zurück
Arktur gegen Eindringlinge sichern
Anekdote
> habe gerade festgestellt, daß ich auf einen von mir betreuten
> Arktur nicht mehr zugreifen kann. Er ist online und per dyndns
> erreichbar, scheint auch zu funktionieren, sonst wären nach Beginn
> der Schule Beschwerden gekommen. Allerdings ist eine Anmeldung
> übers Internet per ssh weder als root (sowohl benutzername/paßwort
> wie auch mit SSH-Key) noch als lehrer möglich, es kommt immer
> "Access denied".
Der hat sich einen "rootkit" eingefangen.
Der Server muss neu installiert werden; wie Du die lokalen
Einstellungen und die Benutzer (mit ihren Dateien) erhalten kannst,
kannst Du u.a. bei
http://hullen.de/helmut/Arktur/basteln/
und
http://arktur.shuttle.de/stabil/Updates/index.html#Anleitung
nachlesen.
Ich müsste endlich mal das Skript ergänzen ...
Rootkit-Programme
- chkrootkit
- rkhunter
- "tripwire" wird gern empfohlen, zeichnet sich aber vor allem durch ein hohes
Alter aus.
Indizien für Rootkit
- Einloggen als root funktioniert nicht (Telnet und/oder SSH)
- Einloggen geht, aber nach einer Minute wird die Verbindung gekappt
- der "Prompt" ist geändert
- (als "root") "last" meldet nicht, wer sich aktuell eingeloggt hat
- (als "root")
find /var/log/* -ctime -7
meldet keine Log-Dateien
- im Wurzelverzeichnis ("/") liegt eine Datei, die sich nicht umbenennen oder löschen läßt
(Vorsicht: nicht jede Datei dort oben sollte nur versuchsweise gelöscht werden!)
- in "/etc/passwd" liegt ein Eintrag, der ein ungewöhnliches "home"-Verzeichnis hat
- in "/dev" liegt eine unbekannte Gerätedatei (z.B. "/dev/tux" für das "tuxkit")
- Anlegen neuer Benutzer im "sysadm"-Menu von "Arktur" geht nicht mehr
- (als root)
lsattr $(which login)
liefert nicht
-------- /bin/login
sondern anstelle der 8 Minuszeichen Buchstabensalat (gilt auch für einige
andere Dateien).
- (als root)
grep :0: /etc/passwd
grep :0: /etc/group
zeigt alle Benutzer mit Root-Rechten; da sollte kein Fremdling auftauchen.
(Anregung von Jörg Fiebig)
Erlaubte Inhaber der User-ID 0 (bei "Arktur"):
- root
- internet
- sysadm
- sync
- shutdown
- halt
- operator
- service
- (als root)
getent passwd | grep :[5-9][0-9][0-9]:
zeigt unbekannte Benutzer (Arktur benutzt User-IDs im Bereich oberhalb 1000)
Auch das Homeverzeichnise dieser Benutzer wird angezeigt, zwischen dem 5. und dem 6. Doppelpunkt.
Mit dem "midnight commander" mc läßt sich zeigen, wann das Homeverzeichnis angelegt worden ist; wenn es dem
Eindringling gehört, dann liegen dort oft noch die Installationsprogramme.
- (als root)
find / \( -perm -4100 -o -perm -2010 \) -print
zeigt alle Dateien mit gesetztem "Set UID"- oder "Set GID"-Flag an.
Das dauert eine Weile.
(Wielsch, Prahm, Eßer: "Linux intern", Data Becker)
Am ehesten dürfte sinnvoll sein, die Ergebnisse in eine Datei zu leiten und sie mit einer früher angelegten Datei zu vergleichen, um
dann die Änderungen zu studieren.
weitere Informationen
© Helmut Hullen
letzte Änderung 02.08.2011