-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginen und Kollegen,

in einem aktuellen Vorfall wurden Linux Systeme in verschiedenen 
Netzwerken kompromittiert und die Angreifer installierten ein Kernel 
Rootkit u.a. zum Verstecken der Prozesse der Angreifer. Es wurden die 
folgenden Dateien vorgefunden:

   .p2rc         Eine Art Init-Skript mit Alias-Definitionen u.a. zum
                 kopieren von Dateien mit fremden SSH-Schluesseln
   .phalanx2     Ein Teil des Rootkits
   .sniff        Ein Logfile der Tastatureingaben
   sshgrab.py    Ein Skript zum Sammeln der .ssh-Verzeichnisse und
                 Shell Histories aller Benutzer sofern lesbar

Es sind aeltere Versionen eines Linux Kernel Rootkits Phalanx im Netz
zu finden. Bei der Datei .phalanx2 scheint es sich um eine neuere
Version dieses Rootkits zu handeln.

Die Einbrueche fanden ueber gestohlene SSH-Schluessel statt und wir 
vermuten, dass auf diese Weise in weitere Systeme in anderen Netzwerken 
eingebrochen wurde.

Anzeichen dafuer, dass dieses Rootkit in der gleichen Konfiguration
auf Ihrem System installiert wurde:

o Das Verzeichnis /etc/khubd.p2/ ist nicht per 'ls /etc' sichtbar
   aber kann betreten werden.

o In /dev/shm/ liegen noch Dateien der Angreifer.

o Wenn Sie als Benutzer z.B. in /tmp ein Verzeichnis mit dem Namen
   'khubd.p2' anlegen, so wird dieses nicht angezeigt, aber es kann
   ebenso betreten werden.

Die Namen und Pfade des Rootkits koennen von den Angreifern allerdings
konfiguriert werden, so dass obige Tests fehlschlagen. Allgemeine
Anzeichen dafuer, dass dieses Rootkit installiert wurde:

o Es wurde ein Prozess mit der ID <PID> versteckt, so dass er nicht
   durch 'ps' oder durch 'ls /proc' angezeigt wird. Der Prozess nimmt
   allerdings noch Signale entgegen und das Verzeichnis '/proc/<PID'
   kann betreten werden.

   Unter dieser Mail finden Sie ein Skript, das allen moeglichen
   Prozess-IDs ein Signal schickt, um eine Liste der tatsaechlich
   laufenden Prozesse zu erzeugen. Fuer jede der Prozess-IDs in der
   Liste wird dann ueberprueft, ob der Eintrag in /proc sichtbar ist.

   Wir uebernehmen keine Garantie fuer das Skript! Evtl. wird ein
   vorhandenes Rootkit nicht gefunden oder es werden faelschlich
   andere Prozesse ausgegeben.

o Wenn in einem Verzeichnis '/pfad' ein Unterverzeichnis '/pfad/geheim'
   versteckt wurde, ist der Link Count '/pfad' zu hoch. Ein Beispiel:

     user@linux:/tmp$ ls -al | grep "^d"
     drwxrwxrwt  7 root root 296 2008-08-01 15:05 .
     drwxr-xr-x 32 root root 864 2007-12-23 12:58 ..
     drwxrwxrwt  2 root root  72 2008-07-08 08:23 .font-unix
     drwx------  2 user user  80 2008-07-25 23:16 ssh-eToaww5944
     drwx------  2 user user  80 2008-07-08 08:24 ssh-wMQEEV1371
     drwxrwxrwt  2 root root  72 2008-07-08 08:23 .X11-unix
     user@linux:/tmp$

   Da fuer dieses Verzeichnis 6 Verweise in Form von Verzeichniseintraegen
   existieren, sollte der Link Count auch 6 sein und nicht 7.

Wir wuerden uns ueber Rueckmeldung an <cert@dfn-cert.de> freuen, wenn
Sie das Rootkit auf Ihrem System finden sollten.

Mit freundlichen Gruessen,
    Andreas Bunten, DFN-CERT


#!/bin/bash
# Das Skript testet, ob es Prozesse im System gibt, die ein Signal annehmen,
# aber die nicht in /proc aufgelistet werden.
for PID in `seq 1 65535`; do
     if kill -0 ${PID} 2>/dev/null
     then
         if ls /proc/*/task/*/cmdline | grep "task/${PID}/cmdline" >/dev/null
         then
             true
         else
             CMD=`cat /proc/${PID}/cmdline`
             echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
         fi
     fi
done

- -- 
Andreas Bunten (IRT), +49 40 808077-555

[1] /advisories/262/26258.txt