Suse: SuSE 10.0 OSS - System durch infizerte Website korrumpiert?

hat nix mit dem Konqueror zu tun, sonder damit, das die Seite, die du aufrufen wolltest gehackt wurde, informier den Webmaster der Seite

Hallo,

Bisher dachte ich eigentlich, daß Linux gegen derartige Fälle "immun" ist...

wie Linuxtux schon sagt, die Seite wurde gehackt. Du hast nichts zu befürchten. Mittlerweile erscheint der Hinweis nicht mehr, sondern nur ein grosses weisses Feld, mit Konqueror und Firefox.

Gegen solche Hacks ist auch Linux nicht immun. Wenn der Webmaster schlampig mit den Sicherheitsfeatures umgeht, um es Angreifern leicht zu machen, seine Logdateien nicht auswertet, kein Introusion Dedection System benutzt ( Snort ), die Firewall schlecht konfiguriert, Pings von aussen erlaubt ( Firewallregel ) u.s.w. passiert sowas auch hier.

Für Otto Normaluser gilt: Immer nur als normaler Benutzer seinen Rechner benutzen, niemals als Root und sichere Passwörter verwenden. Dann kann auch nichts passieren. Perfekt wird es als Desktopanwender, wenn man dann die Pakete checkrootkit und rkhunter installiert und gelegentlich seinen Rechner damit scannt.
Gegen Rootkits ist kein System immun. Um ein Rootkit aber installieren zu können braucht der Angreifer Rootzugang. Und das kann er nur erreichen wenn der Anwender gegen die erwähnten Regeln der Sicherheit verstösst. Gefahr für sein eigenes System in der Regel gering.
Wenn Du mehr über Rootkits erfahren möchtest klicke hier:

http://de.wikipedia.org/wiki/Rootkit

Have Fun

Erst einmal herzlichen Dank für Eure Hilfe. Ich dachte schon, die Meldungen beim Aufruf der Website beträfen meinen PC - dabei war die gehackte Seite das "Opfer". Meine Bedenken wurden zusätzlich dadurch verstärkt, daß (zufällig?) auch der Cookie-Manager des Konqueror nicht mehr funktionierte.

Unmittelbar nach der Entdeckung des Angriffs habe ich den Webmaster per eMail informiert. Heute (seit ca. 11:00 Uhr) ist die Seite wieder restauriert.

Ich habe rkhunter installiert und als root laufen lassen (rkhunter --checkall). Hier das Ergebnis (auszugsweise):

...
* Filesystem checks
   Checking /dev for suspicious files...                      [ OK ]
   Scanning for hidden files...                               [ Warning! ]
---------------
 /dev/.udevdb /usr/.Trash-0 /etc/.pwd.lock
---------------
Please inspect:  /usr/.Trash-0 (directory)
...
* Application version scan
   - GnuPG 1.4.2                                              [ Vulnerable ]
   - OpenSSL 0.9.7g                                           [ Vulnerable ]
   - Procmail MTA 3.22                                        [ OK ]
   - OpenSSH 4.1p1                                            [ OK ]
...
* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login... Watch out Root login possible. Possible risk!
    info:
    Hint: See logfile for more information about this issue
   Checking for allowed protocols...                          [ Warning (SSH v1 allowed) ]
...
---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 2

Scanning took 433 seconds

-----------------------------------------------------------------------

Wie kann ich die "Vulnerabilities" bereinigen?

Hallo,

Fehler 1 ssh1 allowed beseitigen:

mit Rootrechten die Datei /etc/ssh/sshd editieren.

Am Anfang steht eine auskommentierte Zeile

# Protokoll 2,1

ändern in

Protokoll 2

und speichern. Dann in der Konsole den ssh Daemon neu starten.
rcsshd restart ( mit Rootrechten )

Das SSH 1 Protokoll ist relativ leicht zu knacken, drum sollte man es abschalten. SSH 1 wird mit aktuellen Clients nicht mehr gebraucht.

Fehler 2

sehen dass die Rkhunter Datenbank aktuell ist.

In einer Konsole mit Rootrechten updaten per:

rkunter --update  ENTER

yast nach neuen Versionen der bemängelten Pakete fragen ( updaten )

Der Rkhunter ist zwar gut, bringt aber auch mal Fehlermeldungen wie diese Vulnerable. Um sicherzugehen, dass da alles im grünen Bereich ist, mit checkrootkit gegenprüfen ( Paket chkrootkit ).

chkrootkit ENTER ( Rootkonsole )

Have Fun

Hallo,

ach ja, wenn am Ende des Prüflaufs von checkrootkit Warnmeldungen ausgegeben werden wie:

The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         3766 tty7   /usr/bin/Xorg -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-R8XMyj
! root         3887 tty6   /sbin/mingetty tty6
! root        14697 pts/3  /usr/bin/sudo -u root /opt/kde3/bin/kdesu_stub -
! root        14725 pts/4  /opt/kde3/bin/kdesu_stub -
chkutmp: nothing deleted

ist das Okay, wenn KDE läuft.

Have Fun

Hallo Dr. SuSE,
danke für Deine Hilfe.

Ich habe als root die Datei /etc/ssh/sshd editiert, die Datei gespeichert und anschließend rcsshd restart ausgeführt; ebenfalls rkhunter --update

Danach habe ich ein Online-Update durchgeführt. Ein erneutes rkhunter --checkall erbrachte auszugsweise folgendes Resultat:

* Application version scan
   - GnuPG 1.4.2                                              [ Vulnerable ]
   - OpenSSL 0.9.7g                                           [ Vulnerable ]
   - Procmail MTA 3.22                                        [ OK ]
   - OpenSSH 4.1p1                                            [ OK ]



Security advisories
* Check: Groups and Accounts
   Searching for /etc/passwd...                               [ Found ]
   Checking users with UID '0' (root)...                      [ OK ]

* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login... Watch out Root login possible. Possible risk!
    info:
    Hint: See logfile for more information about this issue
   Checking for allowed protocols...                          [ OK (Only SSH2 allowed) ]

---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 2

Scanning took 854 seconds

-----------------------------------------------------------------------

Eine Gegenprüfung mit chkrootkit ergab, daß nichts gefunden wurde.

Ist das Problem damit erledigt? Warum sind immer noch 2 Vulnerabilities vorhanden (oder ist das schlicht falscher Alarm)?

 

Hallo,

eher Kategorie unkritischer Alarm. Meldet Rkhunter schon geraume Zeit.
Hat damit zwar nicht ganz unrecht, ist aber auch nicht als kritisch einzustufen. Die Alarmglocken müssen ganz laut schrillen, wenn er beim Dateicheck was findet.

Have Fun 

Danke für Deine Antwort Dr. SuSE - dann bin ich ja beruhigt!

Gruß Hermann

Hallo,

dann noch viel Spass.

Gruss

Dr. SuSE