---

Hi,

Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
lokke dig til at liste en md5sum på ls, find, netstat?


Pft

/Jan

---

On Sat, 02 Dec 2006 17:14:34 +0100
Jan Birk wrote:
> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> lokke dig til at liste en md5sum på ls, find, netstat?

$ uname -r
2.6.12-1.1381_FC3smp
$ md5sum /bin/ls
d6b83225471f3a49172634c8c222cdde /bin/ls
$ md5sum /usr/local/gnu/bin/find
d98feb481ac8356f171a19802e012ac8 /usr/local/gnu/bin/find
$ md5sum /bin/netstat
8728e20ba4ad211b3f1af31588c62dae /bin/netstat

--
   Jonathan

---

> $ md5sum /bin/ls
> d6b83225471f3a49172634c8c222cdde /bin/ls
> $ md5sum /bin/netstat
> 8728e20ba4ad211b3f1af31588c62dae /bin/netstat

Mange tak. Det ser vist ikke så godt ud i min ende

/Jan

---

Jan Birk <jb@invalid.domain.null> writes:

> Hi,
>
> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> lokke dig til at liste en md5sum på ls, find, netstat?

Så ville de vel også være blevet hacket...

Har du prøvet rpm -Vf /bin/ls osv.?

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

Peter Dalgaard wrote:
> Jan Birk <jb@invalid.domain.null> writes:
>
>> Hi,
>>
>> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
>> lokke dig til at liste en md5sum på ls, find, netstat?
>
> Så ville de vel også være blevet hacket...
>
> Har du prøvet rpm -Vf /bin/ls osv.?

Den kører vist på den lokale base?

/Jan

---

Jan Birk <jan.birk@invalid.domain.null> writes:

> Peter Dalgaard wrote:
> > Jan Birk <jb@invalid.domain.null> writes:
> >
> >> Hi,
> >>
> >> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> >> lokke dig til at liste en md5sum på ls, find, netstat?
> > Så ville de vel også være blevet hacket...
> > Har du prøvet rpm -Vf /bin/ls osv.?
>
> Den kører vist på den lokale base?

Ja, rpm kan vist ikke andet. Jeg ved ikke hvor nem den er at fifle
med, men rootkits er sjældent _så_ energiske. Til gengæld kræver
md5sum jo at tingene ikke er opgraderet af anden årsag.

Husk også at checke ps, forresten.

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

> Ja, rpm kan vist ikke andet. Jeg ved ikke hvor nem den er at fifle
> med, men rootkits er sjældent _så_ energiske. Til gengæld kræver
> md5sum jo at tingene ikke er opgraderet af anden årsag.

Det er rigtigt. rpm'en kører igennem uden at brokke sig.

> Husk også at checke ps, forresten.

Især

Der er placeret et sh.cgi i cgi-bin, som ser sådan ud med en strings:
---------------------------------------------------------------------
snip ... en hel masse ....

/tmp/.hash
rm -f /tmp/.hash
/etc/sysconfig/hash.zk
/var/log/httpd/access_log
cat %s | grep -v %s > %s
CONTENT_LENGTH
ADDRESS=
Invalid command
Due to suExec in apache, any ps command must be done with httpd id and gid
/usr/bin/w
%s: command not found
REQUEST_METHOD
Content-type: text/html
<TITLE>CGI Test Page</TITLE>
<ISINDEX PROMPT=" Type some text in here: ">
Content-type: text/plain
You typed "%s"
<TITLE>[zk](%s) CGI Shell</TITLE>
SCRIPT_NAME
<FORM ACTION=%s METHOD=POST>
<SELECT NAME=STRCMD>
<OPTION>Execute command:
<OPTION>Clean httpd log
<OPTION>Add root Account
<OPTION>Add Suid Shell
<OPTION>Shutdown Machine
<OPTION>Reboot Machine
<OPTION>Erase BackDoor
</SELECT>
Command: <INPUT TYPE=TEXT NAME=ADDRESS>
<INPUT TYPE=submit VALUE="Run">
<BR>
<PRE>
uname -a
uptime
....
.....
en hel masse mere
------------------------------------------

/Jan

---

Jan Birk wrote:
> Hi,
>
> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> lokke dig til at liste en md5sum på ls, find, netstat?

Det kan du nok ikke bruge til så meget; der køres prelink
på alle executables, så md5sum'en passer ikke.

rpm er klar over dette og tager højde for det når den skal
verificere.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

> Det kan du nok ikke bruge til så meget; der køres prelink
> på alle executables, så md5sum'en passer ikke.

Det har du ret i.

> rpm er klar over dette og tager højde for det når den skal
> verificere.

Jeg har kørt rpm uden at der meldes fejl. Jeg er måske bare lidt
overnervøs, da jeg har fundet et rootkit i cgi-bin. Men det er
sandsynligvis ikke blevet afviklet med de korrekte rettigheder.

/Jan

---

>>>>> "JB" == Jan Birk <jb@invalid.domain.null> writes:

JB> Jeg har kørt rpm uden at der meldes fejl. Jeg er måske bare lidt
JB> overnervøs, da jeg har fundet et rootkit i cgi-bin. Men det er
JB> sandsynligvis ikke blevet afviklet med de korrekte rettigheder.

Hvis du er tilstrækkeligt paranoid, eller de faktisk er efter dig:

Boot på rescue CD. Download rpm-pakker for coreutils, net-tools og
findutils i de versioner, som du har installeret. rpm -q --verify -p
coreutils... net-tools... findutils...

SÃ¥ er du sikker.


/Benny

---

Benny Amorsen <benny+usenet@amorsen.dk> writes:

> >>>>> "JB" == Jan Birk <jb@invalid.domain.null> writes:
>
> JB> Jeg har kørt rpm uden at der meldes fejl. Jeg er måske bare lidt
> JB> overnervøs, da jeg har fundet et rootkit i cgi-bin. Men det er
> JB> sandsynligvis ikke blevet afviklet med de korrekte rettigheder.
>
> Hvis du er tilstrækkeligt paranoid, eller de faktisk er efter dig:
>
> Boot på rescue CD. Download rpm-pakker for coreutils, net-tools og
> findutils i de versioner, som du har installeret. rpm -q --verify -p
> coreutils... net-tools... findutils...
>
> SÃ¥ er du sikker.

Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
utilities sådan at rootkittet ikke kan ses (uden videre), men: Hvad
med den der cgi-bin ting? Og det hul den kom ind ad?

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

Peter Dalgaard wrote:
....
> Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
> utilities sådan at rootkittet ikke kan ses (uden videre), men: Hvad
> med den der cgi-bin ting? Og det hul den kom ind ad?

FC3 er EOL. Fedora Legacy er mere-eller-mindre EOL.

Der er nok en del muligheder for huller...

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

>> Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
>> utilities sådan at rootkittet ikke kan ses (uden videre), men: Hvad
>> med den der cgi-bin ting? Og det hul den kom ind ad?
>
> FC3 er EOL. Fedora Legacy er mere-eller-mindre EOL.
>
> Der er nok en del muligheder for huller...

Det er en maskine jeg har arvet, men jeg gætter på at de er kommet ind
via bbphp eller lign. Men jeg kan ikke regne ud om de har haft mulighed
for at afvikle rootkit'et....

Men lidt mistænktsomt er det, da der også sendes spam fra boksen selvom
mailen ikke relayer

Det må vist hellere blive en re-installering med noget nyere.

/Jan

---

Jan Birk <jb@invalid.domain.null> writes:

> Det må vist hellere blive en re-installering med noget nyere.

Vælg eventuelt en distribution der er let at holde ajour med opdateringer.

--
Thorbjørn Ravn Andersen

---

> Vælg eventuelt en distribution der er let at holde ajour med opdateringer.

Bortset fra at det pågældende system ikke har været opdateret, synes jeg
at Fedora kører meget fint med opdateringer. Men jeg har desværre kun
kendskab til Redhat og Fedora.

Er principperne/enkeltheden anderledes på 'de andre' distributioner?

/Jan

---

Jan Birk <jan.birk@invalid.domain.null> skrev 2006-12-04:
>> Vælg eventuelt en distribution der er let at holde ajour med opdateringer.
>
> Bortset fra at det pågældende system ikke har været opdateret, synes jeg
> at Fedora kører meget fint med opdateringer. Men jeg har desværre kun
> kendskab til Redhat og Fedora.

Brug det du kender er mit råd. Med mindre du har tid/nysgerrighed/lyst
til at lære noget andet.

Thomas
--

---

>>>>> "PD" == Peter Dalgaard <p.dalgaard@biostat.ku.dk> writes:

PD> Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
PD> utilities sådan at rootkittet ikke kan ses (uden videre), men:
PD> Hvad med den der cgi-bin ting? Og det hul den kom ind ad?

Jeg kommenterede kun delen om at checke executables. Det er klart at
hullet stadig er der, hvis ikke der er gjort noget for at fjerne det.


/Benny