[linux-l] Scanner unterwegs

Winfried Wendler W.Wendler at t-online.de
So Sep 5 21:10:38 CEST 2004


Hallo,

So  etwas ist wohl ein Wurm oder?

in meinem syslog ist folgenden zu sehen

Sep  3 06:42:16 ibsen sshd[8770]: Illegal user test from ::ffff:62.50.74.178
Sep  3 06:42:16 ibsen sshd[8772]: Illegal user test from ::ffff:62.50.74.178
Sep  3 06:42:17 ibsen sshd[8774]: Illegal user guest from
::ffff:62.50.74.178
Sep  3 06:42:17 ibsen sshd[8776]: Illegal user guest from
::ffff:62.50.74.178
Sep  3 06:42:18 ibsen sshd[8778]: Illegal user admin from
::ffff:62.50.74.178
Sep  3 06:42:18 ibsen sshd[8780]: Illegal user admin from
::ffff:62.50.74.178
Sep  3 06:42:19 ibsen sshd[8782]: Illegal user admin from
::ffff:62.50.74.178
Sep  3 06:42:19 ibsen sshd[8784]: Illegal user admin from
::ffff:62.50.74.178
Sep  3 06:42:20 ibsen sshd[8786]: Failed password for user from
::ffff:62.50.74.178 port 43534 ssh2
Sep  3 06:42:20 ibsen sshd[8788]: Failed password for user from
::ffff:62.50.74.178 port 43565 ssh2
Sep  3 06:42:21 ibsen sshd[8790]: Failed password for root from
::ffff:62.50.74.178 port 43688 ssh2
Sep  3 06:42:21 ibsen sshd[8792]: Failed password for root from
::ffff:62.50.74.178 port 43719 ssh2
Sep  3 06:42:22 ibsen sshd[8794]: Accepted password for root from
::ffff:62.50.74.178 port 43814 ssh2
Sep  3 06:42:22 ibsen sshd[8796]: Accepted password for root from
::ffff:62.50.74.178 port 43847 ssh2
Sep  3 06:42:29 ibsen sshd[8833]: Failed password for root from
::ffff:62.50.74.178 port 44646 ssh2
Sep  3 06:42:30 ibsen sshd[8835]: Failed password for root from
::ffff:62.50.74.178 port 44662 ssh2
Sep  3 06:42:30 ibsen sshd[8837]: Illegal user test from ::ffff:62.50.74.178
Sep  3 06:42:30 ibsen sshd[8839]: Illegal user test from ::ffff:62.50.74.178

Da mein root Passwort nicht originell ist, hat man mich erwischt. Ich bin
aber nicht der Einzige, wie die steigende Anzahl von Scanns zeigt

ab 24.7 ca 1x pro Tag

30.8 2x
01.9 3x
02.9 4x
03.9 2x
04.9 4x
05.9.4x  der Tag ist noch nicht um


Als Belohnung finde ich unter /tmp/.src

drwxr-xr-x   10 root     root         1024 Sep  5 19:13 .bash
drwxr-xr-x    9 root     root         1024 Sep  5 18:57 .i
drwxr-xr-x    3 root     root         1024 Sep  5 03:00 .l
-rw-r--r--    1 root     root       556255 Dec 13  2003 psy.tgz
drwxr-xr-x    2 root     root         1024 Sep  5 02:09 ssh
-rw-r--r--    1 root     root       585868 Aug 17 06:40 ssh.tar.gz


unter .bash ist psy.tgz in entpackter Form. Baut Verbindung zu anderen
Rechnern auf Port 6667 auf. Inklusiv Quellen und Doku!

unter ssh ist ssh.tgz in entpackter Form. Im Startscript steht "HaitaTeam
Scanner By X-Buffer "

unter .i ist ein Backdor mit DOCs und Install-script

unter .l ist eine Bash- und eine Piko- executable. Natuerlich nicht die
Originale

der ssh ist auch unter /var/log zu finden.

Das Einfachste ist mal  netstat -a einzugeben. Wenn da etliche Verbindungen
zu fremden Rechnern zum Port 6667 sind, hat es euch auch erwischt.

Zwei weitere Mühle mit dem gleichen Roorpasswort laufen seit gestern auch
nicht mehr sauber. Wer sich für die Dinger interessiert, ne Mail mit
Fuehrungszeugnis an mich ;-) genuegt.

Winfried





Mehr Informationen über die Mailingliste linux-l