Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)
-   -   openSuse 13.2 - Trojaner funkt auf port 6667 (https://www.trojaner-board.de/165322-opensuse-13-2-trojaner-funkt-port-6667-a.html)

Troja_suse 20.03.2015 11:39

openSuse 13.2 - Trojaner funkt auf port 6667
 
Hi!

Eines von den Kiddies hat gestern sein Schulnotebook (Dell Inspiron mit openSuse 13.2, immer aktuallisiert) zu Hause an's Netz gehängt und Snort (läuft auf dem internen Interface für dieses Netzwerk) hat Versuche unterbunden C&C Server auf port 6667 anzufunken, folgende IPs

83.140.172.212
83.140.172.210
66.225.225.66
128.39.65.226
91.217.189.21

jeweils zweimal pro IP, innerhalb weniger Minuten.

Ich habe für diesen port

yoyo

Trinity

in dieser Database gefunden:

hxxp://www.simovits.com/trojans/trojans.html

Was ist zu machen, außer den Rechner komplett neu aufzusetzen (wohl über's Wochenende dann...).

Tausend Dank vorab für jegliche Hilfestellung

Suse

cosinus 20.03.2015 12:50

Hi und :hallo:

Bist du dir sicher, dass da malware werkelt?
Wenn man in einem Linux-System nicht gerade alles mögliche an der Paketverwaltung vorbei installiert, sondern diese immer schön nutzt um Software zu installieren und all seine Pakete auch immer up2date hält, ist es nicht gerade wahrscheinlich, dass da ein Bot werkelt.

Was sind denn auf der Kiste für Dienste eingerichtet? SSH? Mit schlechter Absicherung?

Wie fit bist du in der Linux Shell (bash)? Leider muss ich gestehen, dass Suse nicht so mein Fall ist und aus dem (x)ubuntu-/Debian-Lager komme...

Troja_suse 20.03.2015 13:54

Hi cosinus!

Danke für die rasche Antwort!

Was soll ich sagen? Was die in der Schule treiben: Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich. Letzthin hat er an einem anderen Rechner (anderes Netzwerk) das hier hinbekommen:

https://forums.opensuse.org/showthread.php/505859-NetworkManager-GDbus-error-with-YaST-no-apper-firefox-thunderbird

...abends noch dran gewerkelt, nächsten Tag ging nichts mehr und angeblich keine Ahnung, was da passiert ist.

Mit Konsolengefrickel könnte man schon loslegen, alleine: Ich habe keine Ahnung, wo man starten soll. Diese beiden Unix-Malware, die ich oben verlinkt habe sind ja real, also: Warum sollte Snort da plötzlich Traffic auf port 6667 zu auffälligen IP stoppen (SID: 1:2405028 1:2404078 1:2404076 1:2405028 1:2404062 1:2405026 1:2404004 1:2405030 1:2404088 1:2405029), wenn da nich massiv was schief läuft?

Eine der IPs fand ich ein einem jap. Cybersec-Dokument von 2015 im Zusammenhang mit shellshock (dürfte aber eigentlich kein Thema mehr sein, oder? Die Kiste wird täglich vorschriftsmässig geupdatet, incl. Flashplayer und Co.). Alles spricht für ein echtes Problem, oder?

Ich bin auch ziemlich ratlos, wie sowas kommen soll.

Beste Grüße

suse

cosinus 20.03.2015 14:12

Da läuft nicht zufällig irgendein IRC-Client im Hintergrund und ist im Autostart? Wer hat überhaupt snort auf der Kiste eingerichtet? Das auf einem Desktop/Notebook find ich etwas merkwürdig! Intrusion Detection auf einem Desktop, der normalerweise eh keine Dienste nach außen anbietet ist irgendwie sinnfrei. Oder wird das Teil als Server missbraucht?

Zitat:

Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich.
Und jetzt musst du seinen Rechner wieder hinbiegen? :wtf:

Zitat:

Diese beiden Unix-Malware, die ich oben verlinkt habe sind ja real,
Die beiden?? Zwei? Wieso siehst du gleich zwei? Zwei Verbindungsversuche heißt nicht, dass da zwei verschiedene Malwaretypen werkeln

Zitat:

Alles spricht für ein echtes Problem, oder?
Wenn es Windows wäre würde mich da nix wundern. Sich aber sein Linux zu zerlegen, da gehört schon einiges zu.

Troja_suse 20.03.2015 14:21

Hi again!

Snort läuft direkt auf dem Router ;-) (pfSense mit snort drauf, um die Sicherheit im Netzwerk zu überwachen). Keine Server, keine offenen ports hier zuhause (ausser email, http, https und ein einzelner ntp-Server), aber in der Schule: Kein Zugriff, keine Ahnung!

Pidgin mit OTR ist auf dem Rechner.

Zitat:
Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich.

Und jetzt musst du seinen Rechner wieder hinbiegen?

Ähm, nunja, ich hätte schon gern, dass man denn wieder gefahrlos in's Familiennetzwerk lassen kann...

Die beiden Malwares habe ich mit der Kombination Unix und port 6667 im Netz ergooglet. Ob es einer dieser Trojaner ist? Keine Ahnung!

Danke für die Rückmeldung, fühle mich doch irgendwie recht ratlos... (wie schon bei dem anderen Rechner, der sich plötzlich zerlegt hat. Auch mit openSuse drauf, keine 3 Monate alt, die Installation).

Grüße!

suse

cosinus 20.03.2015 14:52

Zitat:

Pidgin mit OTR ist auf dem Rechner.
Na also. Ist IRC da eingerichtet? ja? Dann beende es mal, nimm es aus dem Autostart und schau ob "dein Trojaner" immer noch werkelt bzw snort immer noch motzt.

Troja_suse 20.03.2015 15:33

Hi again!

Eigentlich nur ein AOL-Account drauf eingerichtet... Sch gugge nochmal und melde mich wieder!

Danke und beste Grüße
:-)

suse

Ohjeeeeee, der Benutzer hat tatsächlich IRC channels aboniert, ohne Bescheid zu sagen... Sorry for the inconvenience caused!

Oder auch: Vielen Dank für das Gespräch! :-D

Ich melde mich, wenn es nochmal Ärger gibt.

Schönes Wochenende

suse

cosinus 21.03.2015 00:39

Bei Linux nicht gleich in Panik verfallen ;)

Desktop-Systeme werden eh so gut wie nie angegriffen, wenn dann eher sowas wie SSH oder halt alle anderen Services, die so ein Server nach draußen anbieten kann. Aber ich hoffe mal, dass ein Laie nicht einfach so auf die Idee kommt zB SSH-, FTP-, Apache-web-, MySQL-Server etc. zu installieren (auf nen Desktop!) und dann alles aus dem Internet erreichbar macht....

xXFreakXx 22.03.2015 10:59

Gibt es überhaupt Linux Malware in freier Wildbahn? Meiner Infos nach nicht, wenn dann "Testobjekte" die aber nicht für den Angriff auf Privatrechner gedacht sind.

Dante12 22.03.2015 11:32

Es ist schwierig aber nicht unmöglich. Hier der jüngste in der Wildbahn

https://news.drweb-av.de/show/?i=9272&lng=de

Ein weiteres Besipiel

The first Trojan in history to steal Linux and Mac OS X passwords ? Dr.Web - innovation anti-virus security technologies. Comprehensive protection from Internet threats.

Netzwerkgeräte und Strukturen sind ein beliebtes Ziel von kriminellen und die entwickelte Malware wird immer raffinierter.

Viruslist.com - Die Köpfe der Hydra. Malware für Netzwerkgeräte

Nach meiner Ansicht ist aber die größte Gefahr der Einsatz von Backdoors aus Bundeseinrichtungen.

Handy-Trojaner: Kaspersky entdeckt Überwachungssoftware für iOS, Android und Co.

iceweasel 24.03.2015 11:17

Wird in deinem Netzwerk z.B. Minecraft verwendet? Deaktiviere mal alle anderen Clients und wiederhole die Tests. Ich befürchte andere Clients in deinem LAN haben z.B. mit Minecraft-Servern kommunziert und dein Linux-Rechner hat das mitgesnifft. Poste auch mal echte Ausgaben deiner Auswertetools.
Und aus Sicherheitsgründen. Administriere deinen Linux-Rechner nie von einem Windows-Rechner aus. Denn dann kann eine evtl. Malware auch deinen Linux-Rechner fernsteuern.

cosinus 24.03.2015 11:19

Öhm...hatten wir nicht schon geklärt, dass 6667/tcp von pidgin kam (IRC)?

Zitat:

Und aus Sicherheitsgründen. Administriere deinen Linux-Rechner nie von einem Windows-Rechner aus.
what...:wtf:...darf man jetzt kein putty mehr unter Windows verwenden? :heulen:

W_Dackel 24.03.2015 11:26

@Troja_suse: Jetzt weißt du wenigstens dass deine Snort Installation was taugt :)

Ernsthaft: in solchen Fällen zuerst mal mit deinem Filius reden, im Zweifel wäre ihm irgendwann eingefallen dass er ein Chatprogramm installiert hat. Kommerzielle Malware unter Linux ist so selten dass ich nichtmal ein AV Programm installiert habe...

iceweasel 24.03.2015 11:26

Genau. Denn der Keylogger liest das root-Passwort mit und über eine Fernwartungs-Sitzung kann dann der Linux-Rechner angegriffen werden. Ähnlich werden ja auch Webseiten gehackt. Unter Windows die FTP/SSH-Passwörter mitlesen und dann die Webseiten manipulieren. Und am Ende wechselt man den Webspace-Provider, da er ja so unsicher war.

W_Dackel 24.03.2015 11:30

@Dante:
Zitat:

Die Installation eines Schädlings erfolgt nur, wenn sie mit Root-Rechten gestartet wurde.
Somit sollte bei bestimmungsgemäßer Verwendung von Linux (Software nur aus vertrauenswürdigen Repositories installieren) keine Infektion stattfinden.

Die Unsitte die bei manchen Ubuntu- Anfängern galt, sich reihenweise private Repositorylisten ins System zu knallen ist hoffentlich wieder aus der Mode ....


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131