[Eisfair] tcpdump auf E1

Jürgen Witt j-witt at web.de
Mo Feb 17 21:38:36 CET 2014 

Hallo NG,

gibt kein tcpdump auf Eisfair1?

Hintergrund: Ich habe gerade überprüft, ob das Ebury-Rootkit(1) auf 
einem der von mir betreuten Server sein Unwesen treibt.

Auszug aus den FAQ (2)

Ebury uses specially crafted DNS-like packets for exfiltrating harvested 
login credentials to dropzone servers. Systems infected with Ebury can 
be identified by inspecting the network traffic as follows:

Legitimate IP packets for DNS queries from a client to a DNS server 
usually look like this (tcpdump output format):

10:53:21.377449 IP [Client].20374 > [DNS server].53:
                 36027+ A? www.google.com. (32)

IP packets sent by Ebury infected systems look like a DNS query for a 
hexadecimal string followed by an IP address:

21:44:24.506801 IP [Ebury infected system].42177 > [IP address].53:
                 4619+ A? 5742e5e76c1ab8c01b1defa5.[IP address]. (56)

If you spot any packet similar to this in your network traffic, the 
system that sent the packet is most likely infected with Ebury.


Meinen Verdacht hat die Ausgabe von ipsc -m bei einem Server geweckt.

Erkärung:

Ebury uses shared memory segments (SHMs) for interprocess communication. 
A list of currently existing SHMs can be obtained by running the command 
'ipcs -m' as root.
If the output shows one or more large segments (at least 3 megabytes) 
with full permissions (666), the system is most likely infected with Ebury.

Sample output of 'ipcs -m' on an infected Linux system:

------ Shared Memory Segments --------
key        shmid      owner     perms      bytes     nattch
0x000006e0 65538      root      666        3283128   0


Verdächtiger Server:

eis # ipcs -m

------ Shared Memory Segments --------
key        shmid      owner      perms      bytes      nattch     status
0x00000000 15171584   root       600        33554432   6          dest
0x00000000 32769      root       600        46084      2          dest
0x00000000 65538      root       700        16777216   1          dest

Ich habe dort also ein über 3 MB großes Segment, aber nicht mit vollen 
Rechten. Ich weiß nicht, ob das schon Grund zur Entwarnung ist. Daher 
würde ich mir gern mit tcpdump Klarheit verschaffen.


(1) http://heise.de/-2113848
(2) https://www.cert-bund.de/ebury-faq

Gruß Jürgen

Mehr Informationen über die Mailingliste Eisfair