Hi!

Eines von den Kiddies hat gestern sein Schulnotebook (Dell Inspiron mit openSuse 13.2, immer aktuallisiert) zu Hause an's Netz gehängt und Snort (läuft auf dem internen Interface für dieses Netzwerk) hat Versuche unterbunden C&C Server auf port 6667 anzufunken, folgende IPs

83.140.172.212
83.140.172.210
66.225.225.66
128.39.65.226
91.217.189.21

jeweils zweimal pro IP, innerhalb weniger Minuten.

Ich habe für diesen port

yoyo

Trinity

in dieser Database gefunden:

hxxp://www.simovits.com/trojans/trojans.html

Was ist zu machen, außer den Rechner komplett neu aufzusetzen (wohl über's Wochenende dann...).

Tausend Dank vorab für jegliche Hilfestellung

Suse

Hi und

Bist du dir sicher, dass da malware werkelt?
Wenn man in einem Linux-System nicht gerade alles mögliche an der Paketverwaltung vorbei installiert, sondern diese immer schön nutzt um Software zu installieren und all seine Pakete auch immer up2date hält, ist es nicht gerade wahrscheinlich, dass da ein Bot werkelt.

Was sind denn auf der Kiste für Dienste eingerichtet? SSH? Mit schlechter Absicherung?

Wie fit bist du in der Linux Shell (bash)? Leider muss ich gestehen, dass Suse nicht so mein Fall ist und aus dem (x)ubuntu-/Debian-Lager komme...

Hi cosinus!

Danke für die rasche Antwort!

Was soll ich sagen? Was die in der Schule treiben: Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich. Letzthin hat er an einem anderen Rechner (anderes Netzwerk) das hier hinbekommen:

https://forums.opensuse.org/showthread.php/505859-NetworkManager-GDbus-error-with-YaST-no-apper-firefox-thunderbird

...abends noch dran gewerkelt, nächsten Tag ging nichts mehr und angeblich keine Ahnung, was da passiert ist.

Mit Konsolengefrickel könnte man schon loslegen, alleine: Ich habe keine Ahnung, wo man starten soll. Diese beiden Unix-Malware, die ich oben verlinkt habe sind ja real, also: Warum sollte Snort da plötzlich Traffic auf port 6667 zu auffälligen IP stoppen (SID: 1:2405028 1:2404078 1:2404076 1:2405028 1:2404062 1:2405026 1:2404004 1:2405030 1:2404088 1:2405029), wenn da nich massiv was schief läuft?

Eine der IPs fand ich ein einem jap. Cybersec-Dokument von 2015 im Zusammenhang mit shellshock (dürfte aber eigentlich kein Thema mehr sein, oder? Die Kiste wird täglich vorschriftsmässig geupdatet, incl. Flashplayer und Co.). Alles spricht für ein echtes Problem, oder?

Ich bin auch ziemlich ratlos, wie sowas kommen soll.

Beste Grüße

suse

Da läuft nicht zufällig irgendein IRC-Client im Hintergrund und ist im Autostart? Wer hat überhaupt snort auf der Kiste eingerichtet? Das auf einem Desktop/Notebook find ich etwas merkwürdig! Intrusion Detection auf einem Desktop, der normalerweise eh keine Dienste nach außen anbietet ist irgendwie sinnfrei. Oder wird das Teil als Server missbraucht?

Zitat:

Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich.

Und jetzt musst du seinen Rechner wieder hinbiegen?

Zitat:

Diese beiden Unix-Malware, die ich oben verlinkt habe sind ja real,

Die beiden?? Zwei? Wieso siehst du gleich zwei? Zwei Verbindungsversuche heißt nicht, dass da zwei verschiedene Malwaretypen werkeln

Zitat:

Alles spricht für ein echtes Problem, oder?

Wenn es Windows wäre würde mich da nix wundern. Sich aber sein Linux zu zerlegen, da gehört schon einiges zu.

Hi again!

Snort läuft direkt auf dem Router ;-) (pfSense mit snort drauf, um die Sicherheit im Netzwerk zu überwachen). Keine Server, keine offenen ports hier zuhause (ausser email, http, https und ein einzelner ntp-Server), aber in der Schule: Kein Zugriff, keine Ahnung!

Pidgin mit OTR ist auf dem Rechner.

Zitat:
Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich.

Und jetzt musst du seinen Rechner wieder hinbiegen?

Ähm, nunja, ich hätte schon gern, dass man denn wieder gefahrlos in's Familiennetzwerk lassen kann...

Die beiden Malwares habe ich mit der Kombination Unix und port 6667 im Netz ergooglet. Ob es einer dieser Trojaner ist? Keine Ahnung!

Danke für die Rückmeldung, fühle mich doch irgendwie recht ratlos... (wie schon bei dem anderen Rechner, der sich plötzlich zerlegt hat. Auch mit openSuse drauf, keine 3 Monate alt, die Installation).

Grüße!

suse

Zitat:

Pidgin mit OTR ist auf dem Rechner.

Na also. Ist IRC da eingerichtet? ja? Dann beende es mal, nimm es aus dem Autostart und schau ob "dein Trojaner" immer noch werkelt bzw snort immer noch motzt.

Hi again!

Eigentlich nur ein AOL-Account drauf eingerichtet... Sch gugge nochmal und melde mich wieder!

Danke und beste Grüße
:-)

suse

Ohjeeeeee, der Benutzer hat tatsächlich IRC channels aboniert, ohne Bescheid zu sagen... Sorry for the inconvenience caused!

Oder auch: Vielen Dank für das Gespräch! :-D

Ich melde mich, wenn es nochmal Ärger gibt.

Schönes Wochenende

suse

Bei Linux nicht gleich in Panik verfallen

Desktop-Systeme werden eh so gut wie nie angegriffen, wenn dann eher sowas wie SSH oder halt alle anderen Services, die so ein Server nach draußen anbieten kann. Aber ich hoffe mal, dass ein Laie nicht einfach so auf die Idee kommt zB SSH-, FTP-, Apache-web-, MySQL-Server etc. zu installieren (auf nen Desktop!) und dann alles aus dem Internet erreichbar macht....

Gibt es überhaupt Linux Malware in freier Wildbahn? Meiner Infos nach nicht, wenn dann "Testobjekte" die aber nicht für den Angriff auf Privatrechner gedacht sind.

Es ist schwierig aber nicht unmöglich. Hier der jüngste in der Wildbahn

https://news.drweb-av.de/show/?i=9272&lng=de

Ein weiteres Besipiel

The first Trojan in history to steal Linux and Mac OS X passwords ? Dr.Web - innovation anti-virus security technologies. Comprehensive protection from Internet threats.

Netzwerkgeräte und Strukturen sind ein beliebtes Ziel von kriminellen und die entwickelte Malware wird immer raffinierter.

Viruslist.com - Die Köpfe der Hydra. Malware für Netzwerkgeräte

Nach meiner Ansicht ist aber die größte Gefahr der Einsatz von Backdoors aus Bundeseinrichtungen.

Handy-Trojaner: Kaspersky entdeckt Überwachungssoftware für iOS, Android und Co.

Wird in deinem Netzwerk z.B. Minecraft verwendet? Deaktiviere mal alle anderen Clients und wiederhole die Tests. Ich befürchte andere Clients in deinem LAN haben z.B. mit Minecraft-Servern kommunziert und dein Linux-Rechner hat das mitgesnifft. Poste auch mal echte Ausgaben deiner Auswertetools.
Und aus Sicherheitsgründen. Administriere deinen Linux-Rechner nie von einem Windows-Rechner aus. Denn dann kann eine evtl. Malware auch deinen Linux-Rechner fernsteuern.

Öhm...hatten wir nicht schon geklärt, dass 6667/tcp von pidgin kam (IRC)?

Zitat:

Und aus Sicherheitsgründen. Administriere deinen Linux-Rechner nie von einem Windows-Rechner aus.

what......darf man jetzt kein putty mehr unter Windows verwenden?

@Troja_suse: Jetzt weißt du wenigstens dass deine Snort Installation was taugt

Ernsthaft: in solchen Fällen zuerst mal mit deinem Filius reden, im Zweifel wäre ihm irgendwann eingefallen dass er ein Chatprogramm installiert hat. Kommerzielle Malware unter Linux ist so selten dass ich nichtmal ein AV Programm installiert habe...

Genau. Denn der Keylogger liest das root-Passwort mit und über eine Fernwartungs-Sitzung kann dann der Linux-Rechner angegriffen werden. Ähnlich werden ja auch Webseiten gehackt. Unter Windows die FTP/SSH-Passwörter mitlesen und dann die Webseiten manipulieren. Und am Ende wechselt man den Webspace-Provider, da er ja so unsicher war.

@Dante:

Zitat:

Die Installation eines Schädlings erfolgt nur, wenn sie mit Root-Rechten gestartet wurde.

Somit sollte bei bestimmungsgemäßer Verwendung von Linux (Software nur aus vertrauenswürdigen Repositories installieren) keine Infektion stattfinden.

Die Unsitte die bei manchen Ubuntu- Anfängern galt, sich reihenweise private Repositorylisten ins System zu knallen ist hoffentlich wieder aus der Mode ....