linux-l: Hacked Linux

Stephan Haupt h9351111 at wu.edu
Di Feb 2 12:44:48 CET 1999 

und ich forwarde sie an euch

>Hallo,
>
>ich forwarde mal folgendes (mir recht vernünftig erscheinende) Kochrezept, um
>die Security des eigenen Rechners zu checken. Btw.: Auf der lll gibts einen
>kleinen Thread zum Thema (für Nichtsubskribierte: siehe Archiv, ganz unten
>steht der URL).
>
>lG - Michl
>
>----- Forwarded message from Willi Langenberger <wlang at isis.wu-wien.ac.at>
-----
>
>Date: Mon, 1 Feb 1999 20:55:39 +0100
>From: Willi Langenberger <wlang at isis.wu-wien.ac.at>
>To: lll at radawana.at
>Subject: [lll]: Hacked Linux
>Reply-to: Willi.Langenberger at wu-wien.ac.at
>
>HaLLLo,
>
>ich habe gerade wieder einen Nachmittag damit verbracht, einen
>aufgehackten Linux Rechner hier an der WU (nicht von mir betreut)
>wieder in Ordnung zu bringen. Da diese Dinger auch viel Schaden
>anrichten koennen (und sich im Moment wie's scheint sehr schnell
>verbreiten), wuerde ich alle, die sich nicht ganz sicher sind, bitten,
>die weiter unten angefuehrten Gewissensfragen durchzugehen.
>
>Sollte ein Frage mit der Antwort "Ja" dabei sein, dann ist erhoehte
>Aufmerksamkeit angebracht. Es koennte sein, dass auch dieser Rechner
>gehackt wurde.
>
>
>Vorbemerkung:
>=============
>
>Da bei den meisten Angriffen auch einige Utilities ausgetauscht
>werden, sollte man versuchen, die Checks mit unberuehrten Utilities
>durchzufuehren. Mit dem "rpm" bekommt man recht einfach einen Hinweis,
>ob Executables ausgetauscht wurden.
>
>Allerdings ist dafuer auch ein unberuherter rpm Voraussetzung. Bitte
>also
>
>        ALS ERSTES DEN "rpm" NEU INSTALLIEREN! (siehe Fussnote [1])
>
>Redhat 5.x (Vorsicht, ueberlange Zeile):
> # rpm -Uvh
ftp://ftp.univie.ac.at/systems/linux/redhat/redhat-5.2/i386/RedHat/RPMS/rpm-
2.5.5-5.2.i386.rpm
>
>Suse: leider keine Ahnung (von CD neu installieren?)
>
>
>Nun zu den Gewissnesfragen:
>===========================
>
> * Wurde an diversen Utilities rumgemacht? Eine "5" in der Ausgabezeile
>   eines Executables gilt als "Ja". (siehe Fussnote [2])
>
>   # rpm -V fileutils
>   # rpm -V findutils
>   # rpm -V procps
>   # rpm -V util-linux
>   # rpm -V grep
>
> * Existiert das Directory "/dev/.#xtreme" ?
>
>   # ls -l /dev/.#xtreme
>
> * Existiert irgenwo im Filesystem ein Directory, das mit drei Punkten
>   beginnt?
>
>   # find / -type d -name "...*" -print
>
> * Stehen folgende Zeilen in /etc/hosts.deny? (Der Hacker schliesst
>   die Tueren, durch die er reingekommen ist, laesst aber ftp und
>   telnet offen.)
>
>   # cat /etc/hosts.deny
>   ...
>   imapd: ALL
>   ugidd: ALL
>   portmap: ALL
>   mountd: ALL
>   nfsd: ALL
>
> * Existiert der User "udcp"?
>
>   # grep udcp /etc/passwd
>
> * hat sich der user "udcp" in letzter Zeit eingeloggt?
>
>   # last | grep udcp
>   # last -f /var/log/wtmp.1 | grep udcp
>
> * Existiert ein User "irc", ohne dass der Admin was davon weiss?
>
>   # grep irc /etc/passwd
>
> * Laeuft der Prozess "eggdrop", ohne dass der Admin was davon weiss?
>
>   # ps auxw | grep eggdrop
>
>
>Fussnoten:
>==========
>
>[1] Streng genommen ist das natuerlich unzureichend, denn:
>
>  a) man kann sich nicht darauf verlassen kann, dass ein
>     ausgetauschter "rpm" den rpm-Upgrade richtig macht. Besser waere
>     es natuerlich den neuen "rpm" ohne Zuhilfenahme des suspekten
>     rpm zu installieren.
>
>  b) man muesste auch noch ueberpruefen, ob die rpm Datenbank der md5
>     Strings korrekt ist
>
>gluecklicherweise reicht aber bei den meisten Hackversuchen (derzeit
>noch) das reine Neuinstallieren des "rpm", um viele Ungereimtheiten
>aufzudecken.
>
>
>[2] Die hier benutzte (an sich unzulaengliche, aber oft einfach zum
>Ziel fuehrende) Vorgehensweise um herauszufinden, ob ein bestimmtes
>Binary ausgetauscht wurde, ist folgende:
>
>  Zu welchem Package gehoert /bin/ls?
>
>  # rpm -qf /bin/ls
>  fileutils-3.16-9
>
>  Stimmen die md5 Strings bei diesem Package?
>
>  # rpm -V fileutils
>
>  Keine Ausgabe ist OK.
>  Ganz schlecht ist es, wenn zB folgendes erscheint:
>
>  # rpm -V util-linux
>  SM5....T   /bin/login
>
>
>
>\wlang{}
>
>-- 
>Willi.Langenberger at wu-wien.ac.at                 Fax: +43/1/31336/702
>Zentrum fuer Informatikdienste, Wirtschaftsuniversitaet Wien, Austria
>
>___________________________________________________________________________
___
>
>Schreib an die Liste unter: lll at radawana.at
>Fragen und Probleme: mail an MajorDomo at radawana.at 'help' im BODY
>FAQ, Archiv: http://radawana.at/lll/
>___________________________________________________________________________
___
>
>----- End forwarded message -----
>-- 
>			  Michael P. Demelbauer
>	   WSR (Wirtschafts- und Sozialwissenschaftliches Rechenzentrum)
>			  LUGA (Linux User Group Austria)
>	   Der Wurm muss dem Fisch schmecken, nicht dem Angler.

Mehr Informationen über die Mailingliste linux-l