---

To uafhaengige RedHat maskiner i min umiddelbare naerhed har i gaar
aftes lukket sshd ned og forsoegt at reboote. Det lykkedes for den
ene, men ikke den anden, hvor til gengaeld sshd-programmet er fjernet
fra disken. Jeg har en fornemmelse af at dette er et automatiseret
angreb paa mange IP-adresser.

Er der andre der har set dette?
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

---

Thorbjoern Ravn Andersen wrote:

> Er der andre der har set dette?

Jeg har en fuldt opdateret RH 7.1 ssh server. Ingen unormal aktivitet
eller flere angreb end sædvanligt.

-Claus

---

Claus Rasmussen wrote:


> Jeg har en fuldt opdateret RH 7.1 ssh server. Ingen unormal aktivitet
> eller flere angreb end sædvanligt.

Hvordan kan du se, om der har været angreb?!

-> Michael Knudsen

---

Michael Knudsen wrote:

> Hvordan kan du se, om der har været angreb?!

Firewall.

Jeg klipper alt andet end henvendelser fra nogle bestemte ip adresser.
Resten ender i min log.

-Claus

---

Thorbjoern Ravn Andersen (thunderbear@bigfoot.com) wrote:
>
>To uafhaengige RedHat maskiner i min umiddelbare naerhed har i gaar
>aftes lukket sshd ned og forsoegt at reboote. Det lykkedes for den
>ene, men ikke den anden, hvor til gengaeld sshd-programmet er fjernet
>fra disken. Jeg har en fornemmelse af at dette er et automatiseret
>angreb paa mange IP-adresser.
>
>Er der andre der har set dette?

Omtrent, har set en maskine hvor sshd blev skiftet ud, der blev startet en
modificeret telnet fra /etc/inittab, og der blev lagt et kernemodul ind
der stod for at skjule nogle biblioteker og sig selv mm.

grep -r insmod /etc/* viste at modulet blev loadet fra
/etc/rc.d/rc.modules, og det hed spx274.o både modulet
(/lib/modules/spx274.o) og rc.modules var skjulte for ls, find, locate,
etc. indtil jeg havde genstartet maskinen med rc.modules slettet.


Mvh.

Dennis Jørgensen

---

Dennis Jørgensen wrote:

> grep -r insmod /etc/* viste at modulet blev loadet fra
> /etc/rc.d/rc.modules, og det hed spx274.o både modulet
> (/lib/modules/spx274.o) og rc.modules var skjulte for ls, find, locate,
> etc. indtil jeg havde genstartet maskinen med rc.modules slettet.

Føj for den.

-Claus

---

Thorbjoern Ravn Andersen <thunderbear@bigfoot.com> writes:

> To uafhaengige RedHat maskiner i min umiddelbare naerhed har i gaar
> aftes lukket sshd ned og forsoegt at reboote. Det lykkedes for den
> ene, men ikke den anden, hvor til gengaeld sshd-programmet er fjernet
> fra disken. Jeg har en fornemmelse af at dette er et automatiseret
> angreb paa mange IP-adresser.

Jeg har nu funderet over det. Det faktum at sshd-pakken var fjernet
fra systemet, kunne maaske skyldes at en automatisk opdatering fejlede
af en eller anden grund? Problemerne startede cirka 0.15, hvilket godt
kunne tyde paa et par store RPM pakker efterfulgt af en
pakkeopdatering.

Den ene maskine var i hvertfald tilknyttet Redhats automatiske
opdatering. At den anden bootede har jeg siden faaet at vide, var
sket manuelt af maskinens regelmaessige bruger.

Er der en bruger af dette system, som kan sige om sshd-pakken blev
opdateret i gaar?
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear

---

Thorbjoern Ravn Andersen wrote:

> Er der en bruger af dette system, som kan sige om sshd-pakken blev
> opdateret i gaar?

Så må du jo skrive præcist hvilken version af RH, du bruger. Jeg
bruger 7.1 på serveren, og der har ikke været nogen ssh opdateringer
for nylig, kun opdateringer af exim, enscript, uucp og øhh... sudo ?

Du kan i øvrigt kigge i up2date's log: /var/log/up2date .

-Claus

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> Så må du jo skrive præcist hvilken version af RH, du bruger. Jeg
> bruger 7.1 på serveren, og der har ikke været nogen ssh opdateringer
> for nylig, kun opdateringer af exim, enscript, uucp og øhh... sudo ?

Det er en 7.1'er.

Nu koeber vi en ny disk og installerer 7.2 paa den. Den traengte alligevel.
--
Thorbjørn Ravn Andersen
http://bigfoot.com/~thunderbear