Re: Einbruch mit User date ?!

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Mon, 13 Dec 2004 10:19:28 +0100

On Mon, Dec 13, 2004 at 09:27:29AM +0100, Marian Hettwer wrote:
> Halli Hallo,
>
> ich hatte am 9. November über Nacht entweder eine durchgedrehte
> Linuxkiste die sich auf meinem rootserver einloggen wollte, oder einen
> direkt versuchten Angriff.
> Die logfiles sehen meines erachtens okay aus. Das einzige was mich
> stutzig macht ist folgender Eintrag:
>
> root(at)crivens:/root# last | grep date
>
> 9:47:45
> date { Tue Nov 9 20:54
> date | Thu Dec 9 20:52
>
>
> Was ist denn da passiert ?
> Es gibt keinen User 'date'.
> Die tty { und/oder | ist auch seltsam, und das Datum ist um einen Monat
> verändert, was auch nicht sein sollte.
> Bei genauerem hinsehen: Der zweite login als 'date' hat das Datum um
> einen Monat verändert. Alle Einträge darunter sind vom 9. Dezember, 8.
> Dezember und so weiter. Ab dem obersten Date Eintrag, sind wir auf
> einmal im November.

Die /var/log/wmtp Datei ist binar aufgebaut.
Wenn das Format strubelig ist kannst du alles mögliche daraus lesen.
Die Frage ist nur ob die beim Versuch strubelig geworden ist einen
erfolgreichen Einbruch zu tarnen oder durch eine fehlerhafte Software
beim Einbruchsversuch als solchen.
Gerade wenn Daemon wie ftpd darin loggen gibt es durchaus die
Möglichkeit, dass mangelndes locking das verursacht hat.
Der Klassiker ist, dass sich das Format der Datei geändert hat und man
vergisst ein Programm neu zu compilieren, aber das wird hier weniger
wahrscheinlich die Ursache sein.

> Hm Hm Hm ...
>
> Die Einträge in /var/log/auth.log zum fraglichen Zeitraum sahen so aus:
>
> Dec 9 19:46:03 crivens sshd[82168]: Illegal user root-admin from
> 161.116.118.83
> Dec 9 19:46:04 crivens sshd[82170]: Illegal user admin-root from
> 161.116.118.83
> Dec 9 19:46:05 crivens sshd[82172]: Illegal user nancy from 161.116.118.83

Das hat einer offensichtlich was automatisiertes angesetzt.
Keine Ahnung wie praktikabel das für dich ist, aber es wäre sinnvoll mal
einen Binärvergleich mit dem letzten Backup zu machen.
Evtl gibt es im Netz auch schon informationen zu der Vorgehensweise des
Angriffes, was ja automatisiert war, und darüber bekommt man dann die
Informationen über die üblicherweise installierten Backdoors, etc.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 13 Dec 2004 - 10:20:52 CET

search this site