rkhunter meldet Infizierung

[prinzipal]

Hallo,

mein rkhunter meldet nahezu täglich in den letzten Tagen, dass eine Infizierung vorliegt (Mailtext: "Please inspect this machine, because it may be infected.").

Seht ihr in der Logdatei einen konkreten Hinweis auf das Problem? Ich kann keinen entdecken und bin dankbar für Tipps:

[01:00:16] Running Rootkit Hunter version 1.3.4 on xxxxxxxx
[01:00:16]
[01:00:16] Info: Start date is Mon May 21 01:00:16 CEST 2012
[01:00:16]
[01:00:16] Checking configuration file and command-line options...
[01:00:16] Info: Detected operating system is 'Linux'
[01:00:16] Info: Found O/S name: openSUSE 10.3 (X86-64)
[01:00:16] Info: Command line is /usr/local/psa/admin/sbin/modules//watchdog/rkhunter -c --configfile /usr/local/psa/etc/modules/watchdog/rkhunter.conf --cronjob --propupd --createlogfile
[01:00:16] Info: Environment shell is /bin/sh; rkhunter is using bash
[01:00:17] Info: Using configuration file '/usr/local/psa/etc/modules/watchdog/rkhunter.conf'
[01:00:17] Info: Installation directory is '/usr/local/psa'
[01:00:17] Info: Using language 'en'
[01:00:17] Info: Using '/usr/local/psa/var/modules/watchdog/lib/rkhunter/lib/rkhunter/db' as the database directory
[01:00:17] Info: Using '/usr/local/psa/var/modules/watchdog/lib/rkhunter/rkhunter/scripts' as the support script directory
[01:00:17] Info: Using '/usr/local/psa/admin/bin/modules/watchdog /usr/local/bin /usr/local/sbin /bin /sbin /usr/bin /usr/sbin /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec' as the command directories
[01:00:17] Info: Using '/' as the root directory by default
[01:00:17] Info: Using '/usr/local/psa/var/modules/watchdog/lib/rkhunter/lib/rkhunter/tmp' as the temporary directory
[01:00:17] Info: Emailing warnings to '[email protected]' using command '/bin/mail -s "[rkhunter] Warnings found for ${HOST_NAME}"'
[01:00:17] Info: X will be automatically detected
[01:00:17] Info: Found the 'diff' command: /usr/bin/diff
[01:00:17] Info: Found the 'file' command: /usr/bin/file
[01:00:17] Info: Found the 'find' command: /usr/bin/find
[01:00:17] Info: Found the 'ifconfig' command: /sbin/ifconfig
[01:00:17] Info: Found the 'ip' command: /bin/ip
[01:00:17] Info: Found the 'ldd' command: /usr/bin/ldd
[01:00:18] Info: Found the 'lsattr' command: /usr/bin/lsattr
[01:00:18] Info: Found the 'lsmod' command: /bin/lsmod
[01:00:18] Info: Found the 'lsof' command: /usr/bin/lsof
[01:00:18] Info: Found the 'mktemp' command: /bin/mktemp
[01:00:18] Info: Found the 'netstat' command: /bin/netstat
[01:00:18] Info: Found the 'perl' command: /usr/bin/perl
[01:00:18] Info: Found the 'ps' command: /bin/ps
[01:00:18] Info: Found the 'pwd' command: /bin/pwd
[01:00:18] Info: Found the 'readlink' command: /usr/bin/readlink
[01:00:18] Info: Found the 'sort' command: /bin/sort
[01:00:18] Info: Found the 'stat' command: /usr/bin/stat
[01:00:18] Info: Found the 'strings' command: /usr/bin/strings
[01:00:18] Info: Found the 'uniq' command: /usr/bin/uniq
[01:00:18] Info: System is not using prelinking
[01:00:19] Info: Using the '/usr/bin/sha1sum' command for the file hash checks
[01:00:19] Info: Stored hash values used hash function '/usr/bin/sha1sum'
[01:00:19] Info: Stored hash values used package manager 'RPM' (md5 function)
[01:00:19] Info: The hash function field index is set to 1
[01:00:19] Info: Using package manager 'RPM' to update the file hash values
[01:00:19] Info: Found the 'rpm' command: /bin/rpm
[01:00:19] Info: Using package manager 'RPM' for file property checks

Gruß
prinzipal

 

[GwenDragon]

Ziemlich kurz für eine Logdatei von rkhunter.
Normalerweise hilft ein
grep Warning /var/log/rkhunter.log weiter.

Wie rufst du rkhunter auf?
Was zeigt beim Aufruf mit rkhunter -c an?

Also ich würde auch auf eine neure Version von rkhunter updaten. Aktuelle Version ist 1.4.0. Selber kompilieren und installieren ist kein großes Problem.

 

[danton]

Man kann rkhunter auch direkt so einstellen, daß er die gefundenen Probleme ebenfalls per Mail versendet.
Allerdings wäre hier dringend mal ein Update des ganzen Servers notwendig, denn das verwendete OpenSuSE 10.3 ist ja schon etwas länger aus dem Support. Auch wenn sich die jetzige Meldung als Fehlalarm herausstellen sollte, ist es nur eine Frage der Zeit, bis die Kiste gehackt ist.

 

[virtual2]

Die gute Frage ist immer ob man Tools wie rkhunter vertrauen kann, ich habe da meine Zweifel.

Sinnvoller wäre es eine Liste von md5 Summen aller binarys anzulegen und diese immer wieder abzugleichen.

 

[vb-server]

@virtual2 was macht denn rkhunter?...

 

[d4f]

rkhunter, so wie es meist eingesetzt wird, ist nichts anderes als snake oil.
Falls der Angreifer die rkhunter modifiziert oder durch eine eigene ersetzt, dann kriegst du immer ein 'alles ok', egal wie arg es um die Machine steht.
Einem kompromittierten System kann man nicht vertrauen, das gilt auch fuer die IDS.

Machine in Recovery booten und das darin enthaltene oder nachinstallierte rkhunter ausfuehren ist die einzige halbwegs sichere Methode.
(Halbwegs da es zumindest theoretisch moeglich waere einen eigenen Bootloader mit Schadcode vor den PXE-Boot der Recovery zu laden.)

 

[vb-server]

@d4f volle Zustimmung. Was ich damit sagen wollte, rkhunter prüft sehr wohl MD5-Summen. Beim manuellen MD5-Abgleich, viel Spass dann bei Updates bzw dist-upgrades. Am meisten Sicherheit bietet immernoch: aufmerksam System und Traffic beobachten und Logs analysieren.

 

[Joe User]

rkhunter prüft sehr wohl MD5-Summen. Beim manuellen MD5-Abgleich, viel Spass dann bei Updates bzw dist-upgrades.

Den gleichen Spass hat man auch mit rkhunter, das die aktuellsten md5sums nochmal woher genau (manipulationsfrei) bezieht?

 

[vb-server]

Direkt nach der Installation mit rkhunter --propupd Aber man sollte sich nicht nur auf rkhunter verlassen. Es ist einfach ein weiteres Indiz zur Sicherheit.

 

[d4f]

Es ist einfach ein weiteres Indiz zur Sicherheit.

Umgekehrt. Eine Meldung ist ein Indiz fuer einen Einbruch, keine Meldung aber kein Indiz fuer keinen Einbruch.

 

[Joe User]

Direkt nach der Installation mit rkhunter --propupd

Und schon sind infizierte Files legitimiert...

 

[d4f]

Hier kann man einwenden dass ein System das frisch installiert ist in aller Regel als valide an zu sehen ist.
Das rkhunter-Paket koennte ja auch infiziert sein =)

 

[vb-server]

Theoretisch könnte es auch sein, dass in den nächsten Minuten ein Meteorit einschlägt und wir alle sterben.

 

[Joe User]

Ich bezog mich auf Updates der Pakete und nicht die Erstinstallation des Systems.

 

[fdasasdf]

Vor 100 Internetjahren habe ich auf einem Kongress einen sehr interessanten Vortrag eines Firewallgurus gehört (Name entfallen, sorry).

Er hat die Absicherung eines Systems mit einem Burgbau verglichen: Es gibt nicht *die* Massnahme, um etwas abzusichern. Sondern wie bei einer Burg gilt es, *viele* gestaffelte Massnahmen zu treffen. Jede Einzelne kann einen erfolgreichen Angriff verhindern oder wenigstens ausbremsen, vielleicht nützt sie auch gar nicht.

Im Bild der Burg: Die Burg liegt auf einem Berg, es gibt einen Burggraben, es gibt Schießscharten, es wird kochendes Öl auf die Angreifer gegossen, Falltor, Zugbrücken, enge Gassen, die leicht zu verteidigen sind usw. usw.

Knappe Joe hätte vor 800 Jahren vermutlich gesagt, kochendes Öl ist Snakeoil, das hilft nichts. Als Einzelmaßnahme hätte er wahrscheinlich recht gehabt, in Summe war das aber vielleicht gerade der Baustein, der den Angriff scheitern ließ.

 

[virtual2]

@d4f volle Zustimmung. Was ich damit sagen wollte, rkhunter prüft sehr wohl MD5-Summen. Beim manuellen MD5-Abgleich, viel Spass dann bei Updates bzw dist-upgrades. Am meisten Sicherheit bietet immernoch: aufmerksam System und Traffic beobachten und Logs analysieren.

Ich kenne rkhunter und weiß dass damit auch md5 Summen überprüft werden, ich setze das Tool jedoch seit langem nicht mehr ein da ich diesem kein Vertrauen schenke.

Der sicherste Scan ist immer noch der über ein Rescue System + MD5s mit Script abgleichen.

Mit ein bissl Bash Scripting kann man einiges erreichen, dafür brauchts dann auch keinen per Hand durchzuführenden Abgleich mehr ;=)

 

[Joe User]

Knappe Joe hätte vor 800 Jahren vermutlich gesagt, kochendes Öl ist Snakeoil, das hilft nichts.

Knappe Joe hätte vor 800 Jahren vermutlich gesagt, kochendes Öl ist Snakeoil, solange wir es nicht sicher handhaben können und uns selbst die Finger verbrennen.

rkhunter und alle anderen integritätsprüfenden Tools führt man grundsätzlich von einem trusted Host aus aus und niemals auf dem zu überwachenden Host selbst. Zudem prüft man jegliche festgestellte Veränderung genauestens manuell nach und vertraut dabei keinerlei Automatismen.

Naja, diese Basics hat Niemand verstanden, der jemand anderem die Installation/Ausführung solcher Tools auf dem betroffenen Host empfiehlt. Der Empfehlende gehört dafür eigentlich doppelt gelartet und sein Grundlagenwissen hinterfragt...

 

[prinzipal]

Hallo,

spannende Diskussion ist hier entstanden - hier kann man viel lernen!
Habt ihr WORM von Mark Bowden gelesen? Passt gut hierzu, sehr spannend.

Zu meinem Logfile: Danke für die Interpretation!
Es handelt sich um einen kleinen VServer bei 1&1, daher kann ich soweit ich weiß das Betriebssystem derzeit nicht updaten. Auch rkhunter mach mir grad zu schaffen: Wenn ich per SSH rkhunter -c aufrufe, erhalte ich "command not found". Wie kann das?

Gruß
prinzipal

 

[Thunderbyte]

./rkhunter -c

im Ordner in dem sich rkhunter befindet oder

/pfad/zu/rkhunter/rkhunter -c

. Davon abgesehen sollte geschaut werden, ob die Datei ausführbar ist (mit chmod) wechseln und ob der aktuelle Nutzer die Ausführungsrechte besitzt.

 

[prinzipal]

dazu erhalte ich:

./rkhunter -c
-bash: ./rkhunter: Datei oder Verzeichnis nicht gefunden

Aber er schickt mir doch ständig Mails!?!?