Wie aus der vorherigen Meldung Protokoll eines Hacker-Angriffs bekannt gegeben, wurde unser Server leider erfolgreich von einem Hacker heimgesucht. Ich habe mich weiter umgeschaut und bin zu interessanten Dingen vorgedrungen: Der Zugang wird hinterhältig über einen zweiten SSH-Daemon gelegt! Dieser wurde sehr geschickt getarnt und nicht einmal verändert!

Wie ich schon berichtete, fand ich am Tage der feindlichen Übernahme einige Prozesse, die ich nicht kannte. Dies waren vor allem /sbin/ttymon und /sbin/ttyload. Bis zu diesem besonderen Tag habe ich noch nichts von diesen Anwendungen gehört. Das Suchen in den internen Dokumenten brachte nichts und auch die Installationsdatenbank schwieg sich zu diesen Dateien aus.

Im Internet fand ich zwar die Homepage eines Programms ttyload, dieses war jedoch ein interaktives Programm für die Kommandozeile. Ein Blick mittels less in die Datei offenbarte, dass es auf einem RedHat-System kompiliert wurde. Schon komisch, wenn man ein SuSE-System betreibt, gell? Es stammt von der SH-Crew und soll nur zu Testzwecken dienen! Wer's glaubt, wird selig, wer nicht glaubt kommt in diesem Fall eher in den Himmel. Ich möchte das Programm nicht so ohne weiteres aufrufen, um die Wirkungsweise festzustellen. Dafür muss erst einmal eine virtuelle Umgebung her...

Das Programm ttymon scheint ein SSH-Daemon zu sein. Zum Starten wurde er in die /etc/crontab eingetragen und nicht - wie sonst üblich - über ein rc-Skript. Die Zugangsdaten in Form von Schlüsseln fand ich in /usr/lib/libsh. Übrigens: Wer ein Verzeichnis /lib/libsh.so hat bzw. hatte, der ursprüngliche Inhalt wurde gelöscht, was auch für ein eventuell vorhandenes /usr/lib/libsh gilt.

Zusätzlich wurden die md5-Checksummen des Systems an die veränderten Tools angepasst. Die Datei /etc/sh.conf wird mit neuem Inhalt überschrieben oder angelegt.

Im Verzeichnis /usr/include werden folgende Dateien zugefügt bzw. überschrieben:

/usr/include/hosts.h
/usr/include/file.h
/usr/include/log.h
/usr/include/proc.h

Wenn wir denken, das ist alles - näh... Bei mir wurde eine neue Device-Datei /dev/srd0 angelegt. Bis jetzt bin ich noch nicht dahinter gekommen, für was sie dienen sollte.

Hinweise fand ich auf die Änderung folgender Systemtools, sofern sie vorhanden waren:

ifconfig, ps, ls, netstat, find, top, lsof, slocate, dir, md5sum, syslogd, pstree

Der Syslog-Daemon scheint nicht grundsätzlich ausgetauscht zu werden, im Hacker-Skript wird sogar davor gewarnt, weil es meist im Protokoll zu entsprechenden Hinweisen kommt... Aber grundsätzlich ist dieser Dienst zum Austausch vorgesehen.

Ach ja, fast vergessen: Wer einen nscd-Dienst hatte, findet ihn nicht mehr wieder. Er wird abgeschossen und die entsprechende Datei gelöscht.

Auch wurden zwei neue Bibliotheken eingespielt bzw. falls sie vorhanden sind ersetzt: libproc.a und libproc.so.2.0.6

Wer nur die /lib/libncurses.so.5 besitzt, findet einen neuen symbolischen Link darauf, der dem System die gleichnamige Bibliothek in der 4er-Version vorgaukelt (/lib/libncurses.so.4 --> /lib/libncurses.so.5)

Soviel erst einmal an neuen Erkenntnissen. Wer kann noch etwas dazu beitragen?

Du darfst keine Kommentare posten!

Berlin/Brandenburg Nachrichten

Tagesschau

Die aktuellen Beiträge der Seite https://www.tagesschau.de/infoservices/alle-meldungen-100.html

Wetter

Das Wetter in Mahlow