Possible kernel level rootkit

michael-08

michael-08

New Member
Hallo,

ich habe heute eine Mail von OSSEC erhalten:

Code: 
OSSEC HIDS Notification.
2009 Aug 07 14:11:48

Received From: root->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):

Process '14777' hidden from /proc. Possible kernel level rootkit.



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2009 Aug 07 14:11:50

Received From: root->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):

Process '14778' hidden from /proc. Possible kernel level rootkit.



 --END OF NOTIFICATION


Ich habe diesbezüglich auch schon gegoogelt und ein paar Infos herausbekommen.

Nun meine Frage: Was kann diese Fehlermeldung mit wwwrun zu tun haben? Eine Info aus dem Netz empfohl den www dienst der OSSEC gruppe hinzu zu fügen! Aus welchem Grund? - und wie füge ich denn wwwrun zu OSSEC hinzu?

Im Grunde ist es auch nicht möglich, dass irgendwelche rootkits sich auf dem system befinden, da ich seit ich meinen Server aufgesetzt habe keinerlei fremde Emails empfangen habe und auch sonst keine Sicherheitsrisiken vermerken konnte! Keine Logins, keine Veränderungen und auch sonst nichts auffälliges!

Wie könnte ich dieses Problem analysieren?

Danke für Antworten
 
Es ist ja nicht so, dass man Meldungen dieser Art im Internet nichts findet. Vermutlich ein Resultat der eingesetzten Virtualisierungslösung (wenn es ein V-Server ist), ansonsten musst du eben eine forensische Analyse des Systems durchführen.

Aber was soll das mit wwwrun zu tun haben? Ich gehe mal davon aus, das OSSEC im Kontext der UID 0 läuft.
 
Ja, mein System läuft auf einem vServer!

Weshalb man www zu der OSSEC Gruppe hinzufügen sollte, passt nicht 100% auf meine OSSEC Meldung, aber hier der Link

http://www.mail-archive.com/ossec-list@googlegroups.com/msg01662.html

Wie mache ich eine forensische Analyse des Systems?

OSSEC habe ich zumindest mal mit root installiert. Hier ein Auszug

Code: 
ossecm   20154  0.0  0.0   1972   548 ?        S    Aug07   0:00 /var/ossec/bin/ossec-maild

root     20159  0.0  0.0   1784   428 ?        S    Aug07   0:00 /var/ossec/bin/ossec-execd

ossec    20164  0.0  0.1   2600  1388 ?        S    Aug07   0:02 /var/ossec/bin/ossec-analysisd

root     20169  0.0  0.0   1672   420 ?        S    Aug07   0:00 /var/ossec/bin/ossec-logcollector

root     20176  0.0  0.1   1920   852 ?        S    Aug07   0:22 /var/ossec/bin/ossec-syscheckd

ossec    20185  0.0  0.0   1864   596 ?        S    Aug07   0:00 /var/ossec/bin/ossec-monitord
 
Wenn sich sonst keinerlei Auffälligkeiten zeigen gehe ich zwar auch davon aus dass es mit der Virtualisierung zusammenhängt (chkrootkit neigte da z.B. auch immer zu Fehlalarmen wenn ich mich recht erinnere), aber wenn du der Sache auf den Grund gehen willst dann musst da ja erst mal wissen was das für ein Prozess überhaupt ist:
http://www.security-projects.com/?Unhide

;)
 
Danke für die Antwort.

Ich habe mir unhide nun mal auf den Server geladen. Leider finde ich keine Installationsanweisung!

Kennt jemand die Schritte?
 
Auspacken und den Quellcode compilieren:
Code: 
tar zxvf unhide20090810.tgz
cd unhide-20090810
for src in *.c; do gcc -Wall -o `basename $src .c` $src; done
 
So wie ich das sehe, ist das ein gängiges Problem mit Ossec in einem auf Open-VZ-Basis virtualisierten System. Ich habe das in virtuellen Umgebungen ständig, auch wenn man zu Hause auf einem Testsystem eine VM aufsetzt, und sehr zeitnah OSSEC installiert, bekommt man das Resultat. Woran es genau liegt, konnte ich aber noch nicht nachvollziehen.
 
You must log in or register to reply here.
Back
Top