[Linux-ivv4] Hacker aktiv

Stefan Ost ost at uni-muenster.de
Mit Sep 28 15:53:21 CEST 2005 

Christian Mück-Lichtenfeld wrote:
> Liebe Kolleg(inn)en,
> 
>   auf Linus1 ist durch einen im ZIV gehackten Account ein Übeltäter
> in der Lage gewesen, einen IRC-Server (oder relay) zu installieren.
> Der Prozess hiess 'pine' (was schon verdächtig ist) und seine
> Dateien lagen im Verzeichnis "/tmp/.font-unix/. /" (mit Leerzeichen !).
> Die Aktivität des Prozesses war zum Glück gering, wie die Log-files
> zeigen.
> 
> Ich schlage vor, alle Linux-Rechner, die im DCE/DFS hängen, auf
> diesen Prozess / dieses Verzeichnis zu überprüfen.
> 
> Viele Grüsse
> 
> Christian Mück-Lichtenfeld
> 
> 
> 
> 

Ich fürchte, die Geschichte ist anders und ernster: Hier ein Auszug aus
der Meldung, die das ZIVcert uns schickte

  Der Angreifer kam anscheinend ursprünglich von NAZGUL.UNI-MUENSTER.DE
  und verband sich mit EMB016.UNI-MUENSTER.DE. Von dort ging es
  anscheinend weiter auf LINUS1 und von dort evtl. nach ZIVUNIX, wobei
  ich letzteres nicht nachvollziehen kann. Mindestens war er aber auf
  LINUS1:

  NAZGUL -> EMB016 -> LINUS1 [-> ZIVUNIX]

  Der gute Mensch hat aber nicht gemerkt dass eine KORN-Shell aktiv war
  hat und keine BASH, deswegen ist in der .kshrc_history anscheinend zu
  einem grossen Teil alles geloggt (ich habe sie am Ende der Mail
  eingefügt). Er hat wohl versucht (evtl. auch geschafft?) einen IRC-Bot
  zu installieren (PsyBNC) sowie zuvor verschiedene Exploits zu
  installieren (wahrscheinlich auf LINUS1), hat aber von ZIVUNIX bzw.
  LINUS1 keine weiteren SSH-Connects unternommen (vorausgesetzt, die
  History ist vollständig).

Auf ZIVUNIX gibt es keine Anmeldungen zu dem gehacktem Nutzer, die von
linus1 erfolgt wären.

  Aus der ksh-history kann man entnehmen, dass er zusätzlich ein rootkit
  installieren wollte oder damit erfolgreich war.

  Zusätzlich ist mir in meinem $HOME eine Datei namens ".y2log"
  aufgefallen. Dies scheint ein Logfile für Yast2 zu sein. Ich nehme an
  daß der Angreifer Yast ausgeführt hat, kann aber nicht daraus ableiten
  ob seine Angriffe/Exploits erfolgreich waren (evtl. auf LINUS1, das
  scheint ein Linux-Rechner zu sein). Evtl. hat er also versucht seine
  Exploits auf LINUS1 zu installieren.

  Interessant ist auch dass er mehrere Files (u.a. ein RootKit) von
  SIRVIC.COM herunterlädt.

Ich lege wert auf die Feststellung, dass der Account nicht im ZIV
gehackt worden ist!

Viele Grüße

Stefan Ost

-- 

... For more personal data and GPG fingerprint please see
...
...   http://www.uni-muenster.de/ZIV/Mitarbeiter/StefanOst/welcome.html
...