Attack FTP auf Port 666, was ist das ???

Hi,

gestern Abend musste ich feststellen das doch so ein böser Bube meinen T-Online Zugang nutzt und ich nicht mehr online gehen konnte :-(((
Nun fragte ich mich wie kam der wohl an meine Daten.
Mein Linux Router war ja eigentlich durch eine Firewall abgeschirmt.

Da fand ich bei einem Scan auf Port 666 einen Dienst der sich als ATTACK FTP outete.
In /etc/services stand hinter Port 666 folgendes

mdqs, Doom Id Software

nun meine Frage - Kennt jemand diesen Dienst???
Ich glaube nämlich das dies die Tür nach außen war.

Gruß Ralf

 

Hi,

In der Tat erlangt der Angreifer über diesen Trojaner root Rechte.
Hab mitlerweile schon alle Passwörter geändert und bei T-Online den Account sperren lassen.
Ich werd auch mal schauen ob meine Windows-Box nichts abbekommen hat, hoffe nicht (schwitz).

Hab außerdem grad mal geschaut was es so im Netz gibt.
Bin auf einen Artikel gestoßen der mich von der Idee des Entfernens abgebracht hat.
Werde alles neu aufsetzen und den Rechner erst wieder ans Netz gehen lassen wenn ich mir einigermaßen sicher bin das ich das Risiko so klein wie möglich halte.

Seit 5 Jahren bin ich Online und hab bisher NIE irgendwelche Probleme gehabt. Am Anfang ohne Firewall, Virenscanner, etc. ausgekommen und nu hats mich erwischt :-(

Ach ja, für interessierte der Link zu dem Artikel how to armor linux

http://www.security-gui.de/readhowto.php3?fn=armoring_linux.html

Ich denke ein guter Ausgangspunkt.

Gruß Ralf

 

Hallo,

Ich wollte nur darauf hinweisen das wenn der Cracker, wenn er die datei /etc/services editieren kann eigentlich root rechte brauchen sollte. Dass heisst er kann alles mit dem system machen Kernel, sh, ps, top, find usw. usw austauschen.
Obwohl das mit dem trojaner, wenns denn stimmt, sehr stümperhaft ist und eher einem skript-kiddy zuzutrauen währe.

Meine empfehlung ist wenn möglich das kompromitierte system zu sichern, und ein komplett neues system aufsetzten.
Da du ja irgendwo einen "Fehler" gemacht hast würde ich das neue system min 3 Fach absichern.
(Iptables, Tripwire, so wenig wie möglich installiert und gestartet, zugriffsrechte des dateisystems so hoch wie möglich setzen und system immer aktuell halten, bei server-diensten unbedingt zugriffsrechte einschränken [lpd] usw. usw.

 

Run\' and the righthand panel will change. Look for an item titled:
Reminder="wscan.exe /s" and delete it (Right click and choose delete)
Close regedit and reboot your computer to remove the trojan from memory.
Now you can use explorer to go to C:\windows\system\ and delete the file wscan.exe.

Jetzt brauch ich nur noch eine Deinstall-Anleitung für Linux.
Mal sehen ob ich das Teil eliminieren kann.

Dem Kerl würd ich ja gern den Hals umdrehen, so ne Arbeit.

Ralf