Debian eth Rootkit

[gerekli_isler]

Arkadaşlar Selam,

Sistem debian eth ve yeni farkettim sistemde rootkit var ve sistem uzakta
yani yanımda olsa çoktan yeniden kurmuştum. Internette bir tarama yaptım net bir çözüm bulamadım.
Sizlerin fikrini almak istedim.

Dün sistemi kontrol ettiğimde "rdp -h xxx.xxx.xxx.xxx" şeklinde bazı IPlere remote desktop
atılmaya çalıştığını gördüm. Sistemi incelemeye aldım. Processleri incelediğim "???" şeklinde
2 adet process var. "rkhunter -c" herhangi bir rootkit bulamadı.

Ama /usr/local/sbin altında


total 3884
drwxrwsr-x 2 root staff 4096 Feb 8 12:31 .
drwxrwsr-x 10 root staff 4096 Feb 28 2008 ..
lrwxrwxrwx 1 root staff 14 Feb 8 11:57 sshd -> /usr/sbin/sshd
-rwxr-xr-x 1 root staff 1607707 Oct 25 09:41 sshd-check-conf
-rwxr-xr-x 1 root staff 2348782 Oct 25 09:41 sshd2

/usr/local/bin altında

drwxrwsr-x 10 root staff 4096 Feb 28 2008 ..
lrwxrwxrwx 1 root staff 4 Oct 25 09:41 scp -> scp2
-rwxr-xr-x 1 root staff 841978 Oct 25 09:41 scp2
lrwxrwxrwx 1 root staff 5 Oct 25 09:41 sftp -> sftp2
lrwxrwxrwx 1 root staff 12 Oct 25 09:41 sftp-server -> sftp-server2
-rwxr-xr-x 1 root staff 321855 Oct 25 09:41 sftp-server2
-rwxr-xr-x 1 root staff 936631 Oct 25 09:41 sftp2
lrwxrwxrwx 1 root staff 12 Feb 8 11:48 ssh -> /usr/bin/ssh
lrwxrwxrwx 1 root staff 8 Oct 25 09:41 ssh-add -> ssh-add2
-rwxr-xr-x 1 root staff 1692082 Oct 25 09:41 ssh-add2
lrwxrwxrwx 1 root staff 10 Oct 25 09:41 ssh-agent -> ssh-agent2
-rwxr-xr-x 1 root staff 1641446 Oct 25 09:41 ssh-agent2
lrwxrwxrwx 1 root staff 12 Oct 25 09:41 ssh-askpass -> ssh-askpass2
-rwxr-xr-x 1 root staff 2583 Oct 25 09:41 ssh-chrootmgr
-rwxr-xr-x 1 root staff 16315 Oct 25 09:41 ssh-dummy-shell
lrwxrwxrwx 1 root staff 11 Oct 25 09:41 ssh-keygen -> ssh-keygen2
-rwxr-xr-x 1 root staff 1626445 Oct 25 09:41 ssh-keygen2
lrwxrwxrwx 1 root staff 10 Oct 25 09:41 ssh-probe -> ssh-probe2
-rwxr-xr-x 1 root staff 347892 Oct 25 09:41 ssh-probe2
-rwxr-xr-x 1 root staff 7563 Oct 25 09:41 ssh-pubkeymgr
lrwxrwxrwx 1 root staff 11 Oct 25 09:41 ssh-signer -> ssh-signer2
-rws--x--x 1 root staff 1640483 Oct 25 09:41 ssh-signer2
-rwxr-xr-x 1 root staff 2645728 Oct 25 09:41 ssh2


Kısacası linkler verilmiş ve ssh da yeniden derlenmiş görünüyor.
Büyük olasılıkla library de değişiklik yapılmıştır.


3066 ? S 0:00 /usr/sbin/apache2 -k start
3067 ? S 0:00 /usr/sbin/apache2 -k start
24321 ? S 0:00 ???

??? şeklinde proses var. ssh stop edilemiyor. Çünkü

which sshd

dediğimde /usr/sbin/sshd

yerine

/usr/local/sbin/sshd geliyor. Yani ssh yeniden derlenmiş. O yüzden ssh da "PermitRootLogin no" yapamıyorum.

aynı zamanda /etc/hosts.allow ve hosts.deny ye girdiğim sshd de IP blokları iş yapmıyor.

Zaman kazanmak adına buraya sadece kendi ip lerime izin vermeyi denedim ama bir değişiklik olmadı.

netstat -nlp

tcp6 0 0 :::80 :::* LISTEN 3009/apache2
tcp6 0 0 :::22 :::* LISTEN 2949/

yani 22 port ssh daemon dan çalışmıyor. ( Yani orjinalden )

Sistemi uzaktan etch den testing e update etsem

( apt-get upgrade -f -y --force-yes gibi ...)

hem kernel değişeceğinden sizce bir yararı olurmu. Bu tür bir update de lib komple değişecekmidir.
( libc6 kesin güncellenmiş olacaktır. Dolayısıylada sistem mi? )

Daha makul bir görüşü olan arkadaşlardan cevap bekliyorum.


Güvenli Linuxlu Günler...