Siduction Forum

Siduction Forum => Software - Support => Topic started by: dieres on 2019/09/05, 22:37:44

Title: Rootkit? wie wird man sowas los?
Post by: dieres on 2019/09/05, 22:37:44

auf meinem Openmediavault NAS Rechner habe ich einen Prozesss mit kryptischem Namen entdeckt, der sich wenn man ihn killt unter anderem Namen wieder als Startscript in /etc/init.d einträgt. Booten von USB Stick und neu installieren hat das nur kurzfristig beseitigt. Muss ich die Raid Daten Platten auch formatieren? Wo legt sich sowas so hartnäckig ab? Habe das Ding gefunden, weil das ganze Netzwerk plötzlich so lahm war.
Seit die Kiste  aus ist schein erstmal der rest wieder normal zu funktionieren.
Hat jemend nen Tip was tun?

Title: Re: Rootkit? wie wird man sowas los?
Post by: melmarker on 2019/09/06, 00:44:56

Der Schutz vor Rootkits fängt bei der Installation der Kiste an - diesen Zeitpunkt hast Du ja ein wenig verpasst - trotzdem möchtest Du Dich über Konfiguration, Installation, Einsatz und Betrieb von rkhunter informieren. Zusätzlich dazu bietet sich die Prüfung via chkrootkit an - mit beiden Stichworten sollte man bei Tante Gurgel auch noch jede Menge Informationen finden.

Title: Re: Rootkit? wie wird man sowas los?
Post by: vinzv on 2019/09/06, 12:38:57

Quote from: dieres on 2019/09/05, 22:37:44

Prozesss mit kryptischem Namen

Der da wäre?

Title: Re: Rootkit? wie wird man sowas los?
Post by: dieres on 2019/09/13, 17:03:29

nachdem rkhunter erst nix gefunden hat, habe ich dann rkhuter auf einem anderen pc auf eine sdkarte installiert, dort die benutzen bin dateien wie egrep etc. in ein ein Verzeichnis bin kopiert, den schreibschutz der sd karte aktiviert und auf dem infizierten pc rkhunter mit  --bindir gesagt welche dateien es benutzen soll.
Ergebnis : Bill Gates bot net...

habe dann einen biosflash Usb Stick für die HP N40L erstellt, die datenplatten aus dem NAS entfernt und als erstes das Bios neu geflasht. Dann mit Siduction Live System die system ssd mit dd mit nullen überschrieben und Openmedivault neu installiert.

Nachdem 2 Tage nix merkwürdiges mehr aufgetaucht ist, habe ich jetzt die 4 x 4TB Datenplatten eingehängt und überprüfe die gerade mit clamav.
mal sehen wie es weitergeht.

Title: Re: Rootkit? wie wird man sowas los?
Post by: dieres on 2019/09/15, 16:47:19

@vinzv

Das startscript sah folgendermaßen aus:

Code: [Select]

#!/bin/sh
# chkconfig: 12345 90 90
# description: yrolxmobsi
### BEGIN INIT INFO
# Provides: yrolxmobsi
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: yrolxmobsi
### END INIT INFO
case $1 in
start)
/usr/bin/yrolxmobsi
;;
stop)
;;
*)
/usr/bin/yrolxmobsi
;;
esac
wobei der name yrolxmobsi sich sofort ändert, soblad man das script löscht. Legt sich einfach unter ähnlich merkwürdigem Namen wieder an.