linux-l: Ramen-Befall?

Bjoern Gerhart b.gerhart at web.de
Di Jan 30 22:41:14 CET 2001


Hallo,

ich habe hier einen Linux (Mandrake 7)-Server für meine
Internet-Anbindung. Gewöhnlich laufen dort Dienste wie portmap, ypserv,
nfs, smb sshd und postfix, jedoch _kein_ wuftpd.
Nun habe ich festgestellt, dass hunderte von DNS-Anfragen auf
unterschiedliche IP-Bereiche über die ISDN-Leitung gestellt werden. Dies
tritt auch dann auf, wenn der Server vom LAN getrennt ist und fast alle
Netzwerkdienste beendet sind (siehe ps-eaf.log).
Mit tcpdump habe ich diese Anfragen mal mitgeschrieben (siehe tcpdump.log -
ca. 6 Anfragen pro Sekunde!).

Dieses Verhalten ist doch recht seltsam und auch noch recht neu
(seit höchstens 2 Wochen).
Bei securityfocus.com habe ich über den Wurm Ramen gelesen.
Dort steht, dass RH6.2 und RH7.0 in den Programmen portmap und wu_ftpd
Sicherheitslöcher hat (Mandrake ist ja auch ein RH-Abkömmling).
Seit einigen Monaten habe ich auf dem Server installiert:

portmap-4.0-11mdk
nfs-utils-0.2.1-2mdk

Auf der Mandrake Homepage selbst steht weder etwas zur
"Ramen-Problematik" noch ein aktualisiertes portmap-RPM..

Meinen Server habe ich auf das Vorhandensein von Ramen untersucht, indem
ich ein "telnet localhost 27374" versucht habe (auf diesem Port soll
ramen einen eigenen http-Server betreiben). Ohne Erfolg.
Apache ist nicht installiert, sodass ich nicht die ersetzte index.html
sehen konnte. In /etc/inetd.conf (wo sich der "ramen-daemon" eingetragen
haben soll) ist auch kein unüblicher Eintrag zu entdecken.


Ich weiß nicht, wie ich diesen Wurm (oder was auch immer das ist)
wegbekommen kann. Kann sich denn ein Daemon so gut verstecken, dass 
nicht mal ein "ps -eaf" ihn anzeigt?

Danke für die Hilfe und schöne Grüße
    Björn

--
Björn Gerhart - Großgörschenstr. 18 - 10829 Berlin
Tel. 030/78719244 - e-Mail: b.gerhart at web.de
-------------- nächster Teil --------------
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 16:25 ?        00:00:04 init [3]
root         2     1  0 16:25 ?        00:00:00 [kflushd]
root         3     1  0 16:25 ?        00:00:00 [kupdate]
root         4     1  0 16:25 ?        00:00:00 [kpiod]
root         5     1  0 16:25 ?        00:00:00 [kswapd]
root         6     1  0 16:25 ?        00:00:00 [mdrecoveryd]
root       472     1  0 16:25 ?        00:00:00 [lockd]
root       473   472  0 16:25 ?        00:00:00 [rpciod]
root       782     1  0 16:26 ?        00:00:00 ipppd pidfile /var/run/ipppd.pid
root       863     1  0 16:26 tty1     00:00:00 login -- root    
root       864     1  0 16:26 tty2     00:00:00 login -- root    
root       865     1  0 16:26 tty3     00:00:00 login -- root    
root       866     1  0 16:26 tty4     00:00:00 /sbin/mingetty tty4
root       867     1  0 16:26 tty5     00:00:00 /sbin/mingetty tty5
root       868     1  0 16:26 tty6     00:00:00 /sbin/mingetty tty6
root      1806   863  0 21:35 tty1     00:00:00 -bash
root      1819   864  0 21:35 tty2     00:00:00 -bash
root      1832  1819  0 21:35 tty2     00:00:00 tcpdump -i ippp0
root      1833   865  0 21:35 tty3     00:00:00 -bash
root      2354  1806  0 21:49 tty1     00:00:00 ps -eaf
-------------- nächster Teil --------------
21:57:45.013840 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55077 NXDomain* 0/1/0 (122)
21:57:45.025285 truncated-ip - 65201 bytes missing!0.70.75.148 > 0.0.64.17: (frag 28983:65281 at 63512+) [ttl 0]
21:57:45.257794 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55078 NXDomain* 0/1/0 (110)
21:57:45.264985 truncated-ip - 16321 bytes missing!0.70.75.151 > 0.0.64.17: (frag 12546:16401 at 63512+) [ttl 0]
21:57:45.394404 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55079 NXDomain* 0/1/0 (110)
21:57:45.404990 truncated-ip - 16321 bytes missing!0.70.75.154 > 0.0.64.17: (frag 12543:16401 at 63512+) [ttl 0]
21:57:45.452890 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55080 NXDomain 0/1/0 (110)
21:57:45.454981 truncated-ip - 65201 bytes missing!0.70.75.157 > 0.0.64.17: (frag 28974:65281 at 63512+) [ttl 0]
21:57:45.580744 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55081 NXDomain* 0/1/0 (110)
21:57:45.584964 truncated-ip - 65201 bytes missing!0.70.75.160 > 0.0.64.17: (frag 28971:65281 at 63512+) [ttl 0]
21:57:45.756709 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55082 NXDomain* 0/1/0 (110)
21:57:45.764986 truncated-ip - 16321 bytes missing!0.70.75.163 > 0.0.64.17: (frag 12534:16401 at 63512+) [ttl 0]
21:57:45.815830 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55083 NXDomain 0/1/0 (110)
21:57:45.824981 truncated-ip - 65201 bytes missing!0.70.75.166 > 0.0.64.17: (frag 28965:65281 at 63512+) [ttl 0]
21:57:45.873811 gnu.in-berlin.de.domain > fuchs.in-berlin.de.1054: 55084 NXDomain 0/1/0 (110)
21:57:45.884955 truncated-ip - 65201 bytes missing!0.70.75.169 > 0.0.64.17: (frag 28962:65281 at 63512+) [ttl 0]


Mehr Informationen über die Mailingliste linux-l