[prev in list] [next in list] [prev in thread] [next in thread]
List: linux-guvenlik
Subject: [Linux-guvenlik] Rootkit
From: deneme isler <gerekli_isler () hotmail ! com>
Date: 2010-02-08 19:07:40
Message-ID: COL115-W3458A2B83F20833D5ABC708A510 () phx ! gbl
[Download RAW message or body]
[Attachment #2 (multipart/alternative)]
Arkadaşlar Selam,
Sistem debian eth ve yeni farkettim sistemde rootkit var ve sistem uzakta
yani yanımda olsa çoktan yeniden kurmuştum. Internette bir tarama yaptım net
bir çözüm bulamadım.
Sizlerin fikrini almak istedim.
Dün sistemi kontrol ettiğimde "rdp -h xxx.xxx.xxx.xxx" şeklinde bazı IPlere
remote desktop
atılmaya çalıştığını gördüm. Sistemi incelemeye aldım.
Processleri incelediğim "???" şeklinde
2 adet process var. "rkhunter -c"
herhangi bir rootkit bulamadı.
Ama /usr/local/sbin altında
total 3884
drwxrwsr-x 2 root staff 4096 Feb 8 12:31
.
drwxrwsr-x 10 root staff 4096 Feb 28 2008 ..
lrwxrwxrwx 1 root
staff 14 Feb 8 11:57 sshd -> sshd2
-rwxr-xr-x 1 root staff 1607707
Oct 25 09:41 sshd-check-conf
-rwxr-xr-x 1 root staff 2348782 Oct 25 09:41
sshd2
/usr/local/bin altında
drwxrwsr-x 10 root staff 4096 Feb 28 2008 ..
lrwxrwxrwx 1 root
staff 4 Oct 25 09:41 scp -> scp2
-rwxr-xr-x 1 root staff 841978
Oct 25 09:41 scp2
lrwxrwxrwx 1 root staff 5 Oct 25 09:41 sftp ->
sftp2
lrwxrwxrwx 1 root staff 12 Oct 25 09:41 sftp-server ->
sftp-server2
-rwxr-xr-x 1 root staff 321855 Oct 25 09:41
sftp-server2
-rwxr-xr-x 1 root staff 936631 Oct 25 09:41
sftp2
lrwxrwxrwx 1 root staff 12 Feb 8 11:48 ssh ->
/usr/bin/ssh
lrwxrwxrwx 1 root staff 8 Oct 25 09:41 ssh-add ->
ssh-add2
-rwxr-xr-x 1 root staff 1692082 Oct 25 09:41
ssh-add2
lrwxrwxrwx 1 root staff 10 Oct 25 09:41 ssh-agent ->
ssh-agent2
-rwxr-xr-x 1 root staff 1641446 Oct 25 09:41
ssh-agent2
lrwxrwxrwx 1 root staff 12 Oct 25 09:41 ssh-askpass ->
ssh-askpass2
-rwxr-xr-x 1 root staff 2583 Oct 25 09:41
ssh-chrootmgr
-rwxr-xr-x 1 root staff 16315 Oct 25 09:41
ssh-dummy-shell
lrwxrwxrwx 1 root staff 11 Oct 25 09:41 ssh-keygen
-> ssh-keygen2
-rwxr-xr-x 1 root staff 1626445 Oct 25 09:41
ssh-keygen2
lrwxrwxrwx 1 root staff 10 Oct 25 09:41 ssh-probe ->
ssh-probe2
-rwxr-xr-x 1 root staff 347892 Oct 25 09:41
ssh-probe2
-rwxr-xr-x 1 root staff 7563 Oct 25 09:41
ssh-pubkeymgr
lrwxrwxrwx 1 root staff 11 Oct 25 09:41 ssh-signer ->
ssh-signer2
-rws--x--x 1 root staff 1640483 Oct 25 09:41
ssh-signer2
-rwxr-xr-x 1 root staff 2645728 Oct 25 09:41 ssh2
Kısacası linkler verilmiş ve ssh da yeniden derlenmiş görünüyor.
Büyük olasılıkla library de değişiklik yapılmıştır.
3066 ? S 0:00 /usr/sbin/apache2 -k start
3067
? S 0:00 /usr/sbin/apache2 -k start
24321 ? S 0:00
???
??? şeklinde proses var. ssh stop edilemiyor. Çünkü
which sshd
dediğimde /usr/sbin/sshd
yerine
/usr/local/sbin/sshd geliyor. Yani ssh yeniden derlenmiş. O yüzden ssh da
"PermitRootLogin no" yapamıyorum.
aynı zamanda /etc/hosts.allow ve hosts.deny ye girdiğim sshd de IP blokları
iş yapmıyor.
Zaman kazanmak adına buraya sadece kendi ip lerime izin vermeyi denedim ama
bir değişiklik olmadı.
# netstat -nlp
tcp6 0 0 :::80 :::*
LISTEN 3009/apache2
tcp6 0 0 :::22
:::* LISTEN 2949/
yani 22 port ssh daemon dan çalışmıyor. ( Yani orjinalden )
Sistemi uzaktan etch den testing e update etsem
( apt-get upgrade -f -y --force-yes gibi ...)
hem kernel değişeceğinden sizce bir yararı olurmu. Bu tür bir update de
/lib komple değişecekmidir.
( libc6 kesin güncellenmiş olacaktır.
Dolayısıylada sistem mi? )
Daha makul bir görüşü olan arkadaşlardan yardim bekliyorum.
Şimdiden Teşekkür ederim.
Güvenli Linuxlu Günler...
_________________________________________________________________
Hotmail: Powerful Free email with security by Microsoft.
https://signup.live.com/signup.aspx?id=60969
[Attachment #5 (text/html)]
<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
--></style>
</head>
<body class='hmmessage'>
<style></style><font style="font-size: 10pt;" face="Arial" size="2">
</font><div><font face="Arial" size="2"><br>Arkadaşlar Selam,</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Sistem debian eth ve yeni farkettim sistemde rootkit \
var ve sistem uzakta <br>yani yanımda olsa çoktan yeniden kurmuştum. Internette bir \
tarama yaptım net bir çözüm bulamadım.<br>Sizlerin fikrini almak \
istedim.</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Dün sistemi kontrol ettiğimde "rdp -h \
xxx.xxx.xxx.xxx" şeklinde bazı IPlere remote desktop <br>atılmaya çalıştığını \
gördüm. Sistemi incelemeye aldım. Processleri incelediğim "???" şeklinde <br>2 \
adet process var. "rkhunter -c" herhangi bir rootkit bulamadı. </font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Ama /usr/local/sbin altında </font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2"><br>total 3884<br>drwxrwsr-x 2 root \
staff 4096 Feb 8 12:31
.<br>drwxrwsr-x 10 root staff 4096 Feb 28 2008 \
..<br>lrwxrwxrwx 1 root staff 14 Feb 8 \
11:57 sshd -> sshd2<br>-rwxr-xr-x 1 root staff 1607707 Oct 25 09:41 \
sshd-check-conf<br>-rwxr-xr-x 1 root staff 2348782 Oct 25 09:41 \
sshd2</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">/usr/local/bin altında</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">drwxrwsr-x 10 root staff 4096 Feb \
28 2008 ..<br>lrwxrwxrwx 1 root \
staff 4 Oct 25 09:41 scp -> \
scp2<br>-rwxr-xr-x 1 root staff 841978 Oct 25 09:41 \
scp2<br>lrwxrwxrwx 1 root staff 5 Oct 25 \
09:41 sftp -> sftp2<br>lrwxrwxrwx 1 root \
staff 12 Oct 25 09:41 sftp-server -> \
sftp-server2<br>-rwxr-xr-x 1 root staff 321855 Oct 25 09:41 \
sftp-server2<br>-rwxr-xr-x 1 root staff 936631 Oct 25 09:41 \
sftp2<br>lrwxrwxrwx 1 root staff 12 Feb 8 \
11:48 ssh ->
/usr/bin/ssh<br>lrwxrwxrwx 1 root staff 8 \
Oct 25 09:41 ssh-add -> ssh-add2<br>-rwxr-xr-x 1 root staff 1692082 Oct 25 \
09:41 ssh-add2<br>lrwxrwxrwx 1 root staff 10 Oct \
25 09:41 ssh-agent -> ssh-agent2<br>-rwxr-xr-x 1 root staff 1641446 Oct 25 \
09:41 ssh-agent2<br>lrwxrwxrwx 1 root staff 12 \
Oct 25 09:41 ssh-askpass -> ssh-askpass2<br>-rwxr-xr-x 1 root \
staff 2583 Oct 25 09:41 ssh-chrootmgr<br>-rwxr-xr-x 1 root \
staff 16315 Oct 25 09:41 ssh-dummy-shell<br>lrwxrwxrwx 1 root \
staff 11 Oct 25 09:41 ssh-keygen
-> ssh-keygen2<br>-rwxr-xr-x 1 root staff 1626445 Oct 25 09:41
ssh-keygen2<br>lrwxrwxrwx 1 root staff 10 Oct 25 \
09:41 ssh-probe -> ssh-probe2<br>-rwxr-xr-x 1 root staff 347892 Oct \
25 09:41 ssh-probe2<br>-rwxr-xr-x 1 root staff 7563 Oct 25 \
09:41 ssh-pubkeymgr<br>lrwxrwxrwx 1 root staff \
11 Oct 25 09:41 ssh-signer -> ssh-signer2<br>-rws--x--x 1 root staff \
1640483 Oct 25 09:41 ssh-signer2<br>-rwxr-xr-x 1 root staff 2645728 Oct 25 \
09:41 ssh2</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2"><br>Kısacası linkler verilmiş ve ssh da yeniden \
derlenmiş görünüyor. <br>Büyük olasılıkla library de değişiklik yapılmıştır. \
</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2"> <br> 3066 \
? S 0:00 \
/usr/sbin/apache2 -k start<br> 3067 ? \
S 0:00 /usr/sbin/apache2 -k start<br>24321 \
? S 0:00 \
???</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">??? şeklinde proses var. ssh stop edilemiyor. Çünkü \
</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">which sshd</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">dediğimde /usr/sbin/sshd</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">yerine </font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">/usr/local/sbin/sshd geliyor. Yani ssh yeniden \
derlenmiş. O yüzden ssh da "PermitRootLogin no" yapamıyorum.</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">aynı zamanda /etc/hosts.allow ve hosts.deny ye \
girdiğim sshd de IP blokları iş yapmıyor.</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Zaman kazanmak adına buraya sadece kendi ip lerime \
izin vermeyi denedim ama bir değişiklik olmadı.</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2"># netstat -nlp</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">tcp6 \
0 0 \
:::80 \
:::* \
LISTEN \
3009/apache2<br>tcp6 \
0 0 \
:::22 \
:::* \
LISTEN 2949/</font></div> <div><font face="Arial" \
size="2"> </font></div> <div><font face="Arial" size="2">yani 22 port ssh daemon \
dan çalışmıyor. ( Yani orjinalden )</font></div> <div><font face="Arial" \
size="2"> </font></div> <div><font face="Arial" size="2">Sistemi uzaktan etch \
den testing e update etsem </font></div> <div><font face="Arial" \
size="2"> </font></div> <div><font face="Arial" size="2">( apt-get upgrade -f -y \
--force-yes gibi ...)</font></div> <div><font face="Arial" \
size="2"> </font></div> <div><font face="Arial" size="2">hem kernel \
değişeceğinden sizce bir yararı olurmu. Bu tür bir update de /lib komple \
değişecekmidir. <br>( libc6 kesin güncellenmiş olacaktır. Dolayısıylada sistem mi? \
)</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2"> Daha makul bir görüşü olan \
arkadaşlardan yardim bekliyorum. </font></div> <div><font face="Arial" \
size="2"> </font></div> <div><font face="Arial" size="2"> Şimdiden Teşekkür \
ederim.</font></div> <div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2"><br>Güvenli Linuxlu Günler...<br></font></div> \
<br /><hr />Hotmail: Powerful Free email with security by Microsoft. <a \
href='https://signup.live.com/signup.aspx?id=60969' target='_new'>Get it \
now.</a></body> </html>
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
Liste kurallari: http://liste.linux.org.tr/kurallar.php
[prev in list] [next in list] [prev in thread] [next in thread]
Configure |
About |
News |
Add a list |
Sponsored by KoreLogic