Re: Einbruch mit User date ?!

From: Marian Hettwer <Mh(at)kernel32.de>
Date: Mon, 13 Dec 2004 10:42:15 +0100

Hi Bernd,

Bernd Walter wrote:
> On Mon, Dec 13, 2004 at 09:27:29AM +0100, Marian Hettwer wrote:
>
>>root(at)crivens:/root# last | grep date
>>
>> 9:47:45
>>date { Tue Nov 9 20:54
>>date | Thu Dec 9 20:52
>>
>>
>>Was ist denn da passiert ?
>>Es gibt keinen User 'date'.
>>Die tty { und/oder | ist auch seltsam, und das Datum ist um einen Monat
>>verändert, was auch nicht sein sollte.
>>Bei genauerem hinsehen: Der zweite login als 'date' hat das Datum um
>>einen Monat verändert. Alle Einträge darunter sind vom 9. Dezember, 8.
>>Dezember und so weiter. Ab dem obersten Date Eintrag, sind wir auf
>>einmal im November.
>
>
> Die /var/log/wmtp Datei ist binar aufgebaut.
> Wenn das Format strubelig ist kannst du alles mögliche daraus lesen.
> Die Frage ist nur ob die beim Versuch strubelig geworden ist einen
> erfolgreichen Einbruch zu tarnen oder durch eine fehlerhafte Software
> beim Einbruchsversuch als solchen.
Nunja... stutzig macht mich halt, daß der User date drinsteht mit einer
merkwürdigen shell.

Bei dem Angriffsversuch hat sich der dovecot imapd, welcher nur auf
imaps (tcp/993) gelauscht hat verabschiedet.
Das führte dazu, daß der dovecot-auth binnen Sekunden die maillog auf
360 MB aufgeblasen hat, was dazu führte, daß /var übergelaufen ist.
Danach war dann eh Funkstille. /var/log/messages gab noch mehrfach
auskunft, daß /var voll ist und daß das gar nicht gut ist ;)

> Gerade wenn Daemon wie ftpd darin loggen gibt es durchaus die
> Möglichkeit, dass mangelndes locking das verursacht hat.
ftpd ist aus. An sind an sich nur folgende Ports

tcp/22
tcp/80 Apache 2.0.52
tcp/443
tcp/110 popa3d
tcp/993 dovecot-0.99.11

Der Server selbst ist nen 5.3-release, daher schließe ich etwaige bugs
in OpenSSH / OpenSSL aus ...

> Der Klassiker ist, dass sich das Format der Datei geändert hat und man
> vergisst ein Programm neu zu compilieren, aber das wird hier weniger
> wahrscheinlich die Ursache sein.
>
denk ich auch.

>
>
> Das hat einer offensichtlich was automatisiertes angesetzt.
> Keine Ahnung wie praktikabel das für dich ist, aber es wäre sinnvoll mal
> einen Binärvergleich mit dem letzten Backup zu machen.
es läuft aide und selbiges hat nix festgestellt. Wenn ein binary
verändert wurde, sollte ich das dort an sich sehen.

Ich könnte ein buildworld der letzten 5_3 sourcen machen...
Ein Backupvergleich ist schwierig, da daß ein rootserver ist und mein
letztes backup zu weit zurück liegt.

würde ein neu bauen des basissystems und der ports helfen ?

> Evtl gibt es im Netz auch schon informationen zu der Vorgehensweise des
> Angriffes, was ja automatisiert war, und darüber bekommt man dann die
> Informationen über die üblicherweise installierten Backdoors, etc.
>
Ich schau mich mal weiter um ...

Danke dennoch!

Beste Grüße,
Marian

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 13 Dec 2004 - 10:44:51 CET

search this site