linux-l: Hacked Linux
Stephan Haupt
h9351111 at wu.edu
Di Feb 2 12:44:48 CET 1999
und ich forwarde sie an euch
>Hallo,
>
>ich forwarde mal folgendes (mir recht vernünftig erscheinende) Kochrezept, um
>die Security des eigenen Rechners zu checken. Btw.: Auf der lll gibts einen
>kleinen Thread zum Thema (für Nichtsubskribierte: siehe Archiv, ganz unten
>steht der URL).
>
>lG - Michl
>
>----- Forwarded message from Willi Langenberger <wlang at isis.wu-wien.ac.at>
-----
>
>Date: Mon, 1 Feb 1999 20:55:39 +0100
>From: Willi Langenberger <wlang at isis.wu-wien.ac.at>
>To: lll at radawana.at
>Subject: [lll]: Hacked Linux
>Reply-to: Willi.Langenberger at wu-wien.ac.at
>
>HaLLLo,
>
>ich habe gerade wieder einen Nachmittag damit verbracht, einen
>aufgehackten Linux Rechner hier an der WU (nicht von mir betreut)
>wieder in Ordnung zu bringen. Da diese Dinger auch viel Schaden
>anrichten koennen (und sich im Moment wie's scheint sehr schnell
>verbreiten), wuerde ich alle, die sich nicht ganz sicher sind, bitten,
>die weiter unten angefuehrten Gewissensfragen durchzugehen.
>
>Sollte ein Frage mit der Antwort "Ja" dabei sein, dann ist erhoehte
>Aufmerksamkeit angebracht. Es koennte sein, dass auch dieser Rechner
>gehackt wurde.
>
>
>Vorbemerkung:
>=============
>
>Da bei den meisten Angriffen auch einige Utilities ausgetauscht
>werden, sollte man versuchen, die Checks mit unberuehrten Utilities
>durchzufuehren. Mit dem "rpm" bekommt man recht einfach einen Hinweis,
>ob Executables ausgetauscht wurden.
>
>Allerdings ist dafuer auch ein unberuherter rpm Voraussetzung. Bitte
>also
>
> ALS ERSTES DEN "rpm" NEU INSTALLIEREN! (siehe Fussnote [1])
>
>Redhat 5.x (Vorsicht, ueberlange Zeile):
> # rpm -Uvh
ftp://ftp.univie.ac.at/systems/linux/redhat/redhat-5.2/i386/RedHat/RPMS/rpm-
2.5.5-5.2.i386.rpm
>
>Suse: leider keine Ahnung (von CD neu installieren?)
>
>
>Nun zu den Gewissnesfragen:
>===========================
>
> * Wurde an diversen Utilities rumgemacht? Eine "5" in der Ausgabezeile
> eines Executables gilt als "Ja". (siehe Fussnote [2])
>
> # rpm -V fileutils
> # rpm -V findutils
> # rpm -V procps
> # rpm -V util-linux
> # rpm -V grep
>
> * Existiert das Directory "/dev/.#xtreme" ?
>
> # ls -l /dev/.#xtreme
>
> * Existiert irgenwo im Filesystem ein Directory, das mit drei Punkten
> beginnt?
>
> # find / -type d -name "...*" -print
>
> * Stehen folgende Zeilen in /etc/hosts.deny? (Der Hacker schliesst
> die Tueren, durch die er reingekommen ist, laesst aber ftp und
> telnet offen.)
>
> # cat /etc/hosts.deny
> ...
> imapd: ALL
> ugidd: ALL
> portmap: ALL
> mountd: ALL
> nfsd: ALL
>
> * Existiert der User "udcp"?
>
> # grep udcp /etc/passwd
>
> * hat sich der user "udcp" in letzter Zeit eingeloggt?
>
> # last | grep udcp
> # last -f /var/log/wtmp.1 | grep udcp
>
> * Existiert ein User "irc", ohne dass der Admin was davon weiss?
>
> # grep irc /etc/passwd
>
> * Laeuft der Prozess "eggdrop", ohne dass der Admin was davon weiss?
>
> # ps auxw | grep eggdrop
>
>
>Fussnoten:
>==========
>
>[1] Streng genommen ist das natuerlich unzureichend, denn:
>
> a) man kann sich nicht darauf verlassen kann, dass ein
> ausgetauschter "rpm" den rpm-Upgrade richtig macht. Besser waere
> es natuerlich den neuen "rpm" ohne Zuhilfenahme des suspekten
> rpm zu installieren.
>
> b) man muesste auch noch ueberpruefen, ob die rpm Datenbank der md5
> Strings korrekt ist
>
>gluecklicherweise reicht aber bei den meisten Hackversuchen (derzeit
>noch) das reine Neuinstallieren des "rpm", um viele Ungereimtheiten
>aufzudecken.
>
>
>[2] Die hier benutzte (an sich unzulaengliche, aber oft einfach zum
>Ziel fuehrende) Vorgehensweise um herauszufinden, ob ein bestimmtes
>Binary ausgetauscht wurde, ist folgende:
>
> Zu welchem Package gehoert /bin/ls?
>
> # rpm -qf /bin/ls
> fileutils-3.16-9
>
> Stimmen die md5 Strings bei diesem Package?
>
> # rpm -V fileutils
>
> Keine Ausgabe ist OK.
> Ganz schlecht ist es, wenn zB folgendes erscheint:
>
> # rpm -V util-linux
> SM5....T /bin/login
>
>
>
>\wlang{}
>
>--
>Willi.Langenberger at wu-wien.ac.at Fax: +43/1/31336/702
>Zentrum fuer Informatikdienste, Wirtschaftsuniversitaet Wien, Austria
>
>___________________________________________________________________________
___
>
>Schreib an die Liste unter: lll at radawana.at
>Fragen und Probleme: mail an MajorDomo at radawana.at 'help' im BODY
>FAQ, Archiv: http://radawana.at/lll/
>___________________________________________________________________________
___
>
>----- End forwarded message -----
>--
> Michael P. Demelbauer
> WSR (Wirtschafts- und Sozialwissenschaftliches Rechenzentrum)
> LUGA (Linux User Group Austria)
> Der Wurm muss dem Fisch schmecken, nicht dem Angler.
Mehr Informationen über die Mailingliste linux-l