Hallo Liste,
heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web Server:
Von Tiger:
NEW: --WARN-- [lin002i] The process `58' is listening on socket 48544
(TCP) on every interface.
NEW: --WARN-- [lin002i] The process `mocks' is listening on socket
26689 (TCP) on every interface.
NEW: --WARN-- [lin003w] The process `testme' is listening on socket
8888 (TCP on every interface) is run by www-data.
Und von Aide:
added:/usr/include/file.h
added:/usr/include/hosts.h
added:/usr/include/log.h
added:/usr/include/proc.h
added:/usr/lib/libsh
added:/usr/lib/libsh/.bashrc
added:/usr/lib/libsh/.backup
added:/usr/lib/libsh/.backup/ps
added:/usr/lib/libsh/.backup/ifconfig
added:/usr/lib/libsh/.backup/netstat
added:/usr/lib/libsh/.backup/top
added:/usr/lib/libsh/.backup/ls
added:/usr/lib/libsh/.backup/find
added:/usr/lib/libsh/.backup/lsof
added:/usr/lib/libsh/.backup/pstree
added:/usr/lib/libsh/.backup/md5sum
added:/usr/lib/libsh/utilz
added:/usr/lib/libsh/utilz/synscan.tgz
added:/usr/lib/libsh/utilz/mirk.tgz
added:/usr/lib/libsh/utilz/mocks-0.0.2
added:/usr/lib/libsh/utilz/mocks-0.0.2/src
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.c
added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.h
added:/usr/lib/libsh/utilz/mocks-0.0.2/COPYING
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.conf
added:/usr/lib/libsh/utilz/mocks-0.0.2/README
added:/usr/lib/libsh/utilz/mocks-0.0.2/TODO
added:/usr/lib/libsh/utilz/mocks-0.0.2/build
added:/usr/lib/libsh/utilz/mocks-0.0.2/CHANGELOG
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.log
added:/usr/lib/libsh/utilz/mocks-0.0.2/mocks.pid
added:/usr/lib/libsh/.sniff
added:/usr/lib/libsh/.sniff/shsniff
added:/usr/lib/libsh/.sniff/shp
added:/usr/lib/libsh/shsb
added:/usr/lib/libsh/hide
added:/usr/lib/libsh/.owned
added:/usr/sbin/ttyload
added:/dev/srd0
added:/lib/libproc.a
added:/lib/libproc.so.2.0.6
added:/lib/lidps1.so
added:/lib/libsh.so
added:/lib/libsh.so/shdcf
added:/lib/libsh.so/shhk
added:/lib/libsh.so/shhk.pub
added:/lib/libsh.so/shrs
added:/lib/libsh.so/bash
added:/lib/libncurses.so.4
added:/sbin/ttyload
added:/sbin/ttymon
changed:/usr/share/doc
changed:/usr/share/man/man1
changed:/usr/bin
changed:/usr/bin/md5sum
changed:/usr/bin/find
changed:/usr/bin/top
changed:/usr/bin/pstree
changed:/usr/bin/lsof
changed:/usr/lib
changed:/usr/sbin
changed:/usr/sbin/lsof
changed:/dev
changed:/dev/log
changed:/bin/ls
changed:/bin/ps
changed:/bin/netstat
changed:/lib
changed:/sbin
changed:/sbin/ifconfig
Das stellte sich als ein SSH Daemon, ein IRC Bouncer, ein SOCKS Proxy
und zwei Dinge mit Weboberfl�che auf port 8888 raus.
Einige Dateien waren noch extra mit ext2 Attributen gesch�tzt ("chattr
-isa" damit man l�schen durfte...)
Das ganze hatt eine offene IRC Verbindung zu einem ebenfalls gehackten Server.
Au�erdem waren noch zwei Log S�uberungs Skripte dabei.
chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
Habe dann alle aufgelistete Dateien einfach gel�scht bzw. durch
Originale ersetzt.
Kennt jemand das Teil und wei� was das ist, wie man das sicher los
wird (am besten ohne alles platt zu machen...) ?
Andreas
