Droner i et botnett.

[Chau]

Hei,

 

Jeg har Redhat 8.0 og har nå fått varsel om at den er drover i et botnett.

Jeg ser at den har utgående trafikk over mellom port 6660 - 6667 - 6669.

Jeg er usikker på hva som skjedde, siden linux boksen har kun FTP/HTTP/MAIL .

 

Er det noen her som har noe forslag hvordan jeg skal kvitte meg med det? Vær så snill å ikke be meg om å reinnstallere. Det kan ta opp til 1/2 år før jeg blir ferdig med den.

 

Om det er noe mulighet å få sperre utgående trafikk på de portene.

 

Takker på forhånd !

[arnizzz]

Det er ikke så lett dersom du er rooted.

 

Men prøv rkhunter og chkrootkit og se om du finner noe interessant med de.

 

lsof burde også gi den noen gode pekepinner.

#lsof -i tcp

#lsof -i udp

 

Problemet er jo om exploiten har fått root. Da kan den ha byttet ut alle standard utilities slik at den er umulig å oppdage.

 

Personlig hadde jeg bare reinstallert og ført tilbake de viktigste filene fra backup.

 

Du bør port-mirrore switchporten til en maskin som kjører snort e.l slik at du kan verifisere når du gjør noe riktig eller om ting fortsatt er galt.

 

Edit:

etter 2 sekunder på google så er de portene vanlige til IRC-bruk. IRC var jo veldig vanlig før for å kontrollere bots. vet ikke om det samme gjelder i dag, men tipper det meste går over krypterte protokoller nå fortiden. Så ting lukter litt script-kiddie og da kan det hende at det er litt greiere å rydde opp.

 

Ellers vil jeg foreslå å bytte ut kernel vha en livecd.

 

Redhat 8.0 bruker kernel 2.4 i følge wikipedia, så om du vil bare ta en quick-fix og blocke portene så er det vel netfilter som er tingen. Var ikke netfilter en tidligere versjon av iptables på kernel 2.4?

Endret 2. februar 2010 av arnizzz

[Chau]

Takk for svar. Det gir meg noe ledetråder. Det første jeg gjorde var å kjøpe en Sonicwall firewall og satt sperringer av IRC(6667) port slik all den trafikken ikke skal på nett.

 

Men når det gjelder intern på linux boksen installerte jeg rkhunter ..og kjørt rkhunter --check

Da fikk jeg noe warning på system command:

Cheking for prerequisites Warning

/bin/egrep Warning

/bin/fgrep Warning

/bin/login Warning

/bin/ls Warning

/bin/netstat Warning

/bin/ps Warning

/usr/bin/find Warning

/usr/bin/GET Warning

/usr/bin/groups Warning

/usr/bin/ldd Warning

/user/bin/slocate Warning

/usr/bin/top Warning

/usr/bin/whatis Warning

/usr/bin/ifconfig Warning

/usr/bin/ifup Warning

/usr/bin/ifdown Warning

/usr/bin/lsof Warning

 

 

På Rootkits fikk jeg opp:

 

Adore Rootkit Warning

cb Rootkit Warning

Flea Linux Rootkit Warning

iLLogic Rootkit Warning

SHV4 Rootkit Warning

SHV5 Rootkit Warning

SunOs Rootkit Warning

Resten er Notfound

 

Performing trojan spesitic checks fikk jeg opp warning

Checking for enable inetd services

Checking for enable xinetd services

 

Checking Network på backdoor ports er det Not found på alle porter (litt forskjellige porter)

 

Performing system configuration files check

 

Checking if SSH root access is allowed Warning

Checking if SSH protocol v1 is allowed Warning

 

Checking /dev for suspicious files types Warning

Cheking for hidden files and directories Warning

 

Application versions

 

Version og GNUPG Warning

Version of Apache Warning

Version of Bind DNS Warning

version of OpenSSL Warning

 

Det var rapport på rkhunter. Har ikke testet chkrootkit ennå.

lsof -i tcp fungerer selvfølgelig ikke

 

Hvordan skal jeg tolke de forskjellige warningene ???

 

PS! Jeg endret passord til root nå da (hvis det skulle være passord som er cracket)

 

Endre tillegg:

sjekket litt på crontab -l og der er det en linje:

 

* * * * * /usr/share/locale/cs/.hu/inssh/.x/update >/dev/null 2>&1

 

Hva skal det være ??

Endret 5. februar 2010 av yukomato

[arnizzz]

Rart at det bare sto warning og ikke noe mer. virker nesten som det er noe feil med programmet. Du kan høre på rkhunter maillistene.

 

Du kan ta å laste opp den update fila så kanskje det er noen som kan analysere den. Skulle ikke forundre meg om det er en custom SSH daemon som er patchet slik at hackeren får lest SSH streams i klartekst.

 

 

Prøv:

#fuser -n tcp 6667. Da skal du få process IDen som bruker porten.

kjør deretter ps aux | grep <PID fra forrige kommando>

 

Har ikke flere tips dessverre.

[mikeys]

Kanskje denne kan være litt til hjelp.

 

Når du har skaffet deg tilstrekkelig informasjon om hva som førte til at du ble rootet _bør_ du renske harddisken og sette opp alt fra bunnen av igjen. Det er den eneste måten du kan stole på den maskinen igjen. Det er dessverre ingen vei utenom hvis du vil være på den sikre siden.

 

Edit: sjekket dessverre ikke dato før jeg skrev svaret. Du kan bare ignorere posten min.

Endret 20. november 2010 av mikeys