Arkadaşlar Selam,
Sistem debian eth ve yeni farkettim sistemde rootkit var ve sistem uzakta
yani yanımda olsa çoktan yeniden kurmuştum. Internette bir tarama yaptım net
bir çözüm bulamadım.
Sizlerin fikrini almak istedim.
Dün sistemi kontrol ettiğimde "rdp -h xxx.xxx.xxx.xxx" şeklinde bazı IPlere
remote desktop
atılmaya çalıştığını gördüm. Sistemi incelemeye aldım.
Processleri incelediğim "???" şeklinde
2 adet process var. "rkhunter -c"
herhangi bir rootkit bulamadı.
Ama /usr/local/sbin altında
total 3884
drwxrwsr-x 2 root staff 4096 Feb 8 12:31
.
drwxrwsr-x 10 root staff 4096 Feb 28 2008 ..
lrwxrwxrwx 1 root
staff 14 Feb 8 11:57 sshd -> sshd2
-rwxr-xr-x 1 root staff 1607707
Oct 25 09:41 sshd-check-conf
-rwxr-xr-x 1 root staff 2348782 Oct 25 09:41
sshd2
/usr/local/bin altında
drwxrwsr-x 10 root staff 4096 Feb 28 2008 ..
lrwxrwxrwx 1 root
staff 4 Oct 25 09:41 scp -> scp2
-rwxr-xr-x 1 root staff 841978
Oct 25 09:41 scp2
lrwxrwxrwx 1 root staff 5 Oct 25 09:41 sftp ->
sftp2
lrwxrwxrwx 1 root staff 12 Oct 25 09:41 sftp-server ->
sftp-server2
-rwxr-xr-x 1 root staff 321855 Oct 25 09:41
sftp-server2
-rwxr-xr-x 1 root staff 936631 Oct 25 09:41
sftp2
lrwxrwxrwx 1 root staff 12 Feb 8 11:48 ssh ->
/usr/bin/ssh
lrwxrwxrwx 1 root staff 8 Oct 25 09:41 ssh-add ->
ssh-add2
-rwxr-xr-x 1 root staff 1692082 Oct 25 09:41
ssh-add2
lrwxrwxrwx 1 root staff 10 Oct 25 09:41 ssh-agent ->
ssh-agent2
-rwxr-xr-x 1 root staff 1641446 Oct 25 09:41
ssh-agent2
lrwxrwxrwx 1 root staff 12 Oct 25 09:41 ssh-askpass ->
ssh-askpass2
-rwxr-xr-x 1 root staff 2583 Oct 25 09:41
ssh-chrootmgr
-rwxr-xr-x 1 root staff 16315 Oct 25 09:41
ssh-dummy-shell
lrwxrwxrwx 1 root staff 11 Oct 25 09:41 ssh-keygen
-> ssh-keygen2
-rwxr-xr-x 1 root staff 1626445 Oct 25 09:41
ssh-keygen2
lrwxrwxrwx 1 root staff 10 Oct 25 09:41 ssh-probe ->
ssh-probe2
-rwxr-xr-x 1 root staff 347892 Oct 25 09:41
ssh-probe2
-rwxr-xr-x 1 root staff 7563 Oct 25 09:41
ssh-pubkeymgr
lrwxrwxrwx 1 root staff 11 Oct 25 09:41 ssh-signer ->
ssh-signer2
-rws--x--x 1 root staff 1640483 Oct 25 09:41
ssh-signer2
-rwxr-xr-x 1 root staff 2645728 Oct 25 09:41 ssh2
Kısacası linkler verilmiş ve ssh da yeniden derlenmiş görünüyor.
Büyük olasılıkla library de değişiklik yapılmıştır.
3066 ? S 0:00 /usr/sbin/apache2 -k start
3067
? S 0:00 /usr/sbin/apache2 -k start
24321 ? S 0:00
???
??? şeklinde proses var. ssh stop edilemiyor. Çünkü
which sshd
dediğimde /usr/sbin/sshd
yerine
/usr/local/sbin/sshd geliyor. Yani ssh yeniden derlenmiş. O yüzden ssh da
"PermitRootLogin no" yapamıyorum.
aynı zamanda /etc/hosts.allow ve hosts.deny ye girdiğim sshd de IP blokları
iş yapmıyor.
Zaman kazanmak adına buraya sadece kendi ip lerime izin vermeyi denedim ama
bir değişiklik olmadı.
# netstat -nlp
tcp6 0 0 :::80 :::*
LISTEN 3009/apache2
tcp6 0 0 :::22
:::* LISTEN 2949/
yani 22 port ssh daemon dan çalışmıyor. ( Yani orjinalden )
Sistemi uzaktan etch den testing e update etsem
( apt-get upgrade -f -y --force-yes gibi ...)
hem kernel değişeceğinden sizce bir yararı olurmu. Bu tür bir update de
/lib komple değişecekmidir.
( libc6 kesin güncellenmiş olacaktır.
Dolayısıylada sistem mi? )
Daha makul bir görüşü olan arkadaşlardan yardim bekliyorum.
Şimdiden Teşekkür ederim.
Güvenli Linuxlu Günler...
_________________________________________________________________
Hotmail: Powerful Free email with security by Microsoft.
https://signup.live.com/signup.aspx?id=60969_______________________________________________
Linux-guvenlik mailing list
[email protected]
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
Liste kurallari: http://liste.linux.org.tr/kurallar.php
