RootKit auf einem RedHat System entfernen???

[Numelle]

Hallo,

ich habe da ein kleines Problem mit unserem Webserver. Wir hatten heut Nacht einen Stromausfall und da musste ich den Server Neustarten. Als das Dingen hoch kam kam auf einmal ein Text.

Hello, I have two news for you. A bad one and a bad one.....blabla.... 

I am an installed RootKit blabla...

Auf jeden Fall komme ich nicht mehr an den Login Punkt. SSH Dienst wird auch nicht gestartet. Weiß jemand Rat?? Ausser das DIng neu zu installieren? Denn das würde sich extrem aufwendig gestalten, da da mehrere knifflige Sachen drauf sind die ich so wahrscheinlich nicht mehr einrichten kann weil ich den Server nicht aufgesetzt habe.

CHKROOTKIT würde ich gerne ausprobieren geht aber nicht da ich mich nicht auf die MAschine einloggen kann.

Kennt einer von euch vielleicht das Rootkit und weis was zu tun ist.

Danke schonmal fürs lesen.

gruß

[Carnie]

Dann würde ich sagen zunächst mal das System von CD starten und anschauen was auf der Platte an verdäcthigen Programmen ist. Falls du dich wegen einem geänderten Password nicht einloggen kannst setz das dann auch direkt neu damit du zumindest wieder an den Rechner dran kommst um weitere Massnahmen zu ergreifen.

[Numelle]

Danke ich werd mich mal dran versuchen.

Ich melde mich sobald ich näheres weis.

THX

[carstenj]

Hi,

letzten Endes wirst du gar nicht drum herumkommen, das System neu zu installieren, da du nicht weisst, was noch verändert wurde.

[Numelle]

Hallo,

also ich habs hinbekommen. Zumindest mal Übergangsweise.

Das RootKit war ein KernelrootKit mit dem Namen S.u.c.kIT Version 1.3a.

Es schreibt die Datei /sbin/init um. Zum Glück hatte ich ne Kopie . Also Recover Mode von der Linux Installations CD und dann erst mal das RK deinstallieren, danach init umbenennen (wichtig mit mv) und dann alte init reinnehmen.

Genaue Anleitung:

Anleitung

Sobald das Dingen wieder läuft das Root Passwort mal ändern.

Leider ist dies jedoch nur eine Übergangslösung, da man nie genau weiß wo ein Hacker oder ähnliches Überall im System gewerkelt hat.

-> Deshalb werde ich wohl wirklich um eine Deinstallation nicht herumkommen aber dies kann ich trotzdem mal beruhigt anfangen weil ich ja an alle Daten auf dem alten Server wieder rankomme.:D

Alsdann danke mal an alle

gruß Numelle

[jens.ebinger]

Leider ist dies jedoch nur eine Übergangslösung, da man nie genau weiß wo ein Hacker oder ähnliches Überall im System gewerkelt hat.

Ja, weißt du denn, wie er überhaupt reingekommen ist? Nicht, dass du den Server mit genau denselben paketen wieder aufsetzt und er durch die selbe Lücke ruckzuck wieder drin ist?

Zwecks generellen Virenschutz/Rootkit-Schutz (im Sinne von Entfernung) hab ich mal nen Extrathread aufgemacht http://forum.fachinformatiker.de/linux-unix/105483-viren-rootkits-linux-entfernen.html#post971358

Ciao

[Schlaubi]

Ein kompromitiertes System ist in keinster Weise vertrauenswürdig und eine erneute Inbetriebnahme absolut nicht zu empfehlen, sondern schon fast grob fahrlässig. Mit dem Ändern des root-Passwortes und der Deinstallation des RKs ist es nicht getan. Du solltest es, wenn irgendwie möglich, garnicht erst wieder ins "öffentliche" Netz hängen! Aber das weißt Du sicherlich selbst...

[Numelle]

Ja.

Deshalb ist der Server auch schon nicht mehr im Netz und der neue schon fertig eingerichtet.

Ich weiß inzwischen auch wie er draufgekommen ist. Anscheinend hat er es tatsächlich geschafft irgendiwe dsas Root Passwort zu bruten.

Egal den Server gibts nimmer und root ist von aussen au nimmer zugänglich :-D

[Marco S.]

Warum lässt man einen direkten root-login zu?

Oder hat er zusätzlich noch nen User gehackt?

//EDIT: gut das du es jetzt geändert hast

[Numelle]

Du wirst lachen:D:D:D

Genau dasselbe hab ich auch gedacht. (Die server wurden leider vor meiner Zeit hier eingerichtet)

Aber auf dem Neuen ist der Root Login für SSH gesperrt. Telnet is ja sowieso deaktiviert.