rare uitgaande connecties

**rodb** · 28/10/10 20:56

maar ik had gister

Code:


Message 1:
From root@rodb.localdomain  Tue Oct 26 05:43:01 2010
X-Original-To: root
From: root@rodb.localdomain (Cron Daemon)
To: root@rodb.localdomain
Subject: Cron <root@rodb> /tmp/exploit.sh
Content-Type: text/plain; charset=ANSI_X3.4-1968
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
Date: Tue, 26 Oct 2010 05:43:01 +0000 (UTC)

/bin/sh: /tmp/exploit.sh: No such file or directory

**nanochip** · 28/10/10 21:18

Je kan nog even find / - exploit.sh doen zodat je zeker weet dat het bestand niet op je server staat

**visser** · 29/10/10 00:55

Oorspronkelijk geplaatst door rodb

maar ik had gister

Code:


Message 1:
From root@rodb.localdomain  Tue Oct 26 05:43:01 2010
X-Original-To: root
From: root@rodb.localdomain (Cron Daemon)
To: root@rodb.localdomain
Subject: Cron <root@rodb> /tmp/exploit.sh
Content-Type: text/plain; charset=ANSI_X3.4-1968
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
Date: Tue, 26 Oct 2010 05:43:01 +0000 (UTC)

/bin/sh: /tmp/exploit.sh: No such file or directory

Er zijn een paar smaken crontabs.
Crontabs kunnen 'bij' een user horen, maar er zijn ook systeem crontabs.
Die horen niet direct bij een user (zijn typisch root-owned, maar hebben een veld als welke user ze draaien).

Begin eens met 'man cron'.
Aangenomen dat het vixie cron is, zoals op redelijk wat Linuxen (iig Ubuntu) gebruikelijk, lees je:
====
cron searches its spool area (/var/spool/cron/crontabs) for crontab
files (which are named after accounts in /etc/passwd); crontabs found
are loaded into memory. Note that crontabs in this directory should
not be accessed directly - the crontab command should be used to access
and update them.

cron also reads /etc/crontab, which is in a slightly different format
(see crontab(5)). Additionally, cron reads the files in /etc/cron.d:
it treats the files in /etc/cron.d as in the same way as the
/etc/crontab file (they follow the special format of that file, i.e.
they include the user field). However, they are independent of
/etc/crontab: they do not, for example, inherit environment variable

=====

Bekijk dus :
/etc/crontab
files in /etc/cron.d
files in /etc/cron.hourly , cron.daily, etc (die worden gestart vanaf /etc/crontab , bij een ubuntu setup).

En dan 'user' crontabs die in /var/spool/cron/crontabs/
staan. (maar die heb je al met crontab -u <user> -l bekeken).

Maar als je systeem zover gehacked is dat iemand daar een cron entry kon toevoegen kun je maar beter de boel opnieuw installeren.
Het is _echt_ lastig om behoorlijk zeker te raken dat je alles gevonden hebt, en gezien de vraag die je stelt ben je daar zelf absoluut niet toe in staat.

**rodb** · 29/10/10 08:40

Goede morgen,

Ik heb de stappen gedaan en kon niets bijzonders vinden,
de uitgaande connecties zijn nu gestopt.

Als er weer wat vreemds gebeurt overweeg ik toch de server een verse Linux installatie te geven.

Allemaal bedankt voor jullie hulp

Robert

**T. Verhaeg** · 29/10/10 11:55

Oorspronkelijk geplaatst door rodb

Goede morgen,

Ik heb de stappen gedaan en kon niets bijzonders vinden,
de uitgaande connecties zijn nu gestopt.

Als er weer wat vreemds gebeurt overweeg ik toch de server een verse Linux installatie te geven.

Allemaal bedankt voor jullie hulp

Robert

Wat doet een:

Code:

netstat -tap

**rodb** · 29/10/10 15:58

Code:


rodb:~# netstat -tap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:https                 *:*                     LISTEN      5571/apache2
tcp        0      0 *:7741                  *:*                     LISTEN      657/lisa
tcp        0      0 rodb.nl:mysql           *:*                     LISTEN      570/mysqld
tcp        0      0 localhost.localdoma:911 *:*                     LISTEN      735/famd
tcp        0      0 *:sunrpc                *:*                     LISTEN      297/portmap
tcp        0      0 *:www                   *:*                     LISTEN      5571/apache2
tcp        0      0 *:ssh                   *:*                     LISTEN      944/sshd
tcp        0      0 localhost.localdom:smtp *:*                     LISTEN      18278/master

**Mark17** · 29/10/10 16:32

Kun je nagaan of onderstaande moet draaien? Mij komen ze namelijk niet gelijk bekend voor:
- lisa
- famd

**ichosting** · 29/10/10 16:34

Die zijn inderdaad niet standaard.
FAMD is File Alteration Monitor, klinkt al verdacht

**rodb** · 29/10/10 16:50

Ik heb dat nooit geïnstalleerd dat Lisa
het blijkt een soort van smb server applicatie te wezen
ik heb het maar verwijderd.

en dat famd heb ik ook nooit geïnstalleerd
maar locate famd

rodb:~# locate famd
/usr/sbin/famd
/usr/share/man/man8/famd.8.gz

**frenkel** · 31/10/10 13:07

Famd wordt/werd bijv gebruikt door nautilus om een nieuwe preview te genereren als je een nautilus venster had openstaan en een bestand werd veranderd. Niets verdachts aan dus...

Onderwerp Gereedschap

Toon

Onderwerp: rare uitgaande connecties

Webhostingtalk.nl

Link met ons

Partners

Contact