Hallo zusammen

Gibt es jemand, der bei der "Bereinigung" eines Linux-Servers behilflich sein kann? Ein Trojaner hat sich eingenistet, welcher noch keinen Unfug veranstaltet, aber vielleicht bald...

Zur Historie:
1. beim Einloggen per SSH stellte ich fest, dass der Rechner einen neuen Fingerprint hat
2. Im Mail-Log /var/log/mail gibt es Fehlermeldungen, wenn der Webserver/PHP Mails verschicken will:
sendmail[20242]: NOQUEUE: SYSERR(wwwrun): can not chdir(/var/spool/clientmqueue/): Permission denied
Die Fehlermeldung "can not chdir(/var/spool/clientmqueue/): Permission denied" ist sehr schräg

Dass da etwas nicht so läuft wie soll, ist offensichtlich. Die Analyse seitens des Providers lautet:

ich habe mir, wie besprochen, den Prozess klogd1 (PID: 34) angeschaut. Ic= h erwähnte bereits, daß der Prozess üblicherweise eine Kernelprozess ist. Dieser Prozess hat eine Verbindung zum IRC Netz Undernet aufgebaut und sendet im Moment Pinganfragen, die ich persönlich, als Signal der Erreichbarkeit werte. Es wird meiner Einschätzung nach ein Botnetz sein, an dem ihr Server im Moment angeschlossen ist und auf Befehle wartet.

Googlen bzgl. "klogd1" ergab 9 Hits und interessante Einblicke. So scheint es mir, dass es sich um den Trojaner

Troj/Linsniff-B - Spyware Trojan - Sophos threat analysis

handelt.

Das Betriebssystem auf dem Server ist ein SUSE 9.0 - ich weiss, ist schon etwas angestaubt.

So... und nun meine Fragen:
- hat jemand Erfahrung mit klogd1 bzw. klogd2
- wie kam er ins System, wo ist die Lücke?
- wie kann ich eine "Reinigung" des Systems versuchen, um eine Neuinstallation zu vermeiden ( es laufen diverse Webserver auf diesem Server, die derzeit keine Unterbrechung zulassen)

DANKE für Eure Hilfe

Bei Linux bin ich ein blinder Hund, aber wenn es stimmt was ich gelesen habe

Zitat:

SSH was definitely compromised; they replaced the binaries!
...
/etc/passwd and /etc/group were modified with a new account
...
/root/.ssh/known_hosts was modified with a new entry.
...
ran perl and executed a shell for the attacker

sehe ich keine Möglichkeit irgendein! Betriebssystem ohne Neuinstallation wieder in einen vertrauenswürdigen Zustand zu bekommen.

Vergiß es! Wenn das Teil schon in IRC horcht und in nem Botnetz gefasst ist, ist ne Bereinigung ein hauchdünnes Brett.
Da wurden durch diese Verbindungen schon mit Sicherheit rootkts eingebaut die du aller wahrscheinlichkeit nach nie finden wirst.

Den Server jetzt sofort vom Netz zu nehmen geht nicht. Ich würde vorschlagen ihr setzt ein Übergangssystem auf und nehmt den kompromittierten Server danach vom Netz, welcher dann komplett neu aufgesetzt wieder in Betrieb genommen wird.

Zitat:

- wie kam er ins System, wo ist die Lücke?

Ich würde auf Sicherheitslücken in der verwendeten Software tippen. Wie siehts denn mit SSH aus? Ist der root-Login verboten oder erlaubt? Und per SSH kommt man wahrscheinlich von überall auf die Kiste oder ist das nur "intern" zu managen...
Sorry bei so wenig Infos kann man nur mutmaßen was die Lecks denn nun waren und auf "deinen" Server kann ich ja schlecht selber raufkucken

Hm... höre ich zwar nicht gerne, aber habe ich irgendwie erwartet.

Habe mir erhofft, gerade auf solch' einer Website einen "White Hacker" zu finden...

Habt ihr denn kein Backup/Image vom server?

Zitat:

Zitat von Pollux

Hm... höre ich zwar nicht gerne, aber habe ich irgendwie erwartet.

Habe mir erhofft, gerade auf solch' einer Website einen "White Hacker" zu finden...

Sorry aber ich bins nochmal. Bist Du nur der Praktikant, der den angeblichen Admin vertritt oder haben die dich für den fest eingestellt nachdem er nun unbezahlten Urlaub genießen kann?
Sollte ich mich irren melde das am besten deiner IT-Abteilung UND der Geschäftsleitung um schnellstmöglich das Beste aus dieser Scheiße noch zu machen. Das Ding am Netz zu lassen ist jedenfalls KEINE Lösung. Garantier mal für deiner Firma die Sauberkeit des Servers, nachdem du hier mit nem Haufen zusammengewürfelter User aus nem Forum den Server vielleicht einigermaßen bereinigen konntest.

Wirklich der beste Tipp an Dich: So schnell wir es geht an den nächsten Verantwortlichen (Geschäftsleitung), Vorfall schildern, voraussichtliche downtime sagen. Aber besser JETZT was machen als garnichts. Du stehst mit dem kompromittiertem System jetzt schon halb im Knast

Fehler macht jeder mal. Aber wenn dann ehrlich und dann machst du die beste Lösung. Übergangssystem! Und langsam aufbauen. Gute Firmen sind eh versichert. Auch in der Geschäftsleitung werden Fehler gemacht das sind keine Halbgötter!

Sorry das hätte ich früher sagen müssen

Ich war eigentlich auf der Suche nach einem technischen Beistand/Tip bzw. nach vielleicht anderen Betroffenen, die mir weiterhelfen können. Dass ich aber derart angemacht werde, root24, ist sehr enttäuschend.

Dass das Beste sicherlich eine möglichst rasche Migration ist, dazu brauch ich dieses Forum nicht, das ist eine Binsenweisheit. Ich habe mir von den Besuchern dieser Website mehr konstruktiven Input erhofft als Deine umwerfende Analyse.

Sorry ich will Dich nicht anmachen ich sach dir nur klipp und klar was Sache ist. Die Sache ist ernst und da sollte man nicht alles blumig umschreiben.

Zitat:

Zitat von Pollux

Ich war eigentlich auf der Suche nach einem technischen Beistand/Tip bzw. nach vielleicht anderen Betroffenen, die mir weiterhelfen können. Dass ich aber derart angemacht werde, root24, ist sehr enttäuschend.

Den hast Du von mir und MightyMarc bekommen aber anscheinend gefällt Dir die Antwort einfach nur nicht.
"Klar neu aufsetzen kann ja jeder, ist einfach nicht professionell genug...." so kenn ich die Sprüche immer. Damit will ich aber nicht sagen daß Du das auch so gemeint hast.
Ich find's sehr enttäuschend daß sehr viele Leute immer dazu neigen den vermeintlich bequemeren aber völlig unsicheren Weg zu gehen. Dabei wird aber vergessen daß ausführliche und umfangreiche Analysen durchaus mehr Zeit in Anspruch nehmen als 10x plattmachen und neumachen zusammen. Aber mußt Du wissen wenn Du sonst nix zu tun hast inner Firma...

Deswegen könnte man mal ein wenig wirtschaftlicher arbeiten und denken und schon von vornherein sich Notfallpläne überlegen um eben in so einer Situation eben schnell und optimal reagieren zu können.

Zitat:

Dass das Beste sicherlich eine möglichst rasche Migration ist, dazu brauch ich dieses Forum nicht, das ist eine Binsenweisheit. Ich habe mir von den Besuchern dieser Website mehr konstruktiven Input erhofft als Deine umwerfende Analyse.

Was willst Du denn noch zu dieser versauten Kiste hören?
Du kannst höchstens das Teil offline ein wenig analysieren und schauen wo die Schwachstellen waren um in Zukunft diese Fehler zu vermeiden.

Sei ehrlich: Du hättest am liebsten so was wie "Lösch Datei abc und Ordner xyz und editier die Konfigdatei /etc/blablubb.conf ein wenig in Zeile n und p" und das System ist wieder sauber!

Und verrat mir auch mal bitte warum ein für euch derart wichtiger Server absolut keine Backups hat? Kein Notfallersatzgerät etc.? Wenn das Ding mal abraucht was ist dann? Es muß nicht immer Schädlingsbefall sein!