Forensik

Der_Frank_176821 · 8. Februar 2004 um 23:35

Hallo,

ein gateway hat irgendwann waehrend des Wochenendes das password von root geaendert. Da sowohl mein Gedaechtnis und die logfiles aber behaupten, dass es das nicht getan hat, bin ich erstmal von einer Kompromitierung des Rechners ausgegangen. Nachdem ich etwas im laufenden System rumgestoebert hab, aber nichts verdaechtiges fand, hab ich die Kiste hart abgeschaltet, image der Festplatte gezogen und neu installiert.

Wie nun weiter? Leider hab ich es versaeumt, signaturen der Dateien anzulegen. Ich wuerde jetzt trotzdem ganz gern etwas Forensik an den images betreiben. Weiss jemand, wie man sowas korrekt anstellt? Ich wuerde anfangen, Kopien der images zu mounten und auf verdaechtige Inhalte untersuchen. Aenderungsdaten von kritischen Dateien, bestimmte Programme (ps, top, ?) auf ungewoehnliche strings untersuchen… was noch? Gibt es eine gute Seite, wo erklaert wird, wie man am guenstigsten vorgeht? Hat jemand ein paar Tips? Hab ich gar schon etwas falsch gemacht?

Danke im Voraus,
Gruss vom Frank.
P. S.: IMHO ist waere das Aendern des root-pw wohl das Daemlichste, was ein Eindringling machen koennte. Daher hab ich die Hoffnung, dass ich lediglich einen Fehler im Dateisystem oder etwas aehnlich banales jage. Aber man weiss ja nie…

Malte_4b1c84 · 8. Februar 2004 um 23:50

Hi,

Wie nun weiter? Leider hab ich es versaeumt, signaturen der
Dateien anzulegen. Ich wuerde jetzt trotzdem ganz gern etwas
Forensik an den images betreiben. Weiss jemand, wie man sowas
korrekt anstellt? Ich wuerde anfangen, Kopien der images zu
mounten und auf verdaechtige Inhalte untersuchen.
Aenderungsdaten von kritischen Dateien, bestimmte Programme
(ps, top, ?) auf ungewoehnliche strings untersuchen… was
noch? Gibt es eine gute Seite, wo erklaert wird, wie man am
guenstigsten vorgeht? Hat jemand ein paar Tips? Hab ich gar
schon etwas falsch gemacht?

http://www.chkrootkit.org/
http://www.fish.com/cops/overview.html
http://ws.obit.nl/hackbot/manpage.html
http://www.atstake.com/research/tools/forensic/

Vielleicht ist ja was dabei.

Gruß,

Malte.

Sebastian · 8. Februar 2004 um 23:56

Hallo,

ein gateway hat irgendwann waehrend des Wochenendes das
password von root geaendert.

Ein Gateway. Hmm…

Da sowohl mein Gedaechtnis und
die logfiles aber behaupten, dass es das nicht getan hat, bin
ich erstmal von einer Kompromitierung des Rechners
ausgegangen.

Jupp.

Nachdem ich etwas im laufenden System
rumgestoebert hab, aber nichts verdaechtiges fand, hab ich die
Kiste hart abgeschaltet, image der Festplatte gezogen und neu
installiert.

Gute Idee.

Wie nun weiter? Leider hab ich es versaeumt, signaturen der
Dateien anzulegen. Ich wuerde jetzt trotzdem ganz gern etwas
Forensik an den images betreiben. Weiss jemand, wie man sowas
korrekt anstellt? Ich wuerde anfangen, Kopien der images zu
mounten und auf verdaechtige Inhalte untersuchen.

Wenn Dzu neu installiert hast, solltest Du die Binaries aus der Neuinstallation mit denen aus der kompromittierten Kiste vergleichen können als MD5-Hash oder so.

Aenderungsdaten von kritischen Dateien, bestimmte Programme
(ps, top, ?)

Open BSD? Hast Du einen weiteren Remote-Exploit gefuden? Oder hast Du kein „default install“?

auf ungewoehnliche strings untersuchen… was
noch? Gibt es eine gute Seite, wo erklaert wird, wie man am
guenstigsten vorgeht?

http://www.chkrootkit.org/ wäre ein Ausgangspunkt. Ansonsten Standards: Portscan auf den Rechner laufen lassen, Log-Einträge. Eventuell könntest Du auch den Rechner unter Beobachtung setzen und sehen, was dort unf von dort aus passiert.

Hat jemand ein paar Tips? Hab ich gar
schon etwas falsch gemacht?

Bis auf die Tatsache, daß Du keine Signaturen hattest: Nein.

P. S.: IMHO ist waere das Aendern des root-pw wohl das
Daemlichste, was ein Eindringling machen koennte.

Naja, Eindringlinge sind mitunter sehr dämlich.

Sebastian

Schorsch_de7743 · 9. Februar 2004 um 00:07

noch? Gibt es eine gute Seite, wo erklaert wird, wie man am
guenstigsten vorgeht? Hat jemand ein paar Tips? Hab ich gar
schon etwas falsch gemacht?

Interessant ist vielleicht der Abschlussbericht zum klecker-Hack Nov./Dez. 2003 http://lists.debian.org/debian-news-german/debian-ne…

Wenn du etwas falsch gemacht hast, dann vielleicht, dass du das System nach Neuinstallation, aber ohne zu wissen, wodurch es kompromittiert wurde, wieder ans Netz genommen hast.

Ich denke, für eine forensische Analyse solltest du erst einmal exakt das Umfeld beschreiben, in dem der gehackte? Rechner steht. Welche Zugriffswege über welche Interfaces, welche Protokolldaten werden wo mitgeschrieben, welche User haben welche Zugriffrechte, welche Dienste und Software laufen auf dem System, welche Änderungen sind wann von wem vorgenommen worden…

Dann solltest du bereits einen recht guten Überblick darüber haben, von wo ein Angriff hat kommen können, und wo dieser Angriff evtl. Spuren hinterlassen hat. Steht theoretisch alles in der Dokumentation, aber sowas neigt ja gerne dazu, zu veralten.

Gruss,
Schorsch

Der_Frank_176821 · 9. Februar 2004 um 11:35

Morgen,

Interessant ist vielleicht der Abschlussbericht zum
klecker-Hack Nov./Dez. 2003
http://lists.debian.org/debian-news-german/debian-ne…

An alle danke ich Dir fuer die Tips und interessanten links.

Wenn du etwas falsch gemacht hast, dann vielleicht, dass du
das System nach Neuinstallation, aber ohne zu wissen, wodurch
es kompromittiert wurde, wieder ans Netz genommen hast.

Es ist noch nicht am Netz. Was ist, wenn ich nicht rauskrieg, wie (oder ob) es uebernommen wurde? Duerfte ich die Kiste nie wieder online stellen? Sollte ich eine zweiseitige Anzeige in eine grosse Tageszeitung stellen, dass saemtliche Debian stable ungeeignet fuer oeffentliche Netze sind?

Ich denke, für eine forensische Analyse solltest du erst
einmal exakt das Umfeld beschreiben, in dem der gehackte?
Rechner steht.

 ,-------.
0/0---\* Kiste \*---trusted net
 `-------´

Welche Zugriffswege über welche Interfaces,

SSH an allen interfaces, lokaler Zugriff ist ausgeschlossen.

welche Protokolldaten werden wo mitgeschrieben,

Alles, was syslog hergibt, leider nur lokal nach /var/log/*.

welche User haben welche Zugriffrechte,

Vier ‚Standard‘-Nutzer, wie sie aus useradd rauspurzeln, also schreibend nur Zugriff auf /home/$USER und /tmp. /var/log/auth.log* meint, dass sich zwei davon noch nie am System angemeldet haben. Von den verbleibenden bin einer ich. Alle stufe ich als vertrauenswuerdig ein.

welche Dienste und Software laufen auf dem System,

Es ist ein router. Auf sowas mach ich fuer gewoehnlich nur SSH. Viel mehr bringt Debian stable (AFAIK) in der Grundinstallation ja nicht mit.

welche Änderungen sind wann von wem vorgenommen worden…

Schwerwiegendste Aenderung duerfte wohl die Erstinstallation meinerseits vor ca. 7 Tagen gewesen sein…

Dann solltest du bereits einen recht guten Überblick darüber
haben, von wo ein Angriff hat kommen können, und wo dieser
Angriff evtl. Spuren hinterlassen hat.

Aeh… nein, ich bin weiter ratlos. Jemand, der einen remote exploit fuer den kernel (2.4.19 aus den gentoo-src) oder OpenSSH (aeh… naja… wide openssh?) hinbekommt, ist anschliessend nicht so daemlich, die wohl am schnellsten auffallende Veraenderung am System vorzunehmen.

Steht theoretisch alles in der Dokumentation, aber sowas neigt
ja gerne dazu, zu veralten.

Ja, stimmt schon. Die wollte ich diese Woche anfangen. Wirklich, ehrlich. Bestimmt.

Raetselnd,
Gruss vom Frank.

Sebastian · 9. Februar 2004 um 11:13

http://www.chkrootkit.org/ wäre ein Ausgangspunkt.

Frisch aus Heikos unerschöpflicher Linkliste: http://groups.google.de/groups?ie=UTF-8&oe=UTF-8&as_…

Schorsch_de7743 · 9. Februar 2004 um 14:33

Es ist noch nicht am Netz. Was ist, wenn ich nicht rauskrieg,
wie (oder ob) es uebernommen wurde? Duerfte ich die Kiste nie
wieder online stellen? Sollte ich eine zweiseitige Anzeige in
eine grosse Tageszeitung stellen, dass saemtliche Debian
stable ungeeignet fuer oeffentliche Netze sind?

Klar darfst du sie wieder online stellen. Aber dann solltest du dir vorher überlegen, ob du Möglichkeiten hast, zukünftige Angriffe wenn schon nicht zu verhindern, so doch wenigstens über einen dritten Server im lokalen Netz mitprotokollieren zu können. Z. B. indem du den Rechner snort_est_.

Ich denke, für eine forensische Analyse solltest du erst
einmal exakt das Umfeld beschreiben, in dem der gehackte?
Rechner steht.

,-------.
0/0—* Kiste *—trusted net
`-------´

Ich meinte jetzt eher, dass du das Umfeld für dich selber beschreibst. Aber es schadet natürlich nix, das auch hier öffentlich zu tun. Leider habe ich momentan nicht die Zeit, mich damit tiefer zu befassen, deshalb gehe ich nur auf folgenden Punkt ein:

Schwerwiegendste Aenderung duerfte wohl die Erstinstallation
meinerseits vor ca. 7 Tagen gewesen sein…

Hast du nach der Installation alle verfügbaren Patches gezogen? Wenn nicht, dürften, abhängig vom Alter der Sourcen, einige bekannte Exploits noch offen gewesen sein. Hast du geprüft, ob auch wirklich nur die von dir gewünschten Ports offen bzw. Dienste installiert/gestartet waren? Hast du den Standardkernel verwendet, oder hast du ihn auf deine Bedürfnisse zurechtgeschnitten, kompiliert und installiert (Blöde Fragestellung, aber mir ist es schon passiert, dass ich einen Kernel mit allen aktuellen Patches kompiliert habe, und anschliessend vergessen, die alte vmlinuz zu überschreiben. Mit allerlei lustigen Effekten)?

Gruss,
Schorsch