Kleines Problem mit OpenSSH

Status
Für weitere Antworten geschlossen.
P

PIMP

New Member
Hi zusammen,

muss gestehen ich hab mich schon ewigkeiten nicht mehr um meinen Server gekümmert, und bin deswegen aus der ganzen Suse geschichte etwas raus gekommen.

Folgendes Problem, mein Openssh Zugang hat nicht mehr funktioniert.
Dacht ich mir, machst das Packet mal runter und wieder drauf übern Webmin.
Nur leider gehts jetzt nicht mehr intstallieren.
Da ich beim Webmin die ganzen Packete nicht zur verfügung habe.
Und die RPM Packet wo ich immer runterlade funktionieren nicht..
Per telnet klappts irgendwie auch nicht so..

kann mir jemand sagen wie ich das Ding noch retten kann ?
Es handelt sich im Suse 8.1
Vielen Vielen Dank
 
Rain_Maker

Rain_Maker

Administrator
Teammitglied
AW: Kleines Problem mit OpenSSH

Hallo,

Nimms mir nicht übel, aber das muß eine ziemliche Ewigkeit gewesen sein, denn SuSE 8.1 wird seit etwa 2 Jahren nicht mehr offiziell mit Sicherheitsupdates versorgt.

Einen Server, der möglicherweise nicht nur im Intra- sondern auch im Internet erreichbar ist (das kann ich nur vermuten), so lange nicht zu warten, ist ausgesprochen leichtsinnig.

Zu Deinem Problem kann ich mich außerdem leider wegen der ausgesprochen dürftigen Fehlerbeschreibung auch nicht äußern, ich kann Dir aber unabhängig davon nur zu einem Upgrade bzw. einer Neuinstallation einer neueren Distribution raten.

Es könnte z.B. sein, daß der Server (sofern er denn von aussen erreichbar ist) mittlerweile deshalb keinen SSH-Login mehr zulässt, weil er mittlerweile "jemand anderem gehört". Ein potentieller Angreifer hatte ja scheinbar genug Zeit, sich "ungestört" breit zu machen und das System ist mit großer Wahrscheinlichkeit auch unsicher, weil eben seit etwa 2 Jahren keine Patches mehr bereitliegen, die man überhaupt einspielen könnte, selbst wenn man das wollte.

Greetz,

RM
 
P

PIMP

New Member
AW: Kleines Problem mit OpenSSH

Hmm
erstmal danke für deine ehrliche antwort.
die ssh geschichte hab ich gelöst,
hab den zugang jetzt auch erstmal sicher gemacht, und alle dienst nach ausenhin abgeschaltet.
also momentan hat nur noch mein neu angelegert user zugriff !

Ist es denn noch möglich die alten Sicherheitsupdates herzubekommen ?
Liegen die irgendwo noch auf nem server ?

Hab ein chrootkit drüber laufen lassen...
Das System scheint auf den ersten blick eigentlich sauber...

Bei nem zweiten Scan mit nem anderen Kit kam folgendes logfile raus :
 
P

PIMP

New Member
AW: Kleines Problem mit OpenSSH

Code: 
Check rootkits
* Default files and directories
   Rootkit '55808 Trojan - Variant A'...                      [ OK ]
   ADM Worm...                                                [ OK ]
   Rootkit 'AjaKit'...                                        [ OK ]
   Rootkit 'aPa Kit'...                                       [ OK ]
   Rootkit 'Apache Worm'...                                   [ OK ]
   Rootkit 'Ambient (ark) Rootkit'...                         [ OK ]
   Rootkit 'Balaur Rootkit'...                                [ OK ]
   Rootkit 'BeastKit'...                                      [ OK ]
   Rootkit 'beX2'...                                          [ OK ]
   Rootkit 'BOBKit'...                                        [ OK ]
   Rootkit 'CiNIK Worm (Slapper.B variant)'...                [ OK ]
   Rootkit 'Danny-Boy's Abuse Kit'...                         [ OK ]
   Rootkit 'Devil RootKit'...                                 [ OK ]
   Rootkit 'Dica'...                                          [ OK ]
   Rootkit 'Dreams Rootkit'...                                [ OK ]
   Rootkit 'Duarawkz'...                                      [ OK ]
   Rootkit 'Flea Linux Rootkit'...                            [ OK ]
   Rootkit 'FreeBSD Rootkit'...                               [ OK ]
   Rootkit 'Fuck`it Rootkit'...                               [ OK ]
   Rootkit 'GasKit'...                                        [ OK ]
   Rootkit 'Heroin LKM'...                                    [ OK ]
   Rootkit 'HjC Kit'...                                       [ OK ]
   Rootkit 'ignoKit'...                                       [ OK ]
   Rootkit 'ImperalsS-FBRK'...                                [ OK ]
   Rootkit 'Irix Rootkit'...                                  [ OK ]
   Rootkit 'Kitko'...                                         [ OK ]
   Rootkit 'Knark'...                                         [ OK ]
   Rootkit 'Li0n Worm'...                                     [ OK ]
   Rootkit 'Lockit / LJK2'...                                 [ OK ]
   Rootkit 'MRK'...                                           [ OK ]
   Rootkit 'Ni0 Rootkit'...                                   [ OK ]
   Rootkit 'RootKit for SunOS / NSDAP'...                     [ OK ]
   Rootkit 'Optic Kit (Tux)'...                               [ OK ]
   Rootkit 'Oz Rootkit'...                                    [ OK ]
   Rootkit 'Portacelo'...                                     [ OK ]
   Rootkit 'R3dstorm Toolkit'...                              [ OK ]
   Rootkit 'RH-Sharpe's rootkit'...                           [ OK ]
   Rootkit 'RSHA's rootkit'...                                [ OK ]
   Sebek LKM                                                  [ OK ]
   Rootkit 'Scalper Worm'...                                  [ OK ]
   Rootkit 'Shutdown'...                                      [ OK ]
   Rootkit 'SHV4'...                                          [ OK ]
   Rootkit 'SHV5'...                                          [ OK ]
   Rootkit 'Sin Rootkit'...                                   [ OK ]
   Rootkit 'Slapper'...                                       [ OK ]
   Rootkit 'Sneakin Rootkit'...                               [ OK ]
   Rootkit 'Suckit Rootkit'...                                [ OK ]
   Rootkit 'SunOS Rootkit'...                                 [ OK ]
   Rootkit 'Superkit'...                                      [ OK ]
   Rootkit 'TBD (Telnet BackDoor)'...                         [ OK ]
   Rootkit 'TeLeKiT'...                                       [ OK ]
   Rootkit 'T0rn Rootkit'...                                  [ OK ]
   Rootkit 'Trojanit Kit'...                                  [ OK ]
   Rootkit 'Tuxtendo'...                                      [ OK ]
   Rootkit 'URK'...                                           [ OK ]
   Rootkit 'VcKit'...                                         [ OK ]
   Rootkit 'Volc Rootkit'...                                  [ OK ]
   Rootkit 'X-Org SunOS Rootkit'...                           [ OK ]
   Rootkit 'zaRwT.KiT Rootkit'...                             [ OK ]

* Suspicious files and malware
   Scanning for known rootkit strings                         [ OK ]
   Scanning for known rootkit files                           [ OK ]
   Testing running processes...                               [ OK ]
   Miscellaneous Login backdoors                              [ OK ]
   Miscellaneous directories                                  [ OK ]
   Software related files                                     [ OK ]
   Sniffer logs                                               [ OK ]

* Trojan specific characteristics
   shv4
     Checking /etc/rc.d/rc.sysinit                            [ Not found ]
     Checking /etc/inetd.conf                                 [ Clean ]
     Checking /etc/xinetd.conf                                [ Clean ]

* Suspicious file properties
   chmod properties
     Checking /bin/ps                                         [ Warning! (chmod 777 found, po               ssible trojaned) ]
     Checking /bin/ls                                         [ Warning! (chmod 777 found, po               ssible trojaned) ]
     Checking /usr/bin/w                                      [ Clean ]
     Checking /usr/bin/who                                    [ Clean ]
     Checking /bin/netstat                                    [ Warning! (chmod 777 found, po               ssible trojaned) ]
     Checking /bin/login                                      [ Warning! (chmod 777 found, po               ssible trojaned) ]
   Script replacements
     Checking /bin/ps                                         [ Clean ]
     Checking /bin/ls                                         [ Clean ]
     Checking /usr/bin/w                                      [ Clean ]
     Checking /usr/bin/who                                    [ Clean ]
     Checking /bin/netstat                                    [ Clean ]
     Checking /bin/login                                      [ Clean ]

* OS dependant tests

   Linux
     Checking loaded kernel modules...                        [ OK ]
     Checking files attributes                                [ OK ]
     Checking LKM module path                                 [ OK ]


Networking
* Check: frequently used backdoors
  Port 2001: Scalper Rootkit                                  [ OK ]
  Port 2006: CB Rootkit                                       [ OK ]
  Port 2128: MRK                                              [ OK ]
  Port 14856: Optic Kit (Tux)                                 [ OK ]
  Port 47107: T0rn Rootkit                                    [ OK ]
  Port 60922: zaRwT.KiT                                       [ OK ]

* Interfaces
     Scanning for promiscuous interfaces                      [ OK ]

System checks
* Allround tests
   Checking hostname... Found. Hostname is linux
   Checking for passwordless user accounts... OK
   Checking for differences in user accounts... OK. No changes.
   Checking for differences in user groups... OK. No changes.
   Checking boot.local/rc.local file...
     - /etc/rc.local                                          [ Not found ]
     - /etc/rc.d/rc.local                                     [ Not found ]
     - /usr/local/etc/rc.local                                [ Not found ]
     - /usr/local/etc/rc.d/rc.local                           [ Not found ]
     - /etc/conf.d/local.start                                [ Not found ]
     - /etc/init.d/boot.local                                 [ OK ]
   Checking rc.d files...
     Processing........................................
               ........................................

   Result rc.d files check                                    [ OK ]
   Checking history files
     Bourne Shell                                             [ OK ]

* Filesystem checks
   Checking /dev for suspicious files...                      [ Warning! (unusual files found) ]
---------------------------------------------
Unusual files:
/dev/nll:              ASCII text
---------------------------------------------
   Scanning for hidden files...                               [ OK ]

Application advisories
* Application scan
   Checking Apache2 modules ...                               [ Not found ]
   Checking Apache configuration ...                          [ OK ]

* Application version scan
   - GnuPG 1.0.7                                              [ Vulnerable ]
   - Apache 1.3.26                                            [ Vulnerable ]
   - Bind DNS 9.1.3                                           [ OK ]
   - OpenSSL 0.9.6g                                           [ Vulnerable ]
   - PHP [unknown]                                            [ OK ]
   - Procmail MTA 3.15.1                                      [ Vulnerable ]
   - ProFTPd 1.2.8                                            [ Vulnerable ]
   - OpenSSH version                                          [ Unknown ]




Security advisories
* Check: Groups and Accounts
   Searching for /etc/passwd...                               [ Found ]
   Checking users with UID '0' (root)...                      [ OK ]

* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login...                         [ OK (Remote root login disabled) ]
   Checking for allowed protocols...                          [ Warning (SSH v1 allowed) ]

* Check: Events and Logging
   Search for syslog configuration...                         [ OK ]
   Checking for running syslog slave...                       [ OK ]
   Checking for logging to remote system...                   [ OK (no remote logging) ]




---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 5
 
P

PIMP

New Member
AW: Kleines Problem mit OpenSSH

Was sagt ihr hierzu ?
Neuinstallieren möcht ich wirklich nur wenn's denn gar nicht anders geht :-((

Danke
 
Rain_Maker

Rain_Maker

Administrator
Teammitglied
AW: Kleines Problem mit OpenSSH

PIMP schrieb:
Was sagt ihr hierzu ?
Zum Vergrößern anklicken....
Neu aufsetzen, wenn das System schon kompromittiert ist, was man ja nicht weiß, dann sagt diese Ausgabe bei einem geschickten Angreifer gar nichts aus.

Alleine schon das hier:

Code: 
* Application version scan
   - GnuPG 1.0.7                                              [ Vulnerable ]
   - Apache 1.3.26                                            [ Vulnerable ]
   - Bind DNS 9.1.3                                           [ OK ]
   - OpenSSL 0.9.6g                                           [ Vulnerable ]
   - PHP [unknown]                                            [ OK ]
   - Procmail MTA 3.15.1                                      [ Vulnerable ]
   - ProFTPd 1.2.8                                            [ Vulnerable ]
   - OpenSSH version                                          [ Unknown ]
reicht als Grund, eine Neuinstallation zu rechtfertigen.

Die wichtigsten Applikationen sind "Vulnerable" und es gibt keine fertigen Patches mehr, also was willst Du machen?

Diese Türen stehen wahrscheinlich seit Jahren sperrangelweit offen, wie willst Du solch einem System vertrauen können?

Alles von Hand neu einpflegen, selbst kompilieren und das System zum "Linux From Scratch" umbauen?

Was ist da wohl mehr Aufwand?

Greetz,

RM
 
Status
Für weitere Antworten geschlossen.
Oben