinend befehle auf server ausführen konnte.. blos wie diese .php datei auf mein ftp gekommen ist hab ich keine ahnung..
Entweder compromised httpd (apache?) oder
compromised ftpd.

Zitat

hab nun phpsavemode auf on gestellt, damit sollte das nicht mehr gehen solche .php dateien auszuführen..
Ja genau - besser ist das.
Obwohl das nicht die Lösung deines Problems ist oder hostest du für Freunde etc. irgendwelche Seiten?
Eventuell hast du ja selber php scripte die unsicher programmiert sind?

Zitat

der befehl "lsof|grep /etc/.enyelkmHIDE^IT.ko" gibt bei mir kein resultat
Dann ist diese Datei auch nicht in Benutzung kannst ja mal nur mit .enyelkm* ausprobiern bzw. ich weiß nicht ob man das Zirkumflex (^) per \ escapen muss wie man das mit Leerstellen tut.

Zitat

(blos grad keine ahnung welche version und wie ich dies rausfind in kürze)
"uname -r"

Zitat

alle Dateien lokalisieren und auflisten die zu keinem installiertem Paket gehören. <-- gibts da klugen befehl für ?
"man rpm" -- nutze rpm selber gar nicht.
Theorie ist simpel, liste alle dateien in einer ASCII datei auf,
vielleicht per "find /|tee ~/files.txt".
Dann listest du alle offiziellen installierten Dateien auf s.o.
Und danach vergleichst du die beiden Dateien per diff - das was über ist ist dann wohl entweder von dir erstellt oder von jemand anderem.

Auf BSD UNIX würde das jedenfalls per:
"pkg_info -q -L `pkg_info|awk {'print $1'}`|tee ~/all_files.txt"
funktionieren.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 04.03.2006 um 17:19 Uhr von Xeper editiert.
Seitenanfang Seitenende
04.03.2006, 17:20
...neu hier

Themenstarter

Beiträge: 5
#5 uname -r
2.6.9-22.0.1.EL

und leider gabs auch mit nur .enyelkm* kein ergebnis..

und der hacker ist frech.. hat mir soeben den ganzen inhalt meines ordners gelöscht in dem ich mein chkrootkit hatte..
damit hab ich nämlich rausgefunden wo der sein ftp installiert hat

nuja wahrscheinlich werd ich um alles clean zu kriegen wohl doch neu installieren müssen ;) der hat da bestimmt inzwischen tausend startvarianten eingebaut und noch ein paar backup rootkits




PID 4491(/proc/4491): not in readdir output
PID 4491: not in ps output
CWD 4491: /home/ OCTAN/.mldonkey

aha nun wird auch schon ein edonkey client bei mir installiert ;) die schweine verdammten
Seitenanfang Seitenende
04.03.2006, 18:29
Member
Avatar Xeper

Beiträge: 5285
#6

Zitat

uname -r
2.6.9-22.0.1.EL
Viel zu alt!

Wir sind bei 2.6.15.5 (siehe http://www.kernel.org/)

Zitat

und der hacker ist frech.. hat mir soeben den ganzen inhalt meines ordners gelöscht in dem ich mein chkrootkit hatte..
Ordner gibt es nicht nur Verzeichnise ;)
wahrscheinlich hat er schon ssh zugriff? Hast du ein sshd am laufen?

Zitat

nuja wahrscheinlich werd ich um alles clean zu kriegen wohl doch neu installieren müssen
Tja kann dir da auch nicht helfen, dass was du tuen musst hab ich dir scho gesagt aber es stimmt wenn man sich mit Linux nicht ganz genau auskennt kann es schnell zum eigen Tor werden. Aber reintheoretisch ist es ja ganz einfach du musst doch nur alle daemons deaktiviern und das module los werden und halt seinen user löschen wenn er einen hat bzw. passwd ändern.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
04.03.2006, 18:45
...neu hier

Themenstarter

Beiträge: 5
#7 hmm jo, also installieren und einrichten von dingen auf linux kann ich ja.. aber so dinge sind mir dann zu hoch.. da bin ich ungefähr gleich aufgeschmissen wie ein Windows "normal user" der noch nie was von registry gehört hat..

wie tut man denn alle demons deaktivieren ? hab da direktadmin wo ich mysql und http und so abstellen kann.. aber das wird wohl nicht gemeint sein..

hmm oder einfacher, willst du mal auf mein server gucken ? geb dir ssh daten zum draufconnecten..
Seitenanfang Seitenende
04.03.2006, 19:36
Member
Avatar Xeper

Beiträge: 5285
#8

Zitat

wie tut man denn alle demons deaktivieren ? hab da direktadmin wo ich mysql und http und so abstellen kann.. aber das wird wohl nicht gemeint sein..
Eigentlich macht man das per "/etc/init.d/apache stop" (init.d kann bei dir auch rc.d sein). zb.

Zitat

hmm oder einfacher, willst du mal auf mein server gucken ? geb dir ssh daten zum draufconnecten..
Joa kann ich machen kein Problem, bist du irgendwo im IRC vertreten?
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
04.03.2006, 19:59
...neu hier

Themenstarter

Beiträge: 5
#9 hab dir ne pm geschickt..
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: