Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] Rootkit? wie wird man sowas los?  (Read 2148 times)

Offline dieres

  • User
  • Posts: 786
[DE] Rootkit? wie wird man sowas los?
« on: 2019/09/05, 22:37:44 »
auf meinem Openmediavault NAS Rechner habe ich einen Prozesss mit kryptischem Namen entdeckt, der sich wenn man ihn killt unter anderem Namen wieder als Startscript in /etc/init.d einträgt. Booten von USB Stick und neu installieren hat das nur kurzfristig beseitigt. Muss ich die Raid Daten Platten auch formatieren? Wo legt sich sowas so hartnäckig ab? Habe das Ding gefunden, weil das ganze Netzwerk plötzlich so lahm war.
Seit die Kiste  aus ist schein erstmal der rest wieder normal zu funktionieren.
Hat jemend nen Tip was tun?

Offline melmarker

  • User
  • Posts: 2.799
    • g-com.eu
Re: Rootkit? wie wird man sowas los?
« Reply #1 on: 2019/09/06, 00:44:56 »
Der Schutz vor Rootkits fängt bei der Installation der Kiste an - diesen Zeitpunkt hast Du ja ein wenig verpasst - trotzdem möchtest Du Dich über Konfiguration, Installation, Einsatz und Betrieb von rkhunter informieren. Zusätzlich dazu bietet sich die Prüfung via chkrootkit an - mit beiden Stichworten sollte man bei Tante Gurgel auch noch jede Menge Informationen finden.
Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety. (Benjamin Franklin, November 11, 1755)
Never attribute to malice that which can be adequately explained by stupidity. (Hanlons razor)

Offline vinzv

  • Administrator
  • User
  • *****
  • Posts: 156
Re: Rootkit? wie wird man sowas los?
« Reply #2 on: 2019/09/06, 12:38:57 »
Prozesss mit kryptischem Namen
Der da wäre?

Offline dieres

  • User
  • Posts: 786
Re: Rootkit? wie wird man sowas los?
« Reply #3 on: 2019/09/13, 17:03:29 »
nachdem rkhunter erst nix gefunden hat, habe ich dann rkhuter auf einem anderen pc auf eine sdkarte installiert, dort die benutzen bin dateien wie egrep etc. in ein ein Verzeichnis bin kopiert, den schreibschutz der sd karte aktiviert und auf dem infizierten pc rkhunter mit  --bindir gesagt welche dateien es benutzen soll.
Ergebnis : Bill Gates bot net...

habe dann einen biosflash Usb Stick für die HP N40L erstellt, die datenplatten aus dem NAS entfernt und als erstes das Bios neu geflasht. Dann mit Siduction Live System die system ssd mit dd mit nullen überschrieben und Openmedivault neu installiert.

Nachdem 2 Tage nix merkwürdiges mehr aufgetaucht ist, habe ich jetzt die 4 x 4TB Datenplatten eingehängt und überprüfe die gerade mit clamav.
mal sehen wie es weitergeht.

Offline dieres

  • User
  • Posts: 786
Re: Rootkit? wie wird man sowas los?
« Reply #4 on: 2019/09/15, 16:47:19 »
@vinzv

Das startscript sah folgendermaßen aus:

Code: [Select]
#!/bin/sh
# chkconfig: 12345 90 90
# description: yrolxmobsi
### BEGIN INIT INFO
# Provides: yrolxmobsi
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: yrolxmobsi
### END INIT INFO
case $1 in
start)
/usr/bin/yrolxmobsi
;;
stop)
;;
*)
/usr/bin/yrolxmobsi
;;
esac

wobei der name yrolxmobsi sich sofort ändert, soblad man das script löscht. Legt sich einfach unter ähnlich merkwürdigem Namen wieder an.