摩托學園討論區

這是一個開放的園地,竭誠歡迎您的光臨!

跳到內容

機器可能被入侵 & 最近 ps 跟 chkrootkit 之間的 bug

放輕鬆,這個版純聊天不談技術,歡迎大家進來坐坐。
發表回覆

機器可能被入侵 & 最近 ps 跟 chkrootkit 之間的 bug

文章octapult » 週一 12月 15, 2003 1:45 pm

小弟的機器最近幾天可能被入侵了。

昨天晚上心血來潮,執行了一下 who 指令,發現自己的帳號是從 Sun11 登入的 (問題是我人是在 local 這邊登入的,而且我家只有一台機器...)。檢查一下,並沒有被多建一個帳號,last 也沒有顯示異常登入狀況。可是不知道為甚麼自己的帳號是從 Sun11 登入的,而且 /home 還被多建了一個子目錄 geiger。由於小弟 security 方面的能力不足,想請教各位網友是否有任何建議?小弟感激不盡 :-)

回歸正題,小弟在事件發生之後,換掉原來的密碼,然後裝了 chkrootkit 來檢查是否有被植入木馬。執行結果都是 not infected,只有出現下面這個問題:
代碼: 選擇全部
Checking `lkm'... You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

不過經由 google 查詢,知道這可能是最近 ps 的 bug,造成 chkrootkit 判斷錯誤,特地跟各位網友報告一下。詳情請參考:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=219730
------BEGIN GEEK CODE BLOCK------
Version: 3.12
G! d- s+:+ a? C++(+++) UBL>++++ P L++ E+ W++ N+ o+ K- w(--)
O? M? V PS+ PE+ Y+ PGP- t 5? X++ R tv b+ DI- D+ G e? h! r-- z?
-------END GEEK CODE BLOCK-------
octapult
摩托學園!學園長們
摩托學園!學園長們
 
文章: 512
註冊時間: 週六 9月 07, 2002 10:30 pm
來自: Seyda Neen, Morrowind
回頂端

文章octapult » 週一 12月 15, 2003 7:32 pm

忘了提,chkrootkit 除了顯示前面的訊息以外,還有出現下面這些訊息:
代碼: 選擇全部
Checking `sniffer'...
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/usr/sbin/pppoe[4546], /usr/sbin/pppoe[4546])
ppp0: not promisc and no packet sniffer sockets

我的 chkrootkit 是使用 unstable 裡面的 0.42b-1。假如是使用 testing 裡面的 0.42-2,則是出現 eth0 ppp0 plip0 其中一個為 promisc mode 的訊息。

我嘗試將 ppp 相關 package 移除、再重新安裝,結果執行 chkrootkit 還是會出現相同的訊息。

不知道各位使用 pppoe 上網的網友,使用 chkrootkit 檢查的結果如何?
------BEGIN GEEK CODE BLOCK------
Version: 3.12
G! d- s+:+ a? C++(+++) UBL>++++ P L++ E+ W++ N+ o+ K- w(--)
O? M? V PS+ PE+ Y+ PGP- t 5? X++ R tv b+ DI- D+ G e? h! r-- z?
-------END GEEK CODE BLOCK-------
octapult
摩托學園!學園長們
摩托學園!學園長們
 
文章: 512
註冊時間: 週六 9月 07, 2002 10:30 pm
來自: Seyda Neen, Morrowind
回頂端

文章Tetralet » 週一 12月 15, 2003 7:56 pm

octapult 寫:忘了提,chkrootkit 除了顯示前面的訊息以外,還有出現下面這些訊息:
代碼: 選擇全部
Checking `sniffer'...
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/usr/sbin/pppoe[4546], /usr/sbin/pppoe[4546])
ppp0: not promisc and no packet sniffer sockets

我的 chkrootkit 是使用 unstable 裡面的 0.42b-1。假如是使用 testing 裡面的 0.42-2,則是出現 eth0 ppp0 plip0 其中一個為 promisc mode 的訊息。

我嘗試將 ppp 相關 package 移除、再重新安裝,結果執行 chkrootkit 還是會出現相同的訊息。

不知道各位使用 pppoe 上網的網友,使用 chkrootkit 檢查的結果如何?


我也是...

請教一下,
要如何得知自己的網路介面是使用 Promisc Mode 呢?
我在執行一個類似 Sniffer 的程式 (ethereal) 來抓 eth0 的封包的時候,
ifconfig 還是說 eth0 並不是在 Promisc Mode 呀... ???
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章octapult » 週一 12月 15, 2003 9:11 pm

Tetralet 寫:我也是...

請教一下,
要如何得知自己的網路介面是使用 Promisc Mode 呢?
我在執行一個類似 Sniffer 的程式 (ethereal) 來抓 eth0 的封包的時候,
ifconfig 還是說 eth0 並不是在 Promisc Mode 呀... ???

Tetralet 兄也出現一樣的訊息嗎?這麼說 chkrootkit 出現 eth0: PACKET SNIFFER(/usr/sbin/pppoe[4546], /usr/sbin/pppoe[4546]) 這個訊息,並不一定代表系統真的被植入 packet sniffer 囉?

至於有關網路介面是否處於 promisc mode 的問題:ifconfig 也是 rootkit 偷改的目標之一,所以一旦系統被植入 rootkit,通常 ifconfig 都不會顯示出 etho 在 promisc mode。

另外一提,執行了 tcpdump 這類的程式,都會在 /var/log/syslog 留下 eth0: Promiscuous mode enabled 的訊息,執行完畢則會在 /var/log/syslog 留下 device eth0 left promiscuous mode 訊息。不過我想 rootkit 這類程式應該不會留下痕跡在 syslog 裡吧 (純猜測)。

小弟在這個 網址 看到這方面的文章。文章裡面提到作者試了 ifconfig -a、cpm、ifstatus、chkrootkit、sentinel、sniffdet 等程式,都不能正確的顯示 eth0 是否處於 promisc mode。最後試了 ifstat.c 這個程式,直接從 kernel 得到各個 network interface 的相關訊息,才能確定 eth0 是否處於 promisc mode。不過我執行的時候只顯示 lo 的資料而已,接下來就出現 kread error,讀不到其他訊息了。或許您可以下載 回來試試看。
------BEGIN GEEK CODE BLOCK------
Version: 3.12
G! d- s+:+ a? C++(+++) UBL>++++ P L++ E+ W++ N+ o+ K- w(--)
O? M? V PS+ PE+ Y+ PGP- t 5? X++ R tv b+ DI- D+ G e? h! r-- z?
-------END GEEK CODE BLOCK-------
octapult
摩托學園!學園長們
摩托學園!學園長們
 
文章: 512
註冊時間: 週六 9月 07, 2002 10:30 pm
來自: Seyda Neen, Morrowind
回頂端

文章kanru » 週一 12月 15, 2003 10:33 pm

我之前也是用chkrootkit來檢查過...
不過被嚇到了 :shock:
因為出現
代碼: 選擇全部
You have    12 process hidden for readdir command
You have    12 process hidden for ps command
Warning: Possible LKM Trojan installed

不過如果執行
chkrootkit -x lkm
就會發現都是mozilla-bin跟python(gdesklets)...

不過...
現在又多了一個 :crying:
代碼: 選擇全部
eth0: PACKET SNIFFER(/sbin/dhclient3[5476])
頭像
kanru
榮譽學長
榮譽學長
 
文章: 578
註冊時間: 週六 7月 12, 2003 12:09 pm
回頂端

文章Tetralet » 週一 12月 15, 2003 10:47 pm

octapult 寫:Tetralet 兄也出現一樣的訊息嗎?這麼說 chkrootkit 出現 eth0: PACKET SNIFFER(/usr/sbin/pppoe[4546], /usr/sbin/pppoe[4546]) 這個訊息,並不一定代表系統真的被植入 packet sniffer 囉?


我也是出現以下訊息:
代碼: 選擇全部
Checking `sniffer'...
lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/usr/sbin/pppoe[466], /usr/sbin/pppoe[466])
ppp0: not promisc and no packet sniffer sockets


所以應該是沒事吧?
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章Tetralet » 週一 12月 15, 2003 10:47 pm

感謝您提供的資訊!:w_28:

octapult 寫:小弟在這個 網址 看到這方面的文章。文章裡面提到作者試了 ifconfig -a、cpm、ifstatus、chkrootkit、sentinel、sniffdet 等程式,都不能正確的顯示 eth0 是否處於 promisc mode。最後試了 ifstat.c 這個程式,直接從 kernel 得到各個 network interface 的相關訊息,才能確定 eth0 是否處於 promisc mode。不過我執行的時候只顯示 lo 的資料而已,接下來就出現 kread error,讀不到其他訊息了。或許您可以下載 回來試試看。


我編譯 ifstat.c 的方法是照網頁上所說的:

代碼: 選擇全部
gcc -static -O2 -Wall -I/usr/src/linux/include -o ifstat ifstat.c


結果是可以用的:

代碼: 選擇全部
# ./ifstat eth0
eth0    Link encap:Ethernet  Internal Index:2  MAC:00:0C:6E:0A:04:8F
        UP BROADCAST PROMISC MULTICAST  MTU:1500  IRQ:11 Base:0x1000
        inet addr:192.168.1.11  Bcast:192.168.1.255  Mask:255.255.255.0
        IPv4 Sysctl Params:
                accept_redirects:               yes
                send_redirects:                 yes
                secure_redirects:               yes
                accept_source_route:            yes
                shared_media:                   yes
                rp_filter:                      yes
                proxy_arp:                      no
                arp_filter:                     no
                bootp_relay:                    no
                log_martians:                   no
                forwarding:                     no
                mc_forwarding:                  no
                tag:                            no
               
       
        PROMISC Descriptors:            1




對了,
我記得如果有人在網路上執行類似 Sniffer 的程式時,
管理者是想抓也抓不到的...
是否有反制的方法呢?

如:將所有的 Hub 汰換成 Swith Hub?
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章d2207197 » 週一 12月 15, 2003 10:53 pm

嗚嗚~~~
我要怎麼辦阿
代碼: 選擇全部
Checking `lkm'... You have    16 process hidden for readdir command
You have    16 process hidden for ps command
Warning: Possible LKM Trojan installed
頭像
d2207197
鑽研的研究生
鑽研的研究生
 
文章: 1763
註冊時間: 週二 5月 27, 2003 9:57 pm
來自: 火星
回頂端

文章kanru » 週一 12月 15, 2003 11:00 pm

Tetralet 寫:對了,
我記得如果有人在網路上執行類似 Sniffer 的程式時,
管理者是想抓也抓不到的...
是否有反制的方法呢?

如:將所有的 Hub 汰換成 Swith Hub?
其實還是可以知道那些機器是處於promisc mode
這樣就可以縮小範圍了...

參考這篇 http://www.fanqiang.com/a5/b2/20011001/1500001382_b.html
頭像
kanru
榮譽學長
榮譽學長
 
文章: 578
註冊時間: 週六 7月 12, 2003 12:09 pm
回頂端

文章kanru » 週一 12月 15, 2003 11:02 pm

d2207197 寫:嗚嗚~~~
我要怎麼辦阿
代碼: 選擇全部
Checking `lkm'... You have    16 process hidden for readdir command
You have    16 process hidden for ps command
Warning: Possible LKM Trojan installed

試試看執行chkrootkit -x lkm吧...
應該是有些程式沒有正確註冊pid還是怎樣的...
頭像
kanru
榮譽學長
榮譽學長
 
文章: 578
註冊時間: 週六 7月 12, 2003 12:09 pm
回頂端

文章Tetralet » 週一 12月 15, 2003 11:11 pm

kanru 寫:其實還是可以知道那些機器是處於promisc mode
這樣就可以縮小範圍了...

參考這篇 http://www.fanqiang.com/a5/b2/20011001/1500001382_b.html


感謝您所提供的文章! :w_09:
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章octapult » 週二 12月 16, 2003 1:25 am

我發覺我在耍寶 :ooops:

SUN11 表示我是從星期天 11 點登入系統的,由於過了半夜 12 點,所以前面加了 SUN...烏龍一場 :ooops:

不過 /home/geiger 這個目錄並不是我建的,我的電腦只有我在用,所以曾經被入侵的問題還是不能完全排除...

另外關於 hidden process 的問題。前面小弟提到的 bug,其中四個 hidden process 分別為 ksoftirqd_CPU0、kswapd、bdflush 和 kupdated,而這四個 process 的名稱在 chkrootkit -x lkm 底下顯示不出來。
------BEGIN GEEK CODE BLOCK------
Version: 3.12
G! d- s+:+ a? C++(+++) UBL>++++ P L++ E+ W++ N+ o+ K- w(--)
O? M? V PS+ PE+ Y+ PGP- t 5? X++ R tv b+ DI- D+ G e? h! r-- z?
-------END GEEK CODE BLOCK-------
octapult
摩托學園!學園長們
摩托學園!學園長們
 
文章: 512
註冊時間: 週六 9月 07, 2002 10:30 pm
來自: Seyda Neen, Morrowind
回頂端

文章octapult » 週二 12月 16, 2003 1:31 am

Tetralet 兄,您的 eth0 似乎真的處於 promisc mode
代碼: 選擇全部
eth0    Link encap:Ethernet  Internal Index:2  MAC:**:**:**:**:**:**
        UP BROADCAST PROMISC MULTICAST  MTU:1500  IRQ:11 Base:0x1000
        inet addr:192.168.1.11  Bcast:192.168.1.255  Mask:255.255.255.0
        IPv4 Sysctl Params:
                accept_redirects:               yes
                send_redirects:                 yes
                secure_redirects:               yes
                accept_source_route:            yes
                shared_media:                   yes
                rp_filter:                      yes
                proxy_arp:                      no
                arp_filter:                     no
                bootp_relay:                    no
                log_martians:                   no
                forwarding:                     no
                mc_forwarding:                  no
                tag:                            no
               
       
        PROMISC Descriptors:            1

小弟重新編譯一次,終於可以使用 ifstat.c 了,底下是我的執行狀況:
代碼: 選擇全部
eth0    Link encap:Ethernet  Internal Index:3  MAC:**:**:**:**:**:**
        UP BROADCAST MULTICAST  MTU:1500  IRQ:10 Base:0xdc00
        inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
        IPv4 Sysctl Params:
                accept_redirects:               yes
                send_redirects:                 yes
                secure_redirects:               yes
                accept_source_route:            yes
                shared_media:                   yes
                rp_filter:                      yes
                proxy_arp:                      no
                arp_filter:                     no
                bootp_relay:                    no
                log_martians:                   no
                forwarding:                     no
                mc_forwarding:                  no
                tag:                            no

p.s. * 代表被消音的文字 :mrgreen:
------BEGIN GEEK CODE BLOCK------
Version: 3.12
G! d- s+:+ a? C++(+++) UBL>++++ P L++ E+ W++ N+ o+ K- w(--)
O? M? V PS+ PE+ Y+ PGP- t 5? X++ R tv b+ DI- D+ G e? h! r-- z?
-------END GEEK CODE BLOCK-------
octapult
摩托學園!學園長們
摩托學園!學園長們
 
文章: 512
註冊時間: 週六 9月 07, 2002 10:30 pm
來自: Seyda Neen, Morrowind
回頂端

文章Tetralet » 週一 1月 26, 2004 3:56 pm

對不起,竟然隔了一個多月才回文...

因為我 沒 有 看 到 這篇文章... :w_09:

octapult 寫:Tetralet 兄,您的 eth0 似乎真的處於 promisc mode

是的,
因為當時我正在用 ethereal 抓封包中...
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端
發表回覆

回到 talk

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

POWERED_BY
正體中文語系由 竹貓星球 維護製作
cron