linux-l: 'hack attack'
W.Conrad (home)
coney at praxisarzt.de
Do Feb 17 01:07:05 CET 2000
Hallo Liste,
mein fünfzehnjähriger Sohn hat sich nachts auf Hacker sites rumgetrieben und
ich habe heute auf seinem Win98-Rechner einen Trojaner gefunden (hack
attack), expl32.exe, nachdem mir aufgefallen war, dass, als ich ihn durch
die firewall durchgelassen hatte - seit eben jener Nacht hat er nur noch
kontrollierten Zugriff auf's Netz ;) - die Leitung nicht mehr zuging und der
NS vergebens Anfragen nach draussen schickte:
(...)
Feb 5 07:29:18 home2 named[248]: XX /192.168.0.3/www.outergroup.com/A
Feb 5 07:29:18 home2 named[248]: Lame server on 'www.outergroup.com' (in
'OUTERGROUP.com'?): [204.59.144.222].53 'NS1.GIP.NET': learnt
(A=198.17.208.67,NS=198.17.208.67)
Feb 5 07:29:19 home2 named[248]: Lame server on 'www.outergroup.com' (in
'OUTERGROUP.com'?): [204.59.1.222].53 'NS2.GIP.NET': learnt
(A=198.17.208.67,NS=198.17.208.67)
Feb 5 07:29:19 home2 named[248]: XX /192.168.0.3/www.outergroup.com/A
(...)
Beim Verfolgen der Ereignisse in /var/log/messages fand ich heraus, das am
5. Februar tatsaechlich ein Attacke stattgefunden hat. Ich bin nicht sicher,
ob ich diese richtig interpretiere und wuerde mich freuen, wenn jemand die
messages durchsehen koennte und mir seine Einschaetzung mitteilte, ob der
Angreifer Schaden anrichten konnte.
Meiner Einschaetzung nach wurde aus der Windowsumgebung meines Sohns sein
Userpasswort fuer den Router ausspioniert und der Angreifer har sich damit
eingeloggt, der Versuch, Dateien auszuführen scheint aber gescheitert zu
sein.
Beteiligte:
192.168.0.3 Win-Rechner des Sohnes
192.168.0.2 Linux Router (SuSE 6.3/2.2.14)
Sohn ist offenbar noch am surfen!!!
(...)
Feb 5 06:26:53 home2 named[248]: XX /192.168.0.2/www.fortunecity.de/A
Feb 5 06:37:12 home2 named[248]: XX /192.168.0.2/book.petter.at/A
(...)
Feb 5 06:50:37 home2 -- MARK --
Feb 5 06:53:00 home2 /USR/SBIN/CRON[1051]: (root) CMD
($HOME/bin/cron.daily)
Feb 5 06:53:01 home2 named[248]: XX
/192.168.0.2/196.113.170.195.in-addr.arpa/PTR <--- unbekannte IP
Feb 5 06:57:18 home2 ipppd[135]: LCP terminated by peer
Feb 5 06:57:19 home2 isdnlog: Feb 05 06:57:19 tei 126 calling +49 192349,
with home2 Normal call clearing (User)
Feb 5 06:57:19 home2 kernel: ippp0: remote hangup <----!!!!
(..)
Feb 5 06:57:19 home2 isdnlog: Feb 05 06:57:19 tei 126 calling +49 192349,
with home2 HANGUP ( 0:40:32 I= 3.8Mb O=251.3Kb)
Hier wird der Trojaner aktiv, oder? Ein Angriff von innen.
Feb 5 06:57:37 home2 scanlogd: From 192.168.0.3:1024 to 192.168.0.2 ports
139, 1, 512, 3, 4, 5, 6, 7, 8, ..., flags ??????, TOS 00, TTL 255, started
at 06:57:35
Feb 5 06:57:38 home2 in.ftpd[1100]: warning: can't get client address:
Broken pipe
Feb 5 06:57:38 home2 in.ftpd[1100]: connect from unknown
Feb 5 06:57:38 home2 named[248]: accept: Broken pipe
Feb 5 06:57:38 home2 in.telnetd[1101]: warning: can't get client address:
Broken pipe
Feb 5 06:57:38 home2 in.telnetd[1101]: connect from unknown
Feb 5 06:57:38 home2 in.fingerd[1103]: warning: can't get client address:
Broken pipe
Feb 5 06:57:38 home2 in.fingerd[1103]: connect from unknown
Feb 5 06:57:38 home2 popper[1105]: warning: can't get client address:
Broken pipe
Feb 5 06:57:38 home2 popper[1105]: connect from unknown
Feb 5 06:57:38 home2 ftpd[1100]: getpeername (in.ftpd): Transport endpoint
is not connected
Feb 5 06:57:40 home2 in.rlogind[1108]: warning: can't get client address:
Broken pipe
Feb 5 06:57:40 home2 in.rlogind[1108]: connect from unknown
Feb 5 06:57:40 home2 rlogind[1108]: Can't get peer name of remote host:
Transport endpoint is not connected
Feb 5 06:57:42 home2 in.rlogind[1109]: warning: can't get client address:
Broken pipe
Feb 5 06:57:42 home2 in.rlogind[1109]: connect from unknown
Feb 5 06:57:42 home2 in.rshd[1110]: warning: can't get client address:
Broken pipe
Feb 5 06:57:42 home2 lpd[342]: accept: Broken pipe
Feb 5 06:57:42 home2 in.rshd[1110]: connect from unknown
Feb 5 06:57:42 home2 rlogind[1109]: Can't get peer name of remote host:
Transport endpoint is not connected
Feb 5 06:57:42 home2 rshd[1110]: getpeername: Transport endpoint is not
connected
Feb 5 06:58:12 home2 in.ftpd[1118]: warning: can't get client address:
Broken pipe
Feb 5 06:58:12 home2 in.ftpd[1118]: connect from unknown
Feb 5 06:58:12 home2 ftpd[1118]: getpeername (in.ftpd): Transport endpoint
is not connected
Feb 5 06:58:15 home2 in.telnetd[1119]: warning: can't get client address:
Broken pipe
Feb 5 06:58:15 home2 in.telnetd[1119]: connect from unknown
Feb 5 06:58:19 home2 http-rman[1121]: warning: can't get client address:
Broken pipe
Feb 5 06:58:19 home2 http-rman[1121]: refused connect from unknown
Feb 5 06:59:21 home2 ceptd[1156]: warning: can't get client address: Broken
pipe
Feb 5 06:59:21 home2 ceptd[1156]: connect from unknown
Feb 5 06:59:21 home2 ceptd[1156]: error: cannot execute
/usr/lib/xcept4/bin/ceptd: No such file or directory
Hier scheitert der Versuch ein file auszufuehren. Setzt doch voraus, das ein
login stattgefunden hat, nicht?
Ein Verzeichnis /usr/lib/xcept4 ist auf unserem Router (home2, 192.168.0.2)
nicht existent.
Feb 5 06:59:23 home2 in.fingerd[1157]: warning: can't get client address:
Broken pipe
Feb 5 06:59:23 home2 in.fingerd[1157]: connect from unknown
Feb 5 06:59:59 home2 popper[1159]: warning: can't get client address:
Broken pipe
Feb 5 06:59:59 home2 popper[1159]: connect from unknown
Feb 5 07:00:00 home2 /USR/SBIN/CRON[1162]: (root) CMD (test -x
/usr/sbin/faxqclean && /usr/sbin/faxqclean)
Feb 5 07:00:01 home2 kernel: 192.168.0.3 sent an invalid ICMP error to a
broadcast.
Feb 5 07:00:01 home2 last message repeated 9 times
Feb 5 07:00:06 home2 kernel: NET: 18669 messages suppressed.
Feb 5 07:00:06 home2 kernel: 192.168.0.3 sent an invalid ICMP error to a
broadcast.
Feb 5 07:00:11 home2 in.identd[379]: accept() failed: Broken pipe
Feb 5 07:00:11 home2 in.identd[379]: terminating
Feb 5 07:00:11 home2 kernel: NET: 18469 messages suppressed.
Feb 5 07:00:11 home2 kernel: 192.168.0.3 sent an invalid ICMP error to a
broadcast.
Feb 5 07:00:16 home2 kernel: NET: 18403 messages suppressed.
Feb 5 07:00:16 home2 kernel: 192.168.0.3 sent an invalid ICMP error to a
broadcast.
Feb 5 07:00:21 home2 kernel: NET: 18827 messages suppressed.
Feb 5 07:00:21 home2 kernel: 192.168.0.3 sent an invalid ICMP error to a
broadcast.
Feb 5 07:00:26 home2 kernel: NET: 18169 messages suppressed.
Feb 5 07:00:26 home2 kernel: 192.168.0.3 sent an invalid ICMP error to a
broadcast.
Feb 5 07:01:19 home2 in.midinetd[1172]: warning: can't get client address:
Broken pipe
Feb 5 07:01:19 home2 in.midinetd[1172]: connect from unknown
Feb 5 07:01:19 home2 in.midinetd[1172]: error: cannot execute
/usr/sbin/in.midinetd: No such file or directory
Wieder! Aber auch das file existiert hier nicht.
Feb 5 07:07:04 home2 named[248]: XX /192.168.0.3/home2.conrad.con/A
Feb 5 07:07:52 home2 named[248]: XX /192.168.0.3/home2.conrad.con/A
Feb 5 07:08:56 home2 kernel: ippp0: dialing 1 010880192349...
(Sohn geht offenbar wieder online ...)
Feb 5 07:12:29 home2 named[248]: XX
/192.168.0.2/www.hackerzworld.notrix.de/A
Feb 5 07:12:31 home2 named[248]: XX /192.168.0.2/www.notrix.de/A
Feb 5 07:12:31 home2 named[248]: XX /192.168.0.2/hackerzworld.notrix.de/A
Feb 5 07:21:06 home2 ipppd[135]: Modem hangup
(...)
Dann geht's den ganzen Morgen (ich schlafe noch) weiter wie folgt:
Feb 5 07:29:13 home2 named[248]: XX /192.168.0.3/www.outergroup.com/A
Feb 5 07:29:18 home2 named[248]: XX /192.168.0.3/www.outergroup.com/A
Feb 5 07:29:18 home2 named[248]: Lame server on 'www.outergroup.com' (in
'OUTERGROUP.com'?): [204.59.144.222].53 'NS1.GIP.NET': learnt
(A=198.17.208.67,NS=198.17.208.67)
Feb 5 07:29:19 home2 named[248]: Lame server on 'www.outergroup.com' (in
'OUTERGROUP.com'?): [204.59.1.222].53 'NS2.GIP.NET': learnt
(A=198.17.208.67,NS=198.17.208.67)
Feb 5 07:29:19 home2 named[248]: XX
/192.168.0.3/www.outergroup.com.conrad.con/A
Feb 5 07:30:33 home2 named[248]: XX /192.168.0.3/www.outergroup.com/A
Feb 5 07:30:33 home2 named[248]: XX /192.168.0.3/www.outergroup.com./A
Feb 5 07:31:53 home2 named[248]: XX /192.168.0.3/www.outergroup.com/A
Feb 5 07:31:53 home2 named[248]: XX /192.168.0.3/www.outergroup.com./A
(...)
Ein nslookup www.outergroup.com liefert kein Ergebnis.
Die unbekannte IP 196.113.170.195 ebensowenig.
Am Nachtmittag habe ich dann die firewall fuer ihn gesperrt, weil mir seine
surf sessions zu teuer werden.
Sein Passwort ist ebenso geaendert.
War er drin oder nicht? Was wuerdet ihr tun? Eltern hams schwer, nich'?
Gruesse und Dank
Wolfgang Conrad
Mehr Informationen über die Mailingliste linux-l