Zurück   Trojaner-Board > Web/PC > Alles rund um Mac OSX & Linux

Alles rund um Mac OSX & Linux: openSuse 13.2 - Trojaner funkt auf port 6667

Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate.

Antwort
Alt 20.03.2015, 11:39   #1
Troja_suse
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Hi!

Eines von den Kiddies hat gestern sein Schulnotebook (Dell Inspiron mit openSuse 13.2, immer aktuallisiert) zu Hause an's Netz gehängt und Snort (läuft auf dem internen Interface für dieses Netzwerk) hat Versuche unterbunden C&C Server auf port 6667 anzufunken, folgende IPs

83.140.172.212
83.140.172.210
66.225.225.66
128.39.65.226
91.217.189.21

jeweils zweimal pro IP, innerhalb weniger Minuten.

Ich habe für diesen port

yoyo

Trinity

in dieser Database gefunden:

hxxp://www.simovits.com/trojans/trojans.html

Was ist zu machen, außer den Rechner komplett neu aufzusetzen (wohl über's Wochenende dann...).

Tausend Dank vorab für jegliche Hilfestellung

Suse

Alt 20.03.2015, 12:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Hi und

Bist du dir sicher, dass da malware werkelt?
Wenn man in einem Linux-System nicht gerade alles mögliche an der Paketverwaltung vorbei installiert, sondern diese immer schön nutzt um Software zu installieren und all seine Pakete auch immer up2date hält, ist es nicht gerade wahrscheinlich, dass da ein Bot werkelt.

Was sind denn auf der Kiste für Dienste eingerichtet? SSH? Mit schlechter Absicherung?

Wie fit bist du in der Linux Shell (bash)? Leider muss ich gestehen, dass Suse nicht so mein Fall ist und aus dem (x)ubuntu-/Debian-Lager komme...
__________________

__________________

Alt 20.03.2015, 13:54   #3
Troja_suse
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Hi cosinus!

Danke für die rasche Antwort!

Was soll ich sagen? Was die in der Schule treiben: Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich. Letzthin hat er an einem anderen Rechner (anderes Netzwerk) das hier hinbekommen:

https://forums.opensuse.org/showthread.php/505859-NetworkManager-GDbus-error-with-YaST-no-apper-firefox-thunderbird

...abends noch dran gewerkelt, nächsten Tag ging nichts mehr und angeblich keine Ahnung, was da passiert ist.

Mit Konsolengefrickel könnte man schon loslegen, alleine: Ich habe keine Ahnung, wo man starten soll. Diese beiden Unix-Malware, die ich oben verlinkt habe sind ja real, also: Warum sollte Snort da plötzlich Traffic auf port 6667 zu auffälligen IP stoppen (SID: 1:2405028 1:2404078 1:2404076 1:2405028 1:2404062 1:2405026 1:2404004 1:2405030 1:2404088 1:2405029), wenn da nich massiv was schief läuft?

Eine der IPs fand ich ein einem jap. Cybersec-Dokument von 2015 im Zusammenhang mit shellshock (dürfte aber eigentlich kein Thema mehr sein, oder? Die Kiste wird täglich vorschriftsmässig geupdatet, incl. Flashplayer und Co.). Alles spricht für ein echtes Problem, oder?

Ich bin auch ziemlich ratlos, wie sowas kommen soll.

Beste Grüße

suse
__________________

Alt 20.03.2015, 14:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Da läuft nicht zufällig irgendein IRC-Client im Hintergrund und ist im Autostart? Wer hat überhaupt snort auf der Kiste eingerichtet? Das auf einem Desktop/Notebook find ich etwas merkwürdig! Intrusion Detection auf einem Desktop, der normalerweise eh keine Dienste nach außen anbietet ist irgendwie sinnfrei. Oder wird das Teil als Server missbraucht?

Zitat:
Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich.
Und jetzt musst du seinen Rechner wieder hinbiegen?

Zitat:
Diese beiden Unix-Malware, die ich oben verlinkt habe sind ja real,
Die beiden?? Zwei? Wieso siehst du gleich zwei? Zwei Verbindungsversuche heißt nicht, dass da zwei verschiedene Malwaretypen werkeln

Zitat:
Alles spricht für ein echtes Problem, oder?
Wenn es Windows wäre würde mich da nix wundern. Sich aber sein Linux zu zerlegen, da gehört schon einiges zu.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.03.2015, 14:21   #5
Troja_suse
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Hi again!

Snort läuft direkt auf dem Router ;-) (pfSense mit snort drauf, um die Sicherheit im Netzwerk zu überwachen). Keine Server, keine offenen ports hier zuhause (ausser email, http, https und ein einzelner ntp-Server), aber in der Schule: Kein Zugriff, keine Ahnung!

Pidgin mit OTR ist auf dem Rechner.

Zitat:
Keine Ahnung! Der junge Mann ist mittlerweile recht fit mit Computern und somit gefährlich.

Und jetzt musst du seinen Rechner wieder hinbiegen?

Ähm, nunja, ich hätte schon gern, dass man denn wieder gefahrlos in's Familiennetzwerk lassen kann...

Die beiden Malwares habe ich mit der Kombination Unix und port 6667 im Netz ergooglet. Ob es einer dieser Trojaner ist? Keine Ahnung!

Danke für die Rückmeldung, fühle mich doch irgendwie recht ratlos... (wie schon bei dem anderen Rechner, der sich plötzlich zerlegt hat. Auch mit openSuse drauf, keine 3 Monate alt, die Installation).

Grüße!

suse


Alt 20.03.2015, 14:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Zitat:
Pidgin mit OTR ist auf dem Rechner.
Na also. Ist IRC da eingerichtet? ja? Dann beende es mal, nimm es aus dem Autostart und schau ob "dein Trojaner" immer noch werkelt bzw snort immer noch motzt.
__________________
--> openSuse 13.2 - Trojaner funkt auf port 6667

Alt 20.03.2015, 15:33   #7
Troja_suse
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Hi again!

Eigentlich nur ein AOL-Account drauf eingerichtet... Sch gugge nochmal und melde mich wieder!

Danke und beste Grüße
:-)

suse

Ohjeeeeee, der Benutzer hat tatsächlich IRC channels aboniert, ohne Bescheid zu sagen... Sorry for the inconvenience caused!

Oder auch: Vielen Dank für das Gespräch! :-D

Ich melde mich, wenn es nochmal Ärger gibt.

Schönes Wochenende

suse

Alt 21.03.2015, 00:39   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Bei Linux nicht gleich in Panik verfallen

Desktop-Systeme werden eh so gut wie nie angegriffen, wenn dann eher sowas wie SSH oder halt alle anderen Services, die so ein Server nach draußen anbieten kann. Aber ich hoffe mal, dass ein Laie nicht einfach so auf die Idee kommt zB SSH-, FTP-, Apache-web-, MySQL-Server etc. zu installieren (auf nen Desktop!) und dann alles aus dem Internet erreichbar macht....
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.03.2015, 10:59   #9
xXFreakXx
 

openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Gibt es überhaupt Linux Malware in freier Wildbahn? Meiner Infos nach nicht, wenn dann "Testobjekte" die aber nicht für den Angriff auf Privatrechner gedacht sind.
__________________
HP Notebook – 15-ba103ng

Ubuntu 18.10 Cosmic Cuttlefish

Mate Desktop Environment

Virtuell Microsoft Windows XP Pro

Alt 22.03.2015, 11:32   #10
Dante12
/// Mac Expert
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Es ist schwierig aber nicht unmöglich. Hier der jüngste in der Wildbahn

https://news.drweb-av.de/show/?i=9272&lng=de

Ein weiteres Besipiel

The first Trojan in history to steal Linux and Mac OS X passwords ? Dr.Web - innovation anti-virus security technologies. Comprehensive protection from Internet threats.

Netzwerkgeräte und Strukturen sind ein beliebtes Ziel von kriminellen und die entwickelte Malware wird immer raffinierter.

Viruslist.com - Die Köpfe der Hydra. Malware für Netzwerkgeräte

Nach meiner Ansicht ist aber die größte Gefahr der Einsatz von Backdoors aus Bundeseinrichtungen.

Handy-Trojaner: Kaspersky entdeckt Überwachungssoftware für iOS, Android und Co.
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Alt 24.03.2015, 11:17   #11
iceweasel
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Wird in deinem Netzwerk z.B. Minecraft verwendet? Deaktiviere mal alle anderen Clients und wiederhole die Tests. Ich befürchte andere Clients in deinem LAN haben z.B. mit Minecraft-Servern kommunziert und dein Linux-Rechner hat das mitgesnifft. Poste auch mal echte Ausgaben deiner Auswertetools.
Und aus Sicherheitsgründen. Administriere deinen Linux-Rechner nie von einem Windows-Rechner aus. Denn dann kann eine evtl. Malware auch deinen Linux-Rechner fernsteuern.

Alt 24.03.2015, 11:19   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Öhm...hatten wir nicht schon geklärt, dass 6667/tcp von pidgin kam (IRC)?

Zitat:
Und aus Sicherheitsgründen. Administriere deinen Linux-Rechner nie von einem Windows-Rechner aus.
what......darf man jetzt kein putty mehr unter Windows verwenden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.03.2015, 11:26   #13
W_Dackel
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



@Troja_suse: Jetzt weißt du wenigstens dass deine Snort Installation was taugt

Ernsthaft: in solchen Fällen zuerst mal mit deinem Filius reden, im Zweifel wäre ihm irgendwann eingefallen dass er ein Chatprogramm installiert hat. Kommerzielle Malware unter Linux ist so selten dass ich nichtmal ein AV Programm installiert habe...

Alt 24.03.2015, 11:26   #14
iceweasel
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



Genau. Denn der Keylogger liest das root-Passwort mit und über eine Fernwartungs-Sitzung kann dann der Linux-Rechner angegriffen werden. Ähnlich werden ja auch Webseiten gehackt. Unter Windows die FTP/SSH-Passwörter mitlesen und dann die Webseiten manipulieren. Und am Ende wechselt man den Webspace-Provider, da er ja so unsicher war.

Alt 24.03.2015, 11:30   #15
W_Dackel
 
openSuse 13.2 - Trojaner funkt auf port 6667 - Standard

openSuse 13.2 - Trojaner funkt auf port 6667



@Dante:
Zitat:
Die Installation eines Schädlings erfolgt nur, wenn sie mit Root-Rechten gestartet wurde.
Somit sollte bei bestimmungsgemäßer Verwendung von Linux (Software nur aus vertrauenswürdigen Repositories installieren) keine Infektion stattfinden.

Die Unsitte die bei manchen Ubuntu- Anfängern galt, sich reihenweise private Repositorylisten ins System zu knallen ist hoffentlich wieder aus der Mode ....

Antwort

Themen zu openSuse 13.2 - Trojaner funkt auf port 6667
aufzusetzen, folge, folgende, funkt, gefunde, gestern, innerhalb, interface, interne, internen, komplett, minute, netzwerk, neu, opensuse, port, rechner, server, snort, suse, troja, trojaner, versuche, woche, zweimal



Ähnliche Themen: openSuse 13.2 - Trojaner funkt auf port 6667


  1. Virus oder Trojaner? Webseitenaufrufe sehr langsam-Sound defekt-Youtube Videos funkt. nicht-nicht gewöhnlich
    Plagegeister aller Art und deren Bekämpfung - 29.01.2015 (11)
  2. win7 - weißer bildschirm - trojaner; OTLPE funkt nicht
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (10)
  3. BKA-Trojaner, Security Disc erfolglos, abges.Modus auch befallen, Syst-Reperatur funkt. nicht...
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (2)
  4. OpenSuse Auf Lenovo S10 Treiber?
    Alles rund um Mac OSX & Linux - 19.02.2010 (3)
  5. Services.exe - Prozess offnet Verbindungen zum Port 80 und Port 25, Trojan?
    Log-Analyse und Auswertung - 27.12.2009 (6)
  6. openSuse-Kernel auf 1&1-Root-Servern möglicherweise veraltet
    Nachrichten - 26.11.2009 (0)
  7. Kernel-Updates von Novell, OpenSuse, Red Hat und CentOS
    Nachrichten - 25.08.2009 (0)
  8. OpenSuse neben Xp
    Alles rund um Windows - 04.11.2008 (6)
  9. OpenSuse Spracheinstellung
    Alles rund um Mac OSX & Linux - 30.03.2008 (2)
  10. mobile datenkarte (f. internetzugang) funkt. auf usb1.1. port nicht (spannungsprob.?)
    Alles rund um Windows - 29.09.2007 (4)
  11. Speicherverlust nach OpenSuse installation
    Alles rund um Mac OSX & Linux - 02.09.2007 (8)
  12. Trojaner SubSeven entdeckt TCP Port 1234
    Plagegeister aller Art und deren Bekämpfung - 07.01.2007 (1)
  13. Trojaner über FTP-Port eingefangen
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (7)
  14. Trojaner Prob (Port 5000)
    Plagegeister aller Art und deren Bekämpfung - 26.03.2005 (11)
  15. Offener Port ? Trojaner on Board ?
    Plagegeister aller Art und deren Bekämpfung - 14.05.2004 (0)
  16. Port-Scans, Port 4662
    Plagegeister aller Art und deren Bekämpfung - 27.05.2003 (3)
  17. Trojaner benutzt Port 1170
    Plagegeister aller Art und deren Bekämpfung - 30.01.2003 (1)

Zum Thema openSuse 13.2 - Trojaner funkt auf port 6667 - Hi! Eines von den Kiddies hat gestern sein Schulnotebook (Dell Inspiron mit openSuse 13.2, immer aktuallisiert) zu Hause an's Netz gehängt und Snort (läuft auf dem internen Interface für dieses - openSuse 13.2 - Trojaner funkt auf port 6667...
Archiv
Du betrachtest: openSuse 13.2 - Trojaner funkt auf port 6667 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.