Re: Einbruch? Paranoia?

[Jakob Lell]

On Thursday 11 March 2004 18:43, Joerg Fischer wrote:
 Hallo Welt,

 auf meinem Debian SID, aktueller Stand von heute, sind merkwürdige
 Dinge passiert. Ich benutze xpppload um meine DSL-Leitung ein wenig im
 Auge zu behalten. Heute nachmittag war da plötzlich Verkehr, der dort
 nicht hingehört. Es lief eigentlich nichts, aber xpppload zeigte im
 Schnitt 5-10kB/s Last an. Ob ankommend oder abgehend kann xpppload
 leider nicht sagen.
Hallo,
da könnte ifconfig oder ein Sniffer helfen. Leider ist es jetzt wohl zu spät 
dafür.

 Richtung Internet läuft ein iptable-Paketfilter, nach innen offen ist
 ssh und http. Abgehende Verbindungen sind zulässig, ebenso natürlich
 Antworten auf abgehende Pakete. Ich habe der Reihe nach alle Dienste
 beendet die halbwegs in Verdacht kommen. Zunächst natürlich den apache,
 dann alles was es eigentlich *nicht* sein kann. bind9, ntp, ssh, naja,
 einfach alles. Bei '/etc/init.d/samba stop' verschwand der Verkehr...

 Ja, ein Samba ist installiert und nach innen offen. Ich bin mir aber zu
 98% sicher mit der 'interfaces'-Option gearbeitet zu haben. Die war in
 /etc/smaba/smb.conf aber WEG! Dafür gibt es einen Eintrag, an dessen
 anlegen ich mich nicht recht erinnern kann (ich will es aber auch nicht

 ganz ausschließen, ich konfiguriere selten am Samba herum...):
 |[fileserver]
 |comment = Samba server's /fileserver
 |writable = yes
 |locking = yes
 |path = /fileserver
 |public = yes

 Ein Verzeichnis /fileserver existiert _nicht_... (Ich betone nochmal
 das smb Richtung Internet natürlich nicht durch den Paketfilter kommt.)

Kann es sein, dass Samba upgedated wurde und dpkg dich gefragt hat, ob es die 
alte Konfigurationsdatei überschreiben soll? Eventuell solltest du deine 
Version von /etc/samba/smb.conf mit der Standardversion von Debian 
vergleichen. Dies könnte den Eintrag /fileserver erklären.

 Ich habe die Logfiles inspiziert und mußte feststellen das heute für um
 7.30 das logging endete. Normalerweise schlagen ja immer mal Pakete am
 Firewall auf, die logge ich z.B. mit.)
Wenn möglich kannst du versuchen, von einem anderen Rechner einen Portscan auf 
dein System zu starten oder manuell auf einen geschlossenen Port zugreifen. 
Wenn dies nich in den Logfiles auftaucht, kann es sein, dass auf dem System 
ein Rootkit installiert ist. Auch chkrootkit (am besten von KNOPPIX aus 
gestartet) könnte hilfreich sein.

 Das war der Moment wo ich die Kiste vom Netz genommen habe um in Ruhe
 nachzudenken. Ich habe eine Knoppix gebootet und die Platte relativ
 genau unter die Lupe genommen. 'find -ctime' hilft leider nicht weiter,
 da ich *gerade heute* jede Menge Pakete aktualisiert hatte. :-/ Meine
 händische Suche nach Auffälligkeiten brachte nichts.

Überprüfe noch einmal Veränderungen bei /sbin/init, dem Kernel und allen 
Modulen. Dort könnte ein Rootkit versteckt sein. Wenn du den Kernel selbst 
kompiliert hast, könntest du ihn zur Sicherheit von KNOPPIX aus neu 
kompilieren.

 Auf der Maschine sind nur 3 User eingerichtet, alle mit guten, langen
 Passwörtern. Da sie außer apache und ssh keine Dienste anbot kann ich
 mir das ganze irgendwie nicht ganz erklären. Und weil ich es mir nicht
 erklären konnte, bin ich mit angeschaltenem ethereal wieder ans Netz.

Kann es sein, dass ein User einen Cronjob hat, der den Traffick erzeugt? Ich 
z.B. hole meine Mails mit einem Cronjob über fetchmail.

 Jetzt beobachte ich seit ungefähr 2h gebannt was hier passiert. Der
 ominöse Datenverkehr ist weg. Der syslog loggt wie immer.
 Arbeitshypothese: Jemand hatte gegen mich einen Portscan laufen, das
 war der sichtbare Datenverkehr. Der Portscan war *zufällig* ungefähr da
 zu Ende wo ich den Samba anhielt.

Es kann auch sein, dass derjenige, der die IP-Adresse vor dir hatte, ein 
P2P-Programm verwendet hat und andere Clients versuchen, auf ihn zuzugreifen. 
Da P2P-Programme eine unerreichbare IP nach einer gewissen Zeit vergessen, 
kann dies ein plötzliches Ende des Angriffs erklären.

 Was würdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu
 aufsetzen?

Wenn die oben genannten Tests den Verdacht nicht erhärten können, ist das IMHO 
nicht notwendig.

Gruss
  Jakob


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Einbruch? Paranoia?

[Martin Wesemann]

Joerg Fischer wrote:

 Hallo Welt,


Ein Echo zurück,

[..]
 
 Was würdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu
 aufsetzen?
 
 Jörg
 

Sollte ein Angreifer Dein System kompromitiert und die vermeintliche
Änderung in der smb.conf vorgenommen haben, so sieht dies nach einem sehr
plumen Einbruchsversuch aus. Eine solche Änderung würde von einem normalen
User (wie mir :)) in kurzer Zeit entdeckt werden. Das Verzeichnis was dabei
freigegeben wurden sein soll, befindet sich im RootPath und ist dort kaum
zu übersehen. Vielleicht solltest Du dieses näher untersuchen, falls es
existiert. Veränderung weiterer Dateien deren Aufbau man nicht selber
kennt, lässt sich wohl nur durch einen Vergleich mit einem Checksum der
original Datei (unveränderte Datei) prüfen, welche wohl kein normaler User
anfertigt.

In Sachen logs: Interessanter als das abruppte Eenden der
Paketfiltermeldungen (was auf viele verschiedene Ursachen zurückzuführen
wäre, die zu erst ausgeschlossen werden müssen) wären die logs von 
/var/log/samba/* (wann wurde dieser neugestartet)
/var/log/messages (fehlt ein -- MARK -- Eintrag)
/var/log/setuid.changes (wurden setuid programme geändert)
/var/log/auth.log (hat sich jemand in der Zeit als root angemeldet) 
usw. 

Da wir gerade beim Checken des Systems sind, fällt mir gleich ein gute
Debian Artikel ein, der mit der kompromitierung der Debian Server vor ein
paar Monaten zusammenhängt. Dieser erklärt gut, was nach einer
Kompromitierung zu beachten ist und wie man rootkits usw. aufspüren kann:
http://www.wiggy.net/debian/developer-securing/

Ja was kann man noch empfehlen. Solltest Du das System nicht neu aufsetzen,
sind weitere Vorgänge natürlich best möglich zu überwachen. Es ist
unwahrscheinlich das der Angreifer an irgendwelchen Informationen in Deinem
System interessiert ist, ausser Du hast irgendwelche für ihn ziemlich
interessanten Informationen, das kann ich schwer beurteilen.
Wahrscheinlicher ist das der Angreifer das System als Spungbrett verwenden
möchte, was aber auch für Dich selber unangenehme Konsequenzen haben kann.
Eine Änderung aller Passwörter und Schlüssel ist aber wohl auf jeden fall
anzuraten. 


HTH,
Martin


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)