Zum Inhalt springen

RootKit auf einem RedHat System entfernen???


Empfohlene Beiträge

Geschrieben

Hallo,

ich habe da ein kleines Problem mit unserem Webserver. Wir hatten heut Nacht einen Stromausfall und da musste ich den Server Neustarten. Als das Dingen hoch kam kam auf einmal ein Text.

Hello, I have two news for you. A bad one and a bad one.....blabla.... 

I am an installed RootKit blabla...

Auf jeden Fall komme ich nicht mehr an den Login Punkt. SSH Dienst wird auch nicht gestartet. Weiß jemand Rat?? Ausser das DIng neu zu installieren? Denn das würde sich extrem aufwendig gestalten, da da mehrere knifflige Sachen drauf sind die ich so wahrscheinlich nicht mehr einrichten kann weil ich den Server nicht aufgesetzt habe.

CHKROOTKIT würde ich gerne ausprobieren geht aber nicht da ich mich nicht auf die MAschine einloggen kann.

Kennt einer von euch vielleicht das Rootkit und weis was zu tun ist.

Danke schonmal fürs lesen.

gruß

Geschrieben

Dann würde ich sagen zunächst mal das System von CD starten und anschauen was auf der Platte an verdäcthigen Programmen ist. Falls du dich wegen einem geänderten Password nicht einloggen kannst setz das dann auch direkt neu damit du zumindest wieder an den Rechner dran kommst um weitere Massnahmen zu ergreifen.

Geschrieben

Hallo,

also ich habs hinbekommen. Zumindest mal Übergangsweise.

Das RootKit war ein KernelrootKit mit dem Namen S.u.c.kIT Version 1.3a.

Es schreibt die Datei /sbin/init um. Zum Glück hatte ich ne Kopie ;). Also Recover Mode von der Linux Installations CD und dann erst mal das RK deinstallieren, danach init umbenennen (wichtig mit mv) und dann alte init reinnehmen.

Genaue Anleitung:

Anleitung

Sobald das Dingen wieder läuft das Root Passwort mal ändern.

Leider ist dies jedoch nur eine Übergangslösung, da man nie genau weiß wo ein Hacker oder ähnliches Überall im System gewerkelt hat.

-> Deshalb werde ich wohl wirklich um eine Deinstallation nicht herumkommen aber dies kann ich trotzdem mal beruhigt anfangen weil ich ja an alle Daten auf dem alten Server wieder rankomme.:D:D

Alsdann danke mal an alle

gruß Numelle

Geschrieben
Leider ist dies jedoch nur eine Übergangslösung, da man nie genau weiß wo ein Hacker oder ähnliches Überall im System gewerkelt hat.

Ja, weißt du denn, wie er überhaupt reingekommen ist? Nicht, dass du den Server mit genau denselben paketen wieder aufsetzt und er durch die selbe Lücke ruckzuck wieder drin ist?

Zwecks generellen Virenschutz/Rootkit-Schutz (im Sinne von Entfernung) hab ich mal nen Extrathread aufgemacht http://forum.fachinformatiker.de/linux-unix/105483-viren-rootkits-linux-entfernen.html#post971358

Ciao

Geschrieben

Ein kompromitiertes System ist in keinster Weise vertrauenswürdig und eine erneute Inbetriebnahme absolut nicht zu empfehlen, sondern schon fast grob fahrlässig. Mit dem Ändern des root-Passwortes und der Deinstallation des RKs ist es nicht getan. Du solltest es, wenn irgendwie möglich, garnicht erst wieder ins "öffentliche" Netz hängen! Aber das weißt Du sicherlich selbst...

Geschrieben

Ja.

Deshalb ist der Server auch schon nicht mehr im Netz und der neue schon fertig eingerichtet.

Ich weiß inzwischen auch wie er draufgekommen ist. Anscheinend hat er es tatsächlich geschafft irgendiwe dsas Root Passwort zu bruten.

Egal den Server gibts nimmer und root ist von aussen au nimmer zugänglich :-D

Geschrieben

Du wirst lachen:D:D:D

Genau dasselbe hab ich auch gedacht. (Die server wurden leider vor meiner Zeit hier eingerichtet)

Aber auf dem Neuen ist der Root Login für SSH gesperrt. Telnet is ja sowieso deaktiviert.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...