[gelöst]Woran erkenne ich, ob mein Rechner "geknackt" ist?

[dietterle65]

Guten Morgen,

BS: Linux 2.6.31.12-0.2-desktop x86_64
Aktueller Benutzer: thomas@linux-0lf4
System: openSUSE 11.2 (x86_64)
KDE: 4.4.2 (KDE 4.4.2) "release 231"

mal so eine Frage:

Woran erkenne ich, ob mein Rechner "geknackt" ist?

gruß
amonalex

 

[Anonymous]

Hi,

gute Frage...
Ich würde stutzig werden, wenn ich ständig eine konstante Up- und Downloadrate habe, obwohl ich weiss, dass ich grade nix im Netz mache. Oder wenn in den Logs von z.B. rkhunter oder /var/log/messages irgendwas Auffälliges fehlt.
Oder ganz allgemein, wenn sich mein Rechner plötzlich seltsam verhält.

Hast du einen konkreten Verdacht?

 

[whois]

Sieh dir deine laufenden Prozesse mal an.

ps -aux

Ist da irgendwas dabei, was nicht zum Standard gehört?

Ausserdem mittels Knetstats oder Gkrellm deine Up/Downloads im Auge behalten

 

[stka]

Auch ein Programm wie "rkhunter" kann helfen. Nur muss das Programm schon installiert sein um wirklich gut alle Manipulationen zu erkennen. Zugriffe von außen kannst du gut mit "fail2ban" erkennen. Läuft bei mir auch.

 

[dietterle65]

ich stell die Ausgabe mal rein:

x
thomas@linux-0lf4:~> ps -aux
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html                                                                                                                                 
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND                                                                                                                                       
root         1  0.0  0.0   8072   588 ?        Ss   07:57   0:00 init [5]                                                                                                                                      
root         2  0.0  0.0      0     0 ?        S<   07:57   0:00 [kthreadd]                                                                                                                                    
root         3  0.0  0.0      0     0 ?        S<   07:57   0:00 [migration/0]                                                                                                                                 
root         4  0.0  0.0      0     0 ?        S<   07:57   0:02 [ksoftirqd/0]                                                                                                                                 
root         5  0.0  0.0      0     0 ?        S<   07:57   0:00 [watchdog/0]                                                                                                                                  
root         6  0.0  0.0      0     0 ?        S<   07:57   0:00 [migration/1]                                                                                                                                 
root         7  0.0  0.0      0     0 ?        S<   07:57   0:07 [ksoftirqd/1]                                                                                                                                 
root         8  0.0  0.0      0     0 ?        S<   07:57   0:00 [watchdog/1]                                                                                                                                  
root         9  0.0  0.0      0     0 ?        S<   07:57   0:00 [events/0]                                                                                                                                    
root        10  0.0  0.0      0     0 ?        S<   07:57   0:00 [events/1]                                                                                                                                    
root        11  0.0  0.0      0     0 ?        S<   07:57   0:00 [khelper]                                                                                                                                     
root        12  0.0  0.0      0     0 ?        S<   07:57   0:00 [netns]                                                                                                                                       
root        13  0.0  0.0      0     0 ?        S<   07:57   0:00 [async/mgr]                                                                                                                                   
root        14  0.0  0.0      0     0 ?        S<   07:57   0:00 [kintegrityd/0]                                                                                                                               
root        15  0.0  0.0      0     0 ?        S<   07:57   0:00 [kintegrityd/1]                                                                                                                               
root        16  0.0  0.0      0     0 ?        S<   07:57   0:00 [kblockd/0]                                                                                                                                   
root        17  0.0  0.0      0     0 ?        S<   07:57   0:00 [kblockd/1]                                                                                                                                   
root        18  0.0  0.0      0     0 ?        S<   07:57   0:00 [kacpid]                                                                                                                                      
root        19  0.0  0.0      0     0 ?        S<   07:57   0:00 [kacpi_notify]                                                                                                                                
root        20  0.0  0.0      0     0 ?        S<   07:57   0:00 [kacpi_hotplug]                                                                                                                               
root        21  0.0  0.0      0     0 ?        S<   07:57   0:00 [ata/0]                                                                                                                                       
root        22  0.0  0.0      0     0 ?        S<   07:57   0:00 [ata/1]
root        23  0.0  0.0      0     0 ?        S<   07:57   0:00 [ata_aux]
root        24  0.0  0.0      0     0 ?        S<   07:57   0:00 [ksuspend_usbd]
root        25  0.0  0.0      0     0 ?        S<   07:57   0:00 [khubd]
root        26  0.0  0.0      0     0 ?        S<   07:57   0:00 [kseriod]
root        27  0.0  0.0      0     0 ?        S<   07:57   0:01 [kondemand/0]
root        28  0.0  0.0      0     0 ?        S<   07:57   0:00 [kondemand/1]
root        29  0.0  0.0      0     0 ?        S    07:57   0:00 [khungtaskd]
root        30  0.0  0.0      0     0 ?        S    07:57   0:00 [pdflush]
root        31  0.0  0.0      0     0 ?        S    07:57   0:00 [pdflush]
root        32  0.0  0.0      0     0 ?        S<   07:57   0:00 [kswapd0]
root        33  0.0  0.0      0     0 ?        S<   07:57   0:00 [aio/0]
root        34  0.0  0.0      0     0 ?        S<   07:57   0:00 [aio/1]
root        40  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_0]
root        41  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_1]
root        42  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_2]
root        43  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_3]
root        44  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_4]
root        45  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_5]
root        59  0.0  0.0      0     0 ?        S<   07:57   0:00 [kpsmoused]
root        60  0.0  0.0      0     0 ?        S<   07:57   0:00 [usbhid_resumer]
root        89  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_6]
root        90  0.0  0.0      0     0 ?        S<   07:57   0:00 [scsi_eh_7]
root       300  0.0  0.0      0     0 ?        S<   07:57   0:00 [kjournald]
root       397  0.0  0.0  17112   516 ?        S<s  07:57   0:00 /sbin/udevd --daemon
root       463  0.0  0.0      0     0 ?        S<   07:57   0:00 [edac-poller]
root       632  0.0  0.0      0     0 ?        S<   07:57   0:00 [hd-audio0]
root       734  0.0  0.0      0     0 ?        S<   07:57   0:00 [kstriped]
root       869  0.0  0.0      0     0 ?        S<   07:57   0:00 [kjournald]
root       873  0.0  0.0  10628  1380 ?        Ss   07:57   0:05 /sbin/mount.ntfs-3g /dev/sda1 /windows/C -v -o rw,noexec,nosuid,nodev,users,gid=100,fmask=133,dmask=022,locale=de_DE.UTF-8
root      1281  0.0  0.0   3832   436 ?        Ss   07:57   0:00 /sbin/acpid
102       1294  0.0  0.0  21804  1388 ?        Ss   07:57   0:00 /bin/dbus-daemon --system
root      1368  0.0  0.0      0     0 ?        S<   07:57   0:00 [kconservative/0]
root      1371  0.0  0.0      0     0 ?        S<   07:57   0:00 [kconservative/1]
105       1377  0.0  0.0  38860  2020 ?        Ss   07:57   0:00 /usr/sbin/hald --daemon=yes
root      1401  0.0  0.0 118052  1400 ?        Ssl  07:57   0:00 /usr/sbin/console-kit-daemon
root      1402  0.0  0.0  19968   800 ?        S    07:57   0:00 hald-runner
root      1564  0.0  0.0  22092   820 ?        S    07:57   0:00 hald-addon-input: Listening on /dev/input/event1 /dev/input/event0 /dev/input/event5 /dev/input/event4 /dev/input/event14
root      1603  0.0  0.0  22100   716 ?        S    07:57   0:00 /usr/lib/hal/hald-addon-cpufreq
105       1606  0.0  0.0  25988   740 ?        S    07:57   0:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
root      1610  0.0  0.0  22092   808 ?        S    07:57   0:00 hald-addon-storage: polling /dev/sr0 (every 2 sec)
root      1611  0.0  0.0  22092   808 ?        S    07:57   0:01 hald-addon-storage: polling /dev/sr1 (every 2 sec)
root      1625  0.0  0.0  22092   800 ?        S    07:57   0:00 hald-addon-storage: no polling on /dev/fd0 because it is explicitly disabled
root      1841  0.0  0.0   8124   724 ?        S    07:57   0:00 /sbin/dhcpcd --netconfig -L -E -HHH -c /etc/sysconfig/network/scripts/dhcpcd-hook -t 0 -h linux-0lf4 eth0
root      1911  0.0  0.0  28532   492 ?        Ss   07:57   0:00 /usr/bin/kdm
root      1933  2.7  0.9 392264 26372 tty7     Ss+  07:57   3:59 /usr/bin/Xorg -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-wuElob
root      1975  0.0  0.0  62156  1096 ?        S    07:57   0:00 -:0         
root      1978  0.0  0.0      0     0 ?        S<   07:57   0:00 [kauditd]
thomas    2013  0.0  0.0  12432  1208 ?        Ss   07:57   0:00 /bin/sh /usr/bin/startkde
thomas    2160  0.0  0.0  12152   476 ?        Ss   07:57   0:00 /usr/bin/gpg-agent --sh --daemon --write-env-file /home/thomas/.gnupg/agent.info /bin/bash /etc/X11/xinit/xinitrc
thomas    2326  0.0  0.0  24020   508 ?        S    07:57   0:00 dbus-launch --sh-syntax --exit-with-session
thomas    2337  0.0  0.0  21628  1172 ?        Ss   07:57   0:00 /bin/dbus-daemon --fork --print-pid 5 --print-address 7 --session
root      2349  0.0  0.0   3684    96 ?        S    07:57   0:00 /usr/lib64/kde4/libexec/start_kdeinit +kcminit_startup
thomas    2387  0.0  0.1 234660  4068 ?        Ss   07:57   0:00 kdeinit4: kdeinit4 Running...                  
thomas    2465  0.0  0.1 240744  5600 ?        S    07:58   0:00 kdeinit4: klauncher [kdeinit] --fd=10          
thomas    2482  0.0  0.4 336300 13044 ?        S    07:58   0:01 kdeinit4: kded4 [kdeinit]                      
thomas    2535  0.0  0.0  17588   960 ?        S    07:58   0:00 /usr/lib/gam_server
thomas    2574  0.0  0.0   3820   348 ?        S    07:58   0:00 kwrapper4 ksmserver
thomas    2577  0.0  0.2 347260  6376 ?        Sl   07:58   0:00 kdeinit4: ksmserver [kdeinit]                  
thomas    2589  0.1  0.4 446464 12868 ?        S    07:58   0:10 kwin
thomas    2616  0.0  0.1 274828  5432 ?        S    07:58   0:00 kdeinit4: kglobalaccel [kdeinit]               
thomas    2696  0.0  0.2 477612  6352 ?        Sl   07:58   0:01 /usr/bin/knotify4
thomas    2704  0.2  1.2 700828 34492 ?        S    07:58   0:24 kdeinit4: plasma-desktop [kdeinit]             
thomas    3323  0.0  0.7 790468 21204 ?        Sl   07:58   0:03 kdeinit4: krunner [kdeinit]                    
thomas    3324  0.0  0.0  12428  1168 ?        S    07:58   0:00 /bin/sh /usr/bin/gnome-do --quiet
thomas    3328  0.0  0.0 110848  1796 ?        S    07:58   0:00 /usr/lib/polkit-gnome/polkit-gnome-authentication-agent-1
thomas    3333  0.1  0.5 303720 14992 ?        Sl   07:58   0:11 mono /usr/lib64/gnome-do/Do.exe --quiet
root      3336  0.0  0.0  53184  1552 ?        S    07:58   0:00 /usr/lib/polkit-1/polkitd
thomas    3341  0.0  0.2 191768  6536 ?        S    07:58   0:00 /usr/bin/kupdateapplet
thomas    3343  0.0  0.6 333448 17316 ?        S    07:58   0:00 kdeinit4: klipper [kdeinit]                    
thomas    3345  0.0  0.3 495780 10848 ?        S    07:58   0:00 kdeinit4: kmix [kdeinit]                       
thomas    3347  0.0  0.2 352492  6952 ?        S    07:58   0:03 /usr/bin/korgac -icon korgac
thomas    3362  0.0  0.0  43040  1200 ?        S    07:58   0:00 /usr/lib64/gvfs/gvfsd
thomas    3367  0.0  0.0  75380  1260 ?        Ssl  07:58   0:00 /usr/lib64/gvfs//gvfs-fuse-daemon /home/thomas/.gvfs
thomas    3373  0.0  0.0  44944  2164 ?        S    07:58   0:00 /usr/lib/GConf/2/gconfd-2
root      3390  0.0  0.0 121436   936 ?        Sl   07:58   0:00 /sbin/rsyslogd -c 4 -f /etc/rsyslog.conf
root      3424  0.0  0.0  27236   532 ?        S<sl 07:58   0:00 /sbin/auditd -s disable
root      3426  0.0  0.0  14256   620 ?        S<sl 07:58   0:00 /sbin/audispd
root      3439  0.0  0.0  16580   448 ?        Ss   07:58   0:00 /sbin/rpcbind
root      3533  0.0  0.0  17108   656 ?        S<   07:58   0:00 /sbin/udevd --daemon
root      3650  0.0  0.0   8944   432 ?        Ss   07:58   0:00 /usr/sbin/irqbalance
root      3651  0.0  0.0  68892  1392 ?        Ss   07:58   0:00 /usr/sbin/cupsd -C /etc/cups/cupsd.conf
avahi     3654  0.0  0.0  29716   892 ?        Ss   07:58   0:00 avahi-daemon: registering [linux-0lf4.local]
root      3700  0.0  0.0  17108   652 ?        S<   07:58   0:00 /sbin/udevd --daemon
root      3793  0.0  0.0 174584  1108 ?        Ssl  07:58   0:02 /usr/sbin/nscd
root      4079  0.0  0.0  23968   656 ?        Ss   07:58   0:08 /usr/sbin/smpppd
root      4109  0.0  0.0  12024   544 ?        Ss   07:58   0:02 /usr/sbin/smpppd-ifcfg --up --rc -i ifcfg-dsl0
root      4110  0.0  0.0  21740   688 ?        Ss   07:58   0:00 /usr/sbin/pppd logfd 8 call pppoe eth0 mtu 1492 mru 1492 ipcp-accept-local ipcp-accept-remote idle 0 defaultroute replacedefaultroute nodetach
root      4124  0.0  0.0  54104   400 ?        Ss   07:58   0:00 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
root      4163  0.0  0.0  18868   916 ?        Ss   07:58   0:00 /usr/lib/postfix/master
root      4190  0.0  0.0  12552   488 ?        Ss   07:58   0:00 /usr/sbin/cron
postfix   4196  0.0  0.0  21056   832 ?        S    07:58   0:00 qmgr -l -t fifo -u
root      4240  0.0  0.0  16324   680 ?        S    07:58   0:00 /usr/sbin/smartd
root      4436  0.0  0.0   4324   576 tty1     Ss+  07:58   0:00 /sbin/mingetty --noclear tty1
root      4442  0.0  0.0   4324   576 tty2     Ss+  07:58   0:00 /sbin/mingetty tty2
root      4456  0.0  0.0   4324   576 tty3     Ss+  07:58   0:00 /sbin/mingetty tty3
root      4457  0.0  0.0   4324   576 tty4     Ss+  07:58   0:00 /sbin/mingetty tty4
root      4458  0.0  0.0   4324   576 tty5     Ss+  07:58   0:00 /sbin/mingetty tty5
root      4462  0.0  0.0   4324   576 tty6     Ss+  07:58   0:00 /sbin/mingetty tty6
thomas    7442  6.4  2.0 1367432 56912 ?       SLl  08:01   9:13 /usr/bin/amarok
thomas    7479  0.0  0.2 239288  6336 ?        S    08:01   0:00 kdeinit4: kio_http_cache_cleaner [kdeinit]     
thomas    8316  0.0  0.0  70660  2736 ?        S    09:30   0:00 /usr/lib64/kde4/libexec/kdesud
postfix   8327  0.0  0.0  20712  1392 ?        S    09:37   0:00 pickup -l -t fifo -u
thomas    8482  0.0  0.0  12428  1564 ?        S    10:05   0:00 /bin/sh /usr/bin/firefox
thomas    8487  7.0  3.5 560400 99088 ?        Sl   10:05   1:16 /usr/lib64/firefox/firefox
thomas    8502  0.0  0.5 171904 16868 ?        S    10:05   0:00 /usr/lib/mozilla/kmozillahelper
thomas    8549  0.0  0.7 253044 21440 ?        Sl   10:07   0:00 /usr/lib64/kde4/libexec/kdesu -u root -c /usr/bin/wireshark
root      8559  0.0  0.0  52540  1580 pts/1    Ss+  10:07   0:00 /bin/su root -c /usr/lib64/kde4/libexec/kdesu_stub -
root      8562  0.0  0.0   4040   588 pts/1    S+   10:07   0:00 /usr/lib64/kde4/libexec/kdesu_stub
root      8565  3.7  4.6 440400 130184 ?       Ss   10:07   0:34 /usr/bin/wireshark
root      8571  0.0  0.0      0     0 ?        S<   10:07   0:00 [bluetooth]
root      8572  0.1  0.1  33648  5436 ?        S    10:08   0:01 /usr/bin/dumpcap -i dsl0 -Z none
thomas    8613  0.0  0.3 241064  9268 ?        S    10:10   0:00 kdeinit4: kio_file [kdeinit] file local:/tmp/ksocket-thomas/klauncherMT2465.slave-socket local:/tmp/ksocket-thomas/konquerorHZ8605.slave-socke
thomas    8678  0.0  0.0  12428  1568 ?        S    10:15   0:00 /bin/sh /usr/bin/thunderbird
thomas    8683  1.3  2.7 490532 78888 ?        Sl   10:15   0:06 /usr/lib64/thunderbird/thunderbird-bin
thomas    8722  4.9  0.7 356348 22404 ?        Rl   10:22   0:02 kdeinit4: konsole [kdeinit]                    
thomas    8724  0.0  0.1  15784  2980 pts/2    Ss   10:22   0:00 /bin/bash
thomas    8736  0.0  0.0   4768   960 pts/2    R+   10:23   0:00 ps -aux

Was mich wundert. sind die vielen root Prozesse.

 

[whois]

Wireshark hast du selber gestartet nehme ich mal an?

homas    8549  0.0  0.7 253044 21440 ?        Sl   10:07   0:00 /usr/lib64/kde4/libexec/kdesu -u root -c /usr/bin/wireshark

Sonst sehe ich auf den ersten Blick nichts.
Die root Pids sind normal.

Hast du irgendeine Vermutung oder warum fragst du, deine Beochbachtungen sind schon wichtig dabei?

 

[dietterle65]

Ich hatte mich gestern Abend und heute Morgen über unerklärliche "Hänger" gewundert. Ich arbeite viel mit Open Office, Thunderbird, Firefox, im Hintergrund läuft Amarok(permanent am Netz - Radiostream).
Das kam mir recht seltsam vor.
An mangelnder Kapazität des RAM kann es nicht liegen(3 GB), Updates hatte ich keine installiert. Kurz gesagt, keine Veränderung am System.

Deswegen die Nachfrage.


Ja, Whireshark habe ich selber gestartet.

mfg
amonalex

 

[Anonymous]

Ich hatte mich gestern Abend und heute Morgen über unerklärliche "Hänger" gewundert

Hängt bei dir derzufällig der Mauszeiger ab und zu? Wenn ja,ich habe das seit kurzem auch. Das Ganze bekann, als irgendein Update für KDE 4.4.1 reingekommen ist und ist mit 4.4.2 nicht besser geworden. Das ist dann aber wohl eher ein Thema fürs KDE-Forum.

 

[dietterle65]

Ja, ab und an springt auch bei mir der Mauszeiger. Ich werde es weiter beobachten.

mfg
amonalex

 

[gropiuskalle]

Grundsätzlich würde ich bei Hängern und ähnlichem nicht sofort an Angriffe denken. Gute Angreifer verdecken ihre Spuren, dazu gehört auch die Manipulation von Ausgaben wie 'ps', 'top' und dergleichen. Zudem werden wohl in der Regel keine Ressourcen überansprucht - der Gast will sich ja möglichst lange und unbemerkt in seinem neuen Zuhause einrichten. Kurz: ich würde erst mal auf so was wie Hardwaremacken, Konfigurationen oder fehlerhafte Pakete tippen, bevor ich mich in Paranoia übe.

Im übrigen sollte man auch im Fall der Fälle vernünftig vorgehen - Wireshark ist eine Netzwerkanwendung, die (soweit ich weiß) nur mit root-Rechten läuft, derartiges würde ich nicht permanent im Hintergrund laufen lassen. Auch tools wie fail2ban sind zum einen in Ihrer Wirksamkeit sehr beschränkt (nichts ersetzt ein gutes Passwort...), und zudem *noch* eine Anwendung, die sich im Zweifelsfall attackieren ließe.

 

[whois]

....derartiges würde ich nicht permanent im Hintergrund laufen lassen. Auch tools wie fail2ban sind zum einen in Ihrer Wirksamkeit sehr beschränkt (nichts ersetzt ein gutes Passwort...), und zudem *noch* eine Anwendung, die sich im Zweifelsfall attackieren ließe.

Richtig, deshalb auch von mir die Nachfrage.
Bringt auch kaum Aufklärung wenn man das nicht bis zum äussersten spezifizieren kann, dafür ist das Tool zu Vielfältig.
Ich würde mir keine grauen Haare wachsen lassen, wenn dein Rechner komprimitiert ist merkst du in der Regel selten was davon.

 

[panamajo]

Gute Angreifer verdecken ihre Spuren, dazu gehört auch die Manipulation von Ausgaben wie 'ps', 'top' und dergleichen.

Richtig. Ein perfektes Rootkit manipuliert die Tools des Systems und tarnt sich selber so dass es für das System selbst unsichtbar ist. Sichtbar ist das ganze nur von außen (z.B. sind ungewöhnliche Ports offen, Traffic zu ungewöhlichen Adressen etc).
Den Ausgaben der angesprochenen Tools wie ps, top etc. kann man nur trauen wenn diese nachweislich unverändert sind. Um dies sicherzustellen ohne ggf. durch ein manipuliertes sudo ein wertvolles PW dem Angreifer preiszugeben hilft nur das booten von einem sichern Medium (DVD o.ä.)[/quote]